ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇

「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか！」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。 上記は、セキュリティ関係者の間で話題になった判決（東京地方裁判所判決 平成23年（ワ）第32060号）を読んで、筆者が想像した会話だ。 インテリア用品の販売会社（原告）が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム（SQL文）を送り付ける攻撃手法だ。 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社（被告）にあ

[suzutaku7]

家を買いました。特に要求しておらず普通の窓ガラスだったので、窓ガラス破りという古典的方法で泥棒に入られました。住宅メーカーを訴えました。

[ikedas]

こういうリスクがあるので、見積もりは盛り盛りで出さなくちゃいけなくなるんだけど、そうすると「ぼったくり」の烙印を押されたりする。こういう判決は、買い手側にも発注者責任を持たせないと駄目だと思う。

[Falky]

『しかし筆者は、発注者側もなぜSQLインジェクションが起きるのかを、プログラム（コード）レベルで知っておく必要があったのではないかと感じている』えっ//発注者が理解できないから外部セキュリティベンダが必要

[ockeghem]

『幸い、SQLインジェクションなどのセキュリティ侵害を検証する環境は、個人でも簡単に整えられる。XAMPPというソフトウエアをインストールすれば…』<まさかのXAMPP

[diveintounlimit]

7年前の事件に対する2年前の判決に対して本日のニュース。

[NOV1975]

どのレベルまでかは問われると思うけど、この件に関しては流石に作る側の問題を感じざるを得ない。

[DustOfHuman]

役務であれば負わなくてもよかった責任(クズ感) / とはいえ、セキュリティ要件は提案して固めるべきだしそれでかかるコストも客にもってもらわないと / コメント間違ってたので修正

[deep_one]

…いや、一般のSQLインジェクション対策は普通にするだろ。建物で言ったらトイレの窓に鍵がついてないレベル。／発注側は「プログラム（コード）レベルで知っておく必要」は無いな。概念レベルで知っておけ。

[kaputte]

納品物に法規制がないからこんなおかしな議論になる。いくら建築とビジネスモデルが似てても建物には最低限の基準があるだろう。ソフトウェアはどんな粗末なものを納品しても要件にあえばOKなんて本来おかしい。

[nankichi]

“発注者側もなぜSQLインジェクションが起きるのかをコードレベルで知っておく必要があった”→生兵法は大怪我のもと。これはベンダー側が要件定義時に「セキュリティを要件に入れなくていいのですか？と聞くべき案件

[sakidatsumono]

さすがにこれはシステム会社には同情できない

[michihide]

海外の常識はどうなっているんだろう。日本みたいに『あとは行間読んでね（はぁと）』みたいな契約書／仕様書はないってことかな。

[ryuzee]

要件って全部明文化されるとは限らないね。たとえSIだとしても。あとは善管注意義務って話かなー

[net_heads]

IT業界に限らず、ウチ等のギョーカイに関わるのも、東京地裁は発注者に責任はない、という判決を出す傾向が強いような>記者の眼 - ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇：ITpro :

[naga_sawa]

これ顧客側要望でセキュリティ対応の工数削っていたらどうなるんだろう/その議事録残していたら勝てるんだろうか

[teracy_junk]

『発注者からのシステム要件にセキュリティ対策を施すかどうかの指示がなくても、「ITベンダーならセキュリティ対策は、施して当たり前」ということになる』

[tetsutalow]

発注者も賢くないといけないのは同意だけどコードのレベルで理解しろになると行き過ぎ。セキュリティ要件を俎上に挙げて対話できる程度のリテラシがあればいいはず。それすらなかなか難しいのが現状だろうけど。

[tinsep19]

いまならVAddyとかあるだろ。すべての穴を潰せはともかく、比較的簡単にチェックできる項目についてはやるべきだと思う。発注者はセキュリティに関して気にするそぶりくらいで十分じゃないかな。

[wwolf]

一般論としてはセキュリティなどの非機能要件はベンダー側がヒアリング＆提案すべき領域だと思うけども。

[sawarabi0130]

"「ITベンダーにすべておまかせ」ではなく、Webに携わるすべての人が最低限のセキュリティ対策を知っておいた方がよい" そんなのいらない。知るべきは「安かろう悪かろう」。

[oukayuka]

まともなプログラマーがまともなライブラリやフレームワーク使ってたら、SQLインジェクションなんかまず起きないはず。安月給でモチベ低い外注にやらせたとかそんなんじゃないの。

[daybeforeyesterday]

うーむ

[mellow-mikan]

こんな後出しジャンケンのリスクなんて負えないし、二度と関わりたくない系の顧客だな。

[shinagaki]

xamppって単語を久しぶりに聞いた

[dev0000_1]

今更このニュースか。確か元々機密性が低いサイトだったけど、後付けで決済機能等を持たせて、そこでトラブルになったと記憶している。改修費用も安かったような。

[minoru0707]

小さい会社は対応無理。 プラットフォームに乗っかるしかないよね。

[and_hyphen]

これはどうなんだろう?詳しいひとに教えて欲しい

[takashiski]

契約に「システムに対する攻撃で発生した損害に関して責任を持たない」ことを盛り込まないといけないのか。

[mohno]

平成21年（2009年）の受注で“SQLインジェクション”だと、「サムターン回し」並みに手口を知らない方が恥ずかしいくらいだったんじゃないかな。

[mkusunok]

契約や価格にもよるけど、まあ妥当な判決かな。発注者としてはどこまでコストをかけたら安全か分かりにくく、受託者もいわれてないところまで気を回せない現実もあるが