前述の対応策を正しく採用すれば、技術的な欠陥に関する問題については対処が可能である。しかし、現実の社会においては、ユーザ企業における以下のさまざまな事情から対処できないケースが散見される。
これらの事情が発生する原因を考えてみると、以下のように集約できる。
システムのオーナーは、セキュアなWebシステムを作りたいのではなく、本来の事業を推進するためにWebシステムを有効に使いたいのである。それでも、セキュリティに関心がないという訳ではなく、ある程度関心はあっても、セキュリティ対策の話題が難解なことから、開発、運用をシステム業者に任せっ切りにしているケースが多いと想定される。
また、個人情報保護法の施行や、昨今の事件を契機に、委託先の業者に対して、セキュリティ対策状況について確認し、仮に問題があることが判明したとしても、システム修正にかかわるコストや時間の問題から対策の実施を逡巡しているケースもあるだろう。
Webシステムの作成業者といってもさまざまな業態・業種が存在する。すべての業者がセキュリティについて熟知していることはあり得ない。
Webシステム作成業者 | 特徴 |
---|---|
システムベンダ(SIer) | Webシステムをプログラムとして考える。見た目よりも、使い勝手や、機能や、パフォーマンスを重視する傾向にある。セキュリティ対策については、技術的に前向きであるが、凝り過ぎの傾向がある。 |
ホームページ制作専業 | Webシステムを、ホームページ作成ととらえ、企業の顔としてのデザインと、機能や、パフォーマンスのバランスを考慮する。セキュリティについての意識は高いが、規模的に小さい企業が多く、各社の対応のバラツキが大きい傾向にある。 |
広告代理店・デザイン会社 | Webシステムというより、広告媒体の一種類として考える傾向にある。機能や、パフォーマンスよりもデザイン重視であり、セキュリティについての意識は低い傾向にある。 |
たとえセキュリティ対策に強いシステムベンダに委託していたとしても、すべての担当者がセキュリティについて熟知しているわけではないため、仮に担当者個人の能力に依存していると、SQLインジェクションなどの、従来の対策では対応できない問題について無防備となっている可能性がある。
さらには、提案段階においてコンペとなり、開発予算を低く抑えるため、本来なら盛り込むべきセキュリティ対策を削るというケースもあり得る。
いまだに、Webアプリケーションの脆弱性に対する責任が、システムのオーナーにあるのか、または、システムの開発者や、運用者にあるのか明確なコンセンサスがないケースが多い。
その場合、当然、システム開発段階や、運用・保守段階でのセキュリティ要件に関して契約書に記載するなどの明確な取り決めはなされていないはずであり、仮にWebアプリケーションに脆弱性が発見されたとしてもどちらの責任(コスト)で、修正するのかという問題から、システムの修正が行われていない、または遅れているというケースもある。
Copyright © ITmedia, Inc. All Rights Reserved.