2020 年 02 月 28 日
情報・IT 産業の情報セキュリティ対策
情報・IT 産業に携わる方は、一般企業よりも PC やネットワークに詳しい方が多いのは事実です。しかし、それ故に情報・IT 産業=情報セキュリティのプロと見なされてしまい、顧客から情報セキュリティも含めて丸投げにされるリスクも生じてしまいます。
ウェブサイトの不正アクセスによる個人情報の漏洩訴訟
システム開発を受注すれば、当然にシステムの完成そして一定の情報セキュリティ対策が求められます。では何を以て「情報セキュリティを考慮したシステムの完成」と見なすか。この点の合意は疎かになりがちです。
事例:ウェブサイトの不正アクセスによる個人情報の漏洩
とある商品の受注システムであるウェブサイトに不正アクセスがあり、顧客のクレジットカード情報を含む個人情報が流出しました。SQL インジェクションと呼ばれる攻撃によるもので、6,975 名分の個人情報が漏えいした事件です。
被害企業(Web サイト)は、システム開発・運用会社に対し、適切なセキュリティ対策を執っていなかったなどと主張し、委託契約の債務不履行に基づき損害賠償金約 1.1 億円を請求しました。
システム開発・運用会社は、これに対し、債務不履行の有無や、損害の額を争うとともに、「契約金額の範囲内において」支払うという損害賠償責任制限規定の適用を主張しました。
Web サイトにおける商品受注システムの設計、保守等の委託契約において、受託者が製作したアプリケーションが脆弱であったことにより顧客のクレジットカード情報が流出したことに対して、個人情報の漏洩を防ぐために必要なセキュリティ対策を施すプログラムを提供すべき義務に対する債務不履行責任が認められたのです。
判決文でのポイントは「その当時〔平成 24 年 2 月 4 日〕の技術水準に沿ったセキュリティ対策を施したプログラ厶を提供することが黙示的に合意されていたと認められる。」と、脆弱性対策は実施されて当然で、契約時点で判明している脆弱性対策が無いのは"重過失"とされたことです。
SQL インジェクション攻撃に関しては、経済産業省は、平成 18 年 2 月 20 日、「個人情報保護法に基づく個人データの安全管理措置の徹底に係る注意喚起」と題する文書において、独立行政法人情報処理推進機構が紹介する SQL インジェクション対策の措置を重点的に実施することを求める旨の注意喚起をしています。また、独立行政法人情報処理推進機構は、平成 19 年 4 月、「大企業・中堅企業の情報システムのセキュリティ対策 ~脅威と対策」と題する文書において、ウェブアプリケーションに対する代表的な攻撃手法として SQL インジェクション攻撃を挙げています。
これらの事実からシステム開発・運用会社、本件システム発注契約締結時点において、本件データベースから顧客の個人情報が漏洩することを防止するために対策し、プログラムを提供すべき債務を負っていたということになります。
このように、システム開発の際にベンダー側がリスクに関する説明責任を果たすこと、またリスク対応の合意を図ることはとても重要です。
例えば、ユーザーの仕様変更の要望をそのまま受けると、セキュリティ上のリスクが生じる場合も良くあります。この場合、そのリスクを説明しユーザーの合意を得ていないと、実際に漏えい事件などが起こった際には、訴訟される可能性もある、ということなのです。もちろん、最新の脆弱性情報を把握していることは大前提です。
開発者側からすれば堪ったものではありませんが、これが IT・情報業界の外の感覚なのです。
ISMS の管理策を説明した ISO27002 では、14.2.7 外部委託による開発 の項で合意すべきこと、責任の所在を明らかにすべきことを11項目に亘り述べています。開発を受託する側も参考にしておくと良いでしょう。
また、ISMS や IT 統制ガイダンスでは、開発環境の指定もあります。これらの要求では、本番環境、開発環境、ユーザー受入テスト環境は分離しなければなりません。クライアントがこのような要求を知らないまま開発を依頼してくる場合もままあります。
テストでセキュリティリスクが炙り出されない可能性もありますから、開発環境に問題がある場合、指摘しておくべきです。本来はクライアントが知っていなければいけないことですが、 IT に関わることは全て丸投げという意識を持つ経営者は少なくありません。上場企業であれば、IT 統制ガイダンスへの準拠は必須ですし、それが後で問題になったとき「プロだから」を理由にして訴訟されるリスクがあるかも知れません。
セキュリティバイデザイン
セキュリティに対する要求が高まる中、「セキュリティバイデザイン」という考え方も広まってきています。
内閣府サイバーセキュリティセンター(NISC)によれば、セキュリティバイデザイン(SBD)とは、「情報セキュリティを企画・設計段階から確保するための方策」と定義しています。設計など開発の初期段階からセキュリティを意識することで、手戻りの削減、それに伴うコスト低減、保守性の向上などのメリットを挙げています。
特に IoT 製品にはセキュリティバイデザインが要求されています。これは IoT 機器を乗っ取り、サイバー攻撃に悪用する事例が後を絶たないからです。総務省はこれに対し、NOTICE「National Operation Towards IoT Clean Environment」という活動を行っています。インターネットからアクセス可能な IoT 機器のうち、簡易なパスワードで容易に推測されるものを調査し、プロバイダーを通じてユーザーに注意喚起をするものです。
IoT 機器はインターネットに繋がっているため、便利な反面、悪用されると重大な事態を引き起こす可能性があります。IoT 機器の開発、導入を行う場合はセキュリティバイデザインを意識しないと、導入後のサイバー攻撃や NOTICE の調査結果により、顧客の信頼を損なう場合もあります。
このように情報・IT 産業の業界は、自らへの攻撃を意識するとともに、顧客の説明と事前合意が情報セキュリティ活動において重要になります。