Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

定義されなかったセキュリティ対策

edited by DB Online   2019/10/23 08:00

 今回のお話は、“要件に定義されていなかったセキュリティ対策を自発的に行わなかったベンダに責任はあるのか。”というもので、私自身も、例えば翔泳社さんで実施頂いたセミナーなどで、何度かお話ししていることです。しかし、未だに、こうした問題の話をよく聞きますし、最近の裁判でも話題になったことですので、敢えて、また取り上げさせていただくこととしました。

定義されなかったセキュリティ要件を実現するのはベンダの義務?

 話題とするのは、"SQLインジェクション" というセキュリティ侵害です。これについての詳しい解説は、専門の解説記事などに譲りますが、要は悪意者がホームページから侵入して、本来は隠しておきたいデータベース内の様々な情報を盗んだり、書き換えたり、あるいは壊してしまったりという攻撃です。

 この攻撃は被害も大きく、ITの専門家の間では、すでに定番と言っても良いくらいに有名なものですが、すでに対策も周知の事となっておりそれらを踏まえてプログラミングをすれば、一応安心していられます。

 しかし、実際に世の中に存在するWebシステムには、こうした対策を施していないものも多く、だからこそ、今回取り上げるような裁判も起きてしまいます。さて、どんな事件だったのでしょうか。概要をご覧ください。

(東京地方裁判所 平成30年10月26日判決より要約)

 あるユーザ企業が車・バイクの査定を行う為のシステムの開発をベンダに委託し、平成24年にシステムは完成した。

 ところがその後、情報処理推進機構(以下 IPAという) から、当該システムはSQLインジェクション対策が不十分であるとの指摘を受け、調査の結果それが事実であることが分かった為、ユーザ企業はベンダに対して、損害賠償請求として約900万円の支払いを求めて裁判になった。

 余談ですが、ITの裁判というと数億円、数十億円規模のものを想像する方も多いかもしれませんが、実際にはこのように数百万円単位のものも数多く、数十万円レベルの賠償を求めるものもあります。

 ということは、その程度の小規模システムを導入したりする際にも訴えたり、訴えられたりする危険は十分にあるということで、ITを使ったり作ったりするほぼ全ての方には、こうした訴訟リスクがあるということです。今、これをご覧になっている方々ならおそらく誰にでもIT紛争に巻き込まれる可能性があるということです。


著者プロフィール

  • 細川義洋(ホソカワヨシヒロ)

    ITプロセスコンサルタント 東京地方裁判所 民事調停委員 IT専門委員 1964年神奈川県横浜市生まれ。立教大学経済学部経済学科卒。大学を卒業後、日本電気ソフトウェア㈱ (現 NECソリューションイノベータ㈱)にて金融業向け情報システム及びネットワークシステムの開発・運用に従事した後、2005年...

バックナンバー

連載:紛争事例に学ぶ、ITユーザの心得

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5