1: 海江田三郎 ★ 2016/01/26(火) 13:42:55.95 ID:CAP_USER.net
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/012100467/
「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、
「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、
システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。
上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。
インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃に
よってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、
Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。
販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあるとして、
損害賠償請求の裁判を起こした。判決では原告の訴えが認められた。理由は、システム開発会社側が
システムに十分なSQLインジェクション対策を施さなかったため。結果、システム開発会社は、債務不履行による賠償責任を負うことになった。
つまり、少し乱暴に言ってしまえば、発注者からのシステム要件にセキュリティ対策を施すかどうかの指示がなくても、
「ITベンダーならセキュリティ対策は、施して当たり前」ということになる。
これはショックな判決だ。「セキュリティ対策を施して当たり前」と言われても、どの程度の対策を施せばいいのか、
システム受託した会社は戸惑うだろう。システム要件にないセキュリティ対策をどうすればいいのだろうか。
もっとも、この判決には納得できる点もある。焦点になったSQLインジェクションは、もはや古典的ともいえる
攻撃手法だからだ。攻撃への対策方法はすでに確立されているのだから、「当たり前」と言うのも、ある意味では無理からぬことである。
SQLインジェクションへの具体的な対策方法は、情報処理推進機構(IPA)が発行している
「安全なWebサイトの作り方」が参考になる。プリペアドステートメントを利用する、プレースホルダーを設置する、
エスケープ関数を利用する、などの対策方法が紹介されている。
このように対策方法が確立しているにもかかわらず、SQLインジェクションによる被害は後を絶たない。
上記の判決では、システム開発会社側の責任が大きいという判断が下された。しかし筆者は、
発注者側もなぜSQLインジェクションが起きるのかを、プログラム(コード)レベルで知っておく必要があったのではないかと感じている。
幸い、SQLインジェクションなどのセキュリティ侵害を検証する環境は、個人でも簡単に整えられる。
XAMPP(ザンプ)というソフトウエアをインストールすれば、PC内にWebサーバーとデータベースを構築し、Webシステムの開発を体験できる。
「ITベンダーにすべておまかせ」ではなく、Webに携わるすべての人が最低限のセキュリティ対策を知っておいた方がよい
とこの判決文を読んで筆者は思いを強くしている。
14: 名刺は切らしておりまして 2016/01/26(火) 14:22:47.84 ID:oyosFhNU.net
「要件にない」セキュリティを実装しないのをIT会社の罪とするなら
どこまで対応しないと罪なのか?
裁判官はそこを明確にしてくれよ
これ最高裁までやってくれよ…
契約書にない要件を履行しなければいけないってのかよ?
SQLインジェクション程度ならともかく、こんなのを拡大解釈されたらたまらんぞ
25: 名刺は切らしておりまして 2016/01/26(火) 15:11:31.92 ID:ySoxJnmX.net
これ確定判決なんかな?
なんで契約書にないことの責任を取らされるん?
> 「いや、システム要件にない機能は実装しませんよ」
当たり前の反応。
2: 名刺は切らしておりまして 2016/01/26(火) 13:50:19.05 ID:1bMYcALp.net
wan側に口を開けたデータベースでノーガード戦法
69: 名刺は切らしておりまして 2016/01/27(水) 05:05:03.36 ID:aLsoJgOf.net
コレ
ド素人のシステム屋に頼むくらいなら
ろりぽサーバー借りた方がマシ
6: 名刺は切らしておりまして 2016/01/26(火) 13:53:09.34 ID:645pwDU1.net
営業がアホ
案件取ってくる際にセキュリティのことも契約に記載すべきだったな
「不要」なら「不要」と契約書に書いておくべき
10: 名刺は切らしておりまして 2016/01/26(火) 14:05:35.22 ID:FE9e4KQn.net
曖昧な書き方するのもあるしな
セキュリティーLVは物により変る
本当に必要かどうかの判断が必要
付けとけば良いと言う物ではない
(金に糸目を付けないなら別に良いけど)
>>6
それ逆も言える
要件に記載が無ければやる必要が無いと
そして、そのような記載は相手が嫌がる事もある
(自分の責任になるからね)
