SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記


WEB+DBマガジンか、Software Designかどちらかの雑誌に載っていたので、直接ブログエントリーを読んでみました。


2009年4月15日のウェブサイト稼働開始時点ではクレジットカード情報を扱っていなかったことから、僕はこの判決は原告に甘すぎるのではないかと思いました。このウェブサイト向け商品受注システムがどのような商品を扱っているかはわかりませんが、初めはクレジットカードをサーバに格納しない状況だったので、セキュアなシステム要件を暗黙に認めるかというと微妙なのではと考えました。


一方、被告にまったく非がないかと言えば、非はあったようです。管理ユーザーIDPWがデフォルトでよく使われるもので、あまりセキュリティを意識していないような成果物だったようです。


この判決は、昨今のセキュリティへの問題意識の高まりを汲んだものではないかと、私は穿った見方をしています。何はともあれ、今後のシステム開発の現場では、IPAが発表しているセキュリティ対策やチェックは必須だと考えないといけないですね。