アカウント名:
パスワード:
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、マイナーなセキュリティホールまで開発会社の責となると辛いな。十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
何のためにユーザーテストや検収があるんだよ。両方の問題だろ。
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
被告は,情報処理システムの企画,ホームページの制作,業務システムの開発等を行う会社として,プログラムに関する専門的知見を活用した事業を展開し,その事業の一環として本件ウェブアプリケーションを提供しており,原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき,被告に求められる注意義務の程度は比較的高度なものと認められるところ,前記のとおり,SQLインジェクション対策がされていなければ,第三者がSQLインジェクション攻撃を行うことで本件データベースから個人情報が流出する事態が生じ得ることは被告において予見が可能であり,かつ,経済産業省及びIPAが,ウェブアプリケーションに対する代表的な攻撃手法としてSQLインジェクション攻撃を挙げ,バインド機構の使用又はSQL文を構成する全ての変数に対するエスケープ処理を行うこと等のSQLインジェクション対策をするように注意喚起をしていたことからすれば,その事態が生じ得ることを予見することは容易であったといえる。また,バインド機構の使用又はエスケープ処理を行うことで,本件流出という結果が回避できたところ,本件ウェブアプリケーションの全体にバインド機構の使用又はエスケープ処理を行うことに多大な労力や費用がかかることをうかがわせる証拠はなく,本件流出という結果を回避することは容易であったといえる。そうすると,被告には重過失が認められるというべきである。
注目点は「原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき」の箇所。業務システムを開発しているところならセキュリティ対策ぐらいやっていて当然だよね、という前提が成り立つとしています。言わなくても要件に入っていており実装されていて当然ということです。
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
Web系の開発工数・単価を増やさねば (スコア:1)
SQLインジェクションなどの、もはや常識となってるものについては開発会社の責になるのはしょうがないが、
マイナーなセキュリティホールまで開発会社の責となると辛いな。
十分な工数が取れるならともかく、高い高い言って値切る顧客多いし。
Re: (スコア:0)
何のためにユーザーテストや検収があるんだよ。
両方の問題だろ。
Re: (スコア:0)
いいえ。ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし対策を施していなければ債務不履行にあたります。
Re: (スコア:0)
おっしゃっていることは良く理解できるのですが、
>ユーザーに引き渡すときに適切なセキュリティ対策はされているものという前提のもので納品される、のは暗黙の条件ですし
暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
契約事項で双方の合意がないのであれば、残念ながら文句をつけてきたとしてもそれは(契約として明記しなかった|きちんと検収しなかった|きちんと作り込めなかった)双方の責任じゃないのかと。
Re:Web系の開発工数・単価を増やさねば (スコア:0)
>暗黙の・・・がまかり通っているのも契約行為を交わしているビジネスとしてはおかしいよなぁ
それは開発側の理屈です。判決文より:
注目点は「原告もその専門的知見を信頼して本件システム発注契約を締結したと推認でき」の箇所。業務システムを開発しているところならセキュリティ対策ぐらいやっていて当然だよね、という前提が成り立つとしています。言わなくても要件に入っていており実装されていて当然ということです。
Re: (スコア:0)
わざわざ
> 経済産業省及びIPAが(中略)注意喚起を
する必要があるんでしょうね。
Re: (スコア:0)
予見が可能で労力や費用もかからない容易なことについて「思いも付かない」バカが世の中には沢山いるから。