連載
» 2015年02月10日 10時00分 公開

セキュリティクラスター まとめのまとめ 2015年1月版:「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター (2/3)

[山本洋介山(エヌ・ティ・ティ・コミュニケーションズ),@IT]

SQLインジェクションがあるシステムを作ると賠償金ざたに!?

 Webサイトを検収した後、そのサイトを構築した業者がセキュリティの責任を問われることはこれまであまりなかったのですが、オンラインショッピングサイトが不正アクセスを受けて、カード番号などの個人情報が窃取された事件に対し、構築を請け負った業者に賠償金の支払いを求める判決が出ていたことが話題となりました。

 この判決自体は2014年12月に出ており、2015年1月13日に町村泰貴氏のBLOGOS記事に取り上げられたことから、さまざまな人がこの話題に言及していました。そして1月22日には徳丸浩氏(@ockeghem)の日記に取り上げられたことによって、再び話題となります。

 この判決によると、SQLインジェクション脆弱性は広く対策も知られており、情報処理推進機構(IPA)の各種文書でも取り上げられていることから、「対策を行っていることが当たり前」であるという主張だったようですが、SQLインジェクションなど脆弱性への対策が仕様書にはなかったにもかかわらず、7割の賠償責任を納入業者が負うことになったことへ驚いているツイートが多く見られました。また「EC-Cube」というオープンソースのWebアプリケーションをサーバーに設置しただけの業者が「多くの責任を負うのはかわいそう」という意見や、構築の代金の安さに驚いているツイートもありました。

 これに対し、「SQLインジェクション脆弱性は対策方法もほぼ固まっているのでやっておくべきだった」という意見や、「裁判でもめないように、しっかりとした契約を書面で結ぶことが大切だ」という意見が多く見られました。

 また、脆弱性対策が義務化されることで、エンジニアの単価が上がることを期待するツイートもありましたが、それに対しては「タダで付けるのが当然だという意見が出てくるというのではないか」というツイート、そして「脆弱性の種類によって賠償の有無が変わってくるのが心配」という意見もありました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。