徳丸浩のWebセキュリティ教室を読んで、開発の値引きはやめよう

徳丸浩のWebセキュリティー教室
徳丸浩著 日経BP

「徳丸浩のWebセキュリティ教室」(紙の本/電子書籍

このところ、ITセキュリティー関係の本を何冊も読んでいます。その内容をITに詳しくない人にもなるべくわかるように説明したいと思います。

侵入経路はただ2つだけ

Web サイト への 侵入 経路 には、 以下 の 2 種類 しか ない という こと で ある。  
(1) ソフトウエア の 脆弱性を悪用する

(2)認証を突破する

→つまり、バグがあってハッカーが入り込むスキを与えてしまうということと、パスワードが見破られたりして利用者になりすまされてしまうことです。

それさえ防げればいいのです。だけどそれが結構大変ですよね。

脆弱性があるのは誰のせい?

「セキュリティに無頓着なために、セキュリティ要件を仕様書に盛り込まない発注者」と、「仕様書にないことを“口実”に脆弱性対策を実施しない受注者」によって、脆弱性を含むWebアプリケーションが次々と生み出され、攻撃者の餌食になっていった。

→○○社のサイトが不正アクセスされて個人情報が流出した、というニュースをちょくちょく耳にします。その理由がこれです。

システム構築を発注する側はセキュリティについてよく勉強してから頼まないといけません。仕事をもらった方もちゃんと安全なシステムを作っておかないとあとでひどい目にあいます。

開発ベンダーに厳しい判決

Webサイトを安全にする意志、そのためのコストを負担する意志が発注者には求められる。

と著者は述べています。ところがこんなことが書かれていました。

契約書には契約金額の範囲内とする損害賠償責任制限があったが、それを超える賠償金の支払いが開発ベンダーに命じられたのだ。

→つまりこういうことです。

ある会社A社が開発ベンダーのB社にシステム開発を約900万円で発注し、契約書に「システムに不備があっても900万円までしか損害賠償しませんよ」と書かれていたのに、システムの不備でA社の情報が流出したら、裁判で2,000万円以上賠償する判決になったということです。

しかも契約書には「セキュリティー機能として○○を行うこと」という記述はなかったそうです。

この判決はB社がかわいそうだと私は思いました。

私もB社と同じような開発ベンダーの社員です。システム開発を行うとき、お客さんは値切ってきます。無理な予算と納期で開発しろと言ってきます。そこで「本来はつけたほうがいいのですが、この機能を省けば予算に収まります」と言って話をまとめることも多いのです。

でも、これをやってしまうと開発ベンダー側が自分の首を締めることになってしまうのですね。だから「値引きに応じてはいけない」と思いました。そして発注側も安物買いは危険だという認識を持ってもらいたいです。

「徳丸浩のWebセキュリティ教室」紙の本/電子書籍


エクセル表の編集の作業を自動化してみませんか?!
3時間かかる作業がプログラムを作ることにより1分で終わることもあります。

「50代からのエクセルプログラミングマンツーマン特訓」 この講座は初心者向けでありながら、気合を入れた特訓コースになります。

通常の初心者向け講座はこちら↓。

「エクセルプログラミング個人レッスン」
「エクセルプログラミング「自動化入門」少人数講座」