小林:少なくとも問題が発生する可能性はあるみたいだが,本当に致命的な問題が発生するのか確認できるか?
山下:この掲示板システムを発注した○○社に確認しないことには正確には確認できないと思います。
小林:じゃあ,○○社に聞けばいいだろ?
山下:実はこの掲示板システムはオープンソースの出来合いのものを○○社が我が社向けにカスタマイズしたものなので,買い切りで保守に入っていないんです…。
小林:そうか…。
山下:ただ万が一,顧客情報漏えいなんてことになったら,先月の漏えい事故並みに対応に経費がかかるのではないかと…。
小林:そうだな…。よし! 先月の件もあるから社としても問題ないだろう。追加費用が発生するかどうかも含めて,至急○○社に確認してくれ。
山下:了解しました。
一般的にWebアプリケーションは外部に発注し,買い切りで保守契約を結んでいないことが多い。しかしWebアプリケーションもソフトウエアの1種である。人間が作るものである以上,バグ(不具合)のないソフトウエアはないと言っても過言ではない。今回のように情報漏えいといった致命的な問題に繋がる危険性があるアプリケーションについては,万が一の事態に備えて「不具合の確認および修正」が速やかにできるような契約を発注先と交わしておくことが重要である。
ちなみに情報漏えい発生における顧客への謝罪,問合せ窓口設置,補償などには数百万円以上の経費がかかるとの試算がある。
[参考]
「企業における情報セキュリティ事象被害額調査」及び「国内におけるコンピュータウイルス被害状況調査」(2005年版,IPA)
http://www.ipa.go.jp/security/fy17/reports/virus-survey/index.html
山下:部長,○○社から連絡がありました。
小林:それで何だって?
山下:確かに「クロスサイト・スクリプティング」のぜい弱性はあるけれど,それによって致命的な影響はないのではないかとのことです。
小林:本当かな…。ちょっとIPAに相談してみてはどうかな?
山下:そうですね。もしかするとIPA経由で報告者から追加情報がもらえるかも知れませんし。
|
山下:部長,IPAから追加情報がありました。やはりログにあったようなスクリプトが埋め込み可能であったのなら,フィッシングに悪用されるといったユーザーに影響が及ぶ危険性が十分あるのではないかとのことです。
小林:やはりそうだったか…。それならば改めてもう一度「修正してもらう」という前提で○○社と交渉だな。
山下:そうですね…。
しばらくして山下から報告があった。
山下:部長,○○社から回答が来ました。
小林:それで何だって?
山下:修正はできるが新規契約になるそうです。概算で490万円という見積もりが…。
小林:はぁ? その金額はこのシステムを発注したときの金額と大差ないじゃないか!
山下:そうなんですよ…。納入から時間が経っていて完全に新規の契約だからということらしいんですけど…。
小林:ひょっとして,改修するより,そこだけ新品と取り替えたほうが安上がりだったりしないかな。
山下:そうですね…。今回問題が指摘された掲示板システムはオンライン・ショッピング・システムから完全に独立しているプログラムです。別の業者に頼めばそこだけ入れ替えることもできそうです。
小林:それに,今回のぜい弱性に納入業者としての過失は無いのかね?
山下:なるほど…。今回指摘されたぜい弱性はかなり初歩的な「プログラムミス」と言えると思います。もちろん要求仕様に不備があったという点ではウチにも責任はありますが,そんな基本的な問題点を残しておいたまま納品したということで○○社にも責任はあるのではないでしょうか。
小林:その点を主張して強く値引き交渉してみたらいいだろう。もし不調なら他社に切り替えを考えてもいい。
山下:了解しました。
○○社との交渉の末,結局,○○社が当初提示した金額よりかなり低い金額で修正を請け負うことで決着した。
|