8: 名刺は切らしておりまして 2016/01/26(火) 13:58:16.77 ID:TZQMQDBe.net
そのくらいの基本対策を怠るようなポンコツ会社が
IT名乗っちゃだめだろ、と同業ながら思う
そんなクリティカルな部分のフレームワークも作ってねーのか
11: 名刺は切らしておりまして 2016/01/26(火) 14:08:49.82 ID:L+hl0WoA.net
いまどきSQLインジェクションできるように作るほうが難しいぞ。
わざとセキュリティホール作ってるとしか思えないレベルで
開発会社の責任を問われるのも当然。
59: 名刺は切らしておりまして 2016/01/26(火) 21:25:26.67 ID:RRNfFJ/a.net
これ。
要件にないなら提案しないといけないレベル
それすら怠って、言われてないからやりませんでは同情する気になれん
司法の判断としてはどうかと思うけど、部下がやらかしたらめっちゃ怒る
13: 名刺は切らしておりまして 2016/01/26(火) 14:22:20.81 ID:1SBmyF3u.net
裁判官が文系だからこうなる
16: 名刺は切らしておりまして 2016/01/26(火) 14:28:38.10 ID:YqSbznKJ.net
ITに詳しい裁判官を呼んでこい
18: 名刺は切らしておりまして 2016/01/26(火) 14:42:35.65 ID:bRggncsg.net
日本のIT業界を潰す気まんまんだなw
20: 名刺は切らしておりまして 2016/01/26(火) 14:54:08.04 ID:BVmn+PTX.net
>SQLインジェクションとは、
>Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。
正規の入力フォームから生成されるSQL文以外を受け付けちゃ、そりゃあ駄目だろ
入力フォームからSQL文を生成しちゃうから手を抜いて盲滅法にSQLを解釈したくなっちゃうんだろう
から、全く独自の形式にすりゃいいんだよ
27: 名刺は切らしておりまして 2016/01/26(火) 15:12:34.60 ID:lg6AQ0L9.net
SQLインジェクションへの対応を要件に入れていなかった発注者側がアホすぎるw
33: 名刺は切らしておりまして 2016/01/26(火) 15:27:01.78 ID:o0t27Jn6.net
仕様書を取り交わす時点で、
それぞれSQLインジェクションのことを認識してたのかどうか
認識してた場合、何故言わなかったのか
そこらへんが明らかにならないと何とも言えないけど、
内心のことだから断定するのは難しいんだろうな
で、そこの評価次第でいくらでもおかしな判決が出て前例扱いされるとw
34: 名刺は切らしておりまして 2016/01/26(火) 15:28:56.15 ID:3N/UzwjT.net
今時、自社開発で0からECサイト作ろうと思うほうが珍しいけどな
どうせ数十万の予算しかなくて、その値段でも受けたい零細企業が入社したての新人にでも作らせたんだろ
とはいえ、SQLインジェクション対策の問題ではなく
契約になくともやって当たり前とかいう判決はどうかと思うな
36: 名刺は切らしておりまして 2016/01/26(火) 15:52:31.54 ID:2LmI27mY.net
この業界、「仕様書」()なんてあって無きがごとしだけど
クライアントサイドの担当者がITド素人で
自社の業務フロー要件でしか評価できないケースが殆どだろう
システムの堅牢性については開発サイドから
「松・竹・梅とあってそれぞれお値段変わって来ますが」
と提示して、しっかり事前合意を得ておくべき
38: 名刺は切らしておりまして 2016/01/26(火) 16:22:31.92 ID:cMbyXyzS.net
SQLインジェクションへの対応してないって、屋外で使う配線に防水してないのと同じレベルのやらかしだろ。
39: 名刺は切らしておりまして 2016/01/26(火) 16:24:56.44 ID:W9GgWnpK.net
SQLインジェンクション対策すらしないってwww
家に鍵をつけないようなもんだ
46: 名刺は切らしておりまして 2016/01/26(火) 18:40:11.25 ID:BBMXYpct.net
これって「セキュリティは完璧で当然なんだから、セキュリティのための工数は認めなくていい」ってことじゃね?
52: 名刺は切らしておりまして 2016/01/26(火) 19:11:34.78 ID:oStikk7N.net
顧客が本当に必要だったのは、木に吊るされたタイヤだった
55: 名刺は切らしておりまして 2016/01/26(火) 19:59:20.34 ID:hwmIVqbr.net
相当古いシステムじゃねえの?
64: 名刺は切らしておりまして 2016/01/26(火) 22:10:35.47 ID:Ck4qT6xA.net
SQLServer管理者の既定パスワードが空白のままポート1433を世界中に大公開させて、阿鼻叫喚の地獄に叩き込んだ会社の責任は特に問われなかったなw
68: 名刺は切らしておりまして 2016/01/27(水) 01:04:38.02 ID:0KP1KCFe.net
きっとSQLをテキストで繋いで作ってるんだろうな
72: 名刺は切らしておりまして 2016/01/27(水) 06:35:38.46 ID:eEnbIM2j.net
>XAMPP(ザンプ)というソフトウエアをインストールすれば、