日本ネットワークセキュリティ協会(JNSA)は12月5日,Webシステムの構築をSIベンダーに委託するユーザー企業が「提案依頼書(RFP)」に盛り込むべき最低限のセキュリティ項目をまとめたドキュメント「Webシステム セキュリティ要求仕様(RFP)編 β版」を公開した。「対策手法」や「現象(被害内容)」など複数の観点から,重要度を「必須」「推奨」「任意」の3レベルに分け,具体的な記述サンプルを示している点が特徴だ。
Webシステムの脆弱性を突かれてセキュリティ侵害が発生した場合,開発したSIベンダーには瑕疵担保責任が生じる場合がある。だが現実には,瑕疵担保責任を追求することができず,リスクの大半をユーザー企業が負う結果となったケースが少なくない。これは,セキュリティ対策の“妥当なレベル”が日々変化することもあるが,根本的にはユーザー企業とSIベンダーがセキュリティ要件を軽視したままでシステムを受発注していることに原因がある。その結果,例えば予算とセキュリティ知識の乏しいユーザー企業が,低料金だが脆弱性対策のスキルが不足したSIベンダーを選定してしまうといった“不幸”が起きてしまう。
JNSAから提供されたドキュメントには,こうした状況を改善する効果が期待できる。ユーザー企業が本ドキュメントの内容をRFPに盛り込んでSIベンダーにシステム提案を求めることで,脆弱性対策のスキルが不十分なSIベンダーをふるい落とすことが容易になる。妥当なレベルが明確になり,不当に安価または高価な対策費が計上されている場合は根拠を追求しやすい。
SIベンダーから見れば,従来は見積もりに含めづらかったセキュリティ対策費や脆弱性テスト費などを盛り込みやすくなる。また,対策しなかった脆弱性に起因するセキュリティ侵害が生じたときに,瑕疵担保や免責など責任範囲が明確になる可能性も高い。
