案外忘れられがちなセキュリティ要件
セキュリティ、セキュリティと偉そうなことを言っても実際のところは
世界中のクラッカーやハッカーが本気になって協力し合えば、
破壊できないシステムも、盗聴できないデータもない
と言われているのが現実です。そのため、一般的なシステム開発で出てくる"セキュリティ要件"は「蟷螂の斧」と揶揄されていることをご存じでしょうか。
そのせいか、案外SIerのなかではセキュリティに対して深く理解しようというエンジニアはあまり見かけません。専門の会社やツール、サービスなどもあったりするので、それらを使って診断すればいいやー、くらいにしか考えてないところが多いのではないでしょうか。
では、「セキュリティ要件は詰めなくてもいいのか?」「検討しなくてもいいのか?」と言うと答えは
No
です。
また、最強のセキュリティは
「コンピュータをネットワークにつなげず、金庫にて管理することだ」
という考え方によって金融系や公共系などは、インターネットへの接続を禁じているところもいまだに多く存在します。もちろん、それはインターネットを通じたシステムを利用するよりはるかに強固なセキュリティを維持できるかもしれませんが、そのために人的コスト、労働コストがかかりすぎて事業が失敗に終わったり、経営の継続が難しくなったりするようでは本末転倒です。
ではもしも、個人データや企業経営を揺るがすデータを取り扱うシステムを構築するとき、お客さまからセキュリティについて特段の要望や要求がないままシステムを構築した結果、本稼働後に個人データが流出してしまったとしましょう。
この時、その責任はお客さまとSIerどちらに問われることになるでしょうか。
・
・
・
開発側が自発的に提案しなければならない
これを怠った結果、問題が生じた場合は重過失(著しい注意義務違反)が課せられます。具体的には、提案しなかった場合の根拠に対して次のような判断が行われます。
「要件定義の責任はユーザ(発注者)にあり、
定義されていないセキュリティ要件についての責任は負えない」
と誰もが思うことでしょうし、過去の判例でもそういった証言があります。
しかし、SIerには専門家としてのプロジェクト遂行責任があり、特にセキュリティのように専門的な知見を要する要件については専門家が積極的に提案すべきであるという考えも成り立つことから、『民事調停委員(IT専門担当)』は開発側に不利な判断をすることがあります。
「気づいてたけど、書いてなかったから放置してました」
はもう通用しない時代なのです。
たとえ、ユーザー(発注者)から要望がなくてもSIerは能動的に調査を行い、できれば見積りも提出すべきです。そこまでしてユーザー側が「そんなもの要らない」と明確に示したのであれば、その内容を契約書等に記載することで責任の所在も明らかになり、不利になることもなくなります。
実際に、次のような判例がありました。
原告(ユーザー): インテリア商材の販売等を事業とする会社
被告(ベンダ): 情報処理システムの企画・開発・保守等を事業とする会社
2009年02月:Webにおける商品受注システムの設計・製作を発注(890 万円)
2009年04月:原告がシステムの使用を開始
2010年01月:顧客のクレジットカード種別を把握できるよう仕様変更を要求(31 万円)
2010年05月:Web サイト保守契約を締結 (月額5.5 万円)
2011年04月:サーバへの不正アクセス、顧客クレジットカードの不正利用が発覚
2011年??月:民事調停が不調に終わる
2011年10月:委任契約の債務不履行があったとして、顧客への謝罪や売上減少等
約1億900万円の損害賠償請求訴訟を提起
2014年01月:東京地方裁判所が被告に2262万円等の支払を命じる判決
→控訴されず確定
驚異の類型を知っておこう
では、情報システムに対する脅威にはどんなものが多いのでしょうか。
IPA(独立行政法人 情報システム推進機構)が毎年発表している10大脅威では、次のように記載されています。
IPAおよび経済産業省が発表するこれらの脅威は、情報セキュリティに関する判決において裁判所でも1つの指標にされます。
「こうしてあらかじめ注意喚起されているのだから、
専門家(SIer)であればこうしたことは調査しておくべき『常識』」
と判断されてしまうケースもあるのです。
お客さまの要件にあるかないかは問題ではありません。
すべての責任をお客さまに押し付けようとするのは、ただの無責任でしかありません。ITの専門家として、この程度は知っておかなくてはならないということなのです。
見積りおよび計画を行う際には、要件に記載のないリスクに対する"常識"が隠れていないか必ず検討するようにしましょう。
いいなと思ったら応援しよう!
