Webシステム開発でセキュリティが軽視される理由：Webシステムのセキュリティ要件（1）（2/3 ページ）

[丸山 司郎（株式会社ラック），＠IT]

実社会におけるセキュリティ対策の課題

　前述の対応策を正しく採用すれば、技術的な欠陥に関する問題については対処が可能である。しかし、現実の社会においては、ユーザ企業における以下のさまざまな事情から対処できないケースが散見される。

1. Webアプリケーションに脆弱性があるかどうか分からない（本当は、知りたくもないし、見たくもないし、聞きたくもない
2. システム運用はすべてアウトソースしており、対応してあるはず
3. 開発ベンダに修正対応を依頼したら契約範囲外と断られた
4. 自費で対応するには、コストが掛かり過ぎる
5. 現在運用しているシステムは止められないため、直せない
6. Webアプリケーションの開発は、デザイナーに依頼しているので、セキュリティ対策を依頼しても分かってもらえない

　これらの事情が発生する原因を考えてみると、以下のように集約できる。

原因1：システムオーナー側の問題

　システムのオーナーは、セキュアなWebシステムを作りたいのではなく、本来の事業を推進するためにWebシステムを有効に使いたいのである。それでも、セキュリティに関心がないという訳ではなく、ある程度関心はあっても、セキュリティ対策の話題が難解なことから、開発、運用をシステム業者に任せっ切りにしているケースが多いと想定される。

　また、個人情報保護法の施行や、昨今の事件を契機に、委託先の業者に対して、セキュリティ対策状況について確認し、仮に問題があることが判明したとしても、システム修正にかかわるコストや時間の問題から対策の実施を逡巡しているケースもあるだろう。

原因2：Webシステム開発・運用側の問題

　Webシステムの作成業者といってもさまざまな業態・業種が存在する。すべての業者がセキュリティについて熟知していることはあり得ない。

Webシステム作成業者	特徴
システムベンダ（SIer）	Webシステムをプログラムとして考える。見た目よりも、使い勝手や、機能や、パフォーマンスを重視する傾向にある。セキュリティ対策については、技術的に前向きであるが、凝り過ぎの傾向がある。
ホームページ制作専業	Webシステムを、ホームページ作成ととらえ、企業の顔としてのデザインと、機能や、パフォーマンスのバランスを考慮する。セキュリティについての意識は高いが、規模的に小さい企業が多く、各社の対応のバラツキが大きい傾向にある。
広告代理店・デザイン会社	Webシステムというより、広告媒体の一種類として考える傾向にある。機能や、パフォーマンスよりもデザイン重視であり、セキュリティについての意識は低い傾向にある。

　たとえセキュリティ対策に強いシステムベンダに委託していたとしても、すべての担当者がセキュリティについて熟知しているわけではないため、仮に担当者個人の能力に依存していると、SQLインジェクションなどの、従来の対策では対応できない問題について無防備となっている可能性がある。

　さらには、提案段階においてコンペとなり、開発予算を低く抑えるため、本来なら盛り込むべきセキュリティ対策を削るというケースもあり得る。

原因3：発注者、受注者双方の契約にかかわる問題

　いまだに、Webアプリケーションの脆弱性に対する責任が、システムのオーナーにあるのか、または、システムの開発者や、運用者にあるのか明確なコンセンサスがないケースが多い。

　その場合、当然、システム開発段階や、運用・保守段階でのセキュリティ要件に関して契約書に記載するなどの明確な取り決めはなされていないはずであり、仮にWebアプリケーションに脆弱性が発見されたとしてもどちらの責任（コスト）で、修正するのかという問題から、システムの修正が行われていない、または遅れているというケースもある。