OWASP Kyushuのセミナーを受けてきました。
https://owasp-kyushu.doorkeeper.jp/events/24859
今回は、弁護士の吉井先生より「ケースからみたウェブアプリケーション脆弱性と法的責任」として、今年の初めに東京地裁で判決の出たオンラインショッピングサイトでの情報漏洩の事案について解説していただきました。
すでにいろんなかたが記事にしているので、ここであれこれと書いてもなんの役にも立たないのは百も承知ですが…
個人的に興味深かったのは、特に契約書などに記述がなくとも、平成18年に経産省から出された「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」、平成19年にIPAが出した「大企業・中堅企業の情報システムのセキュリティ対策~脅威と対策~」などから、Webアプリケーションの開発者はSQLインジェクション対策を行ってしかるべき、行っていなければそれは重過失であると判断されたことでしょうか。
ま、なんにしても、SQLインジェクション対策無しのシステム、しょぼい認証システム、テキトーはパスワードなどはもってのほかということでしょう。
たとえどんなに値切られても、これらのしかるべき対策は行っておきましょうということだと思います。もっとも、CakePHPなどのフレームワークを使っていれば、このへんはフレームワーク側が処理してくれますが…
もちろん、しょぼいパスワードは別です。
ところで、時々既存システムの改修の依頼が来ますが、ソースコードを見ると、SQL対策無し、XSS対策無しなんてのもたまに見かけます。
改修以前にそちらに対処をした方が良いと告げても、「今まで問題なかった」などと平然とおっしゃるお客さんもいます。大丈夫なんだろうか?