サイト納品後のセキュリティ修正は有償？ 無償？

今日はセキュリティ関連の話題を。というのも、6月にIPA（独立行政法人情報処理推進機構）が公開した「ウェブサイト構築事業者のための脆弱性対応ガイド」という資料が非常にわかりやすかったからです。

IPA（独立行政法人情報処理推進機構）が2009年6月8日に、「ウェブサイト構築事業者のための脆弱性対応ガイド」を公開しました。

昨年は「ウェブサイト運営者のための脆弱性対応ガイド」でしたから、これで発注側向けと受注側向けの、Webサイトのセキュリティに関するIPAのガイドが揃ったことになります。

• ウェブサイト構築事業者のための脆弱性対応ガイド
  → http://www.ipa.go.jp/security/fy20/reports/vuln_handling/ （解説）
  → http://www.ipa.go.jp/security/ciadr/vuln_sier_guide.pdf （本文PDF）

• ウェブサイト運営者のための脆弱性対応ガイド
  → http://www.ipa.go.jp/security/fy19/reports/vuln_handling/ （解説）
  → http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf （本文PDF）

そもそも、このガイドの公開のリリースにある

このヒアリングにおいて、ウェブサイトを公開している企業の中には、システム導入・運営上の意思決定を担う層の脆弱性に関する知識が乏しく、運用・保守の予算が十分に確保されていないケースが少なくないことが判明しました。

といった部分が、Webサイトのセキュリティ問題の根本を的確に表しているとは思うのですが、とはいえ現実的に、そういった状況でもサイトは作られ続けているわけで、受注側がしっかりしておかなきゃいけない面も多々あるのです。

とはいえシステム屋さんと違ってWebサイト制作会社さんはセキュリティの技術的な部分に明るくない場合が多いですよね。

でも、この「ウェブサイト構築事業者のための脆弱性対応ガイド」は、難しい技術的なことを説明するのではなく、制作会社さん向けの現実的な基礎解説になっているので安心してください。

たとえば、

• 納入後に公表された新規の脆弱性対策は有償？ 無償？
• 既知の重要な脆弱性対策は有償？ 無償？
• 緊急事態時の費用負担は？

といった、お金に関して押さえておくべき点や、

仕様におけるセキュリティ要件が曖昧であったために、本来は契約外である脆弱性対策の負担をウェブサイト構築事業者に求められることがあります。

といった、契約でありがちな落とし穴、

予算や開発期間を抑制するため、サンプルプログラムを流用することもありますが、そこに脆弱性が含まれているケースが見られます。

といった、制作の現場で起こりがちなミスの原因などが挙げられているので、いわゆる「セキュリティ対策の技術ドキュメント」と違って理解しやすいでしょう。

また、サイトを制作して納品したあとで脆弱性のトラブルを発生させる要素として、

納入当初は適切な設定であっても、システムのメンテナンスや統合・移行の際に、設定上のミスが生じることがあります。

開発当初の想定から逸脱した構成に移行したため、脆弱ではなかったものが 脆弱になってしまうことがあります。

システムを立ち上げた際の開発担当者や責任者がすでに退職していて、当時の状況がわからなくなることがあります。

といった解説がされているのも、現実に即した良い資料だといえる点です。

この資料は「本資料の配布に制限はありません」ということなので、

• まずはWebサイト制作会社の社内で基本テキストにして理解の底上げをする。
• ディレクタさんが発注側の担当者と話をするときに「ウェブサイト運営者のための脆弱性対応ガイド」と併せて紹介する。
• 少なくともこのガイドに書かれている項目について、発注側と協議してみる。

といったところから始めてみてはいかがでしょうか？

この記事は、メールマガジン「Web担ウィークリー」に掲載されたコラムを再掲したものです。