JNSA「セキュリティしんだん」

 

« 「(15)一般の人たちにとって、セキュリティはどのくらい深刻な悩みなのか?」へ 「(17)米国におけるサイバーセキュリティ人材育成の現状からの考察」へ »


(16)受託したシステムの脆弱性と賠償責任問題を考える(2015年5月15日)

日本ネットワークセキュリティ協会 幹事
(社)日本クラウドセキュリティアライアンス代表理事
アルテア・セキュリティ・コンサルティング 代表 二木真明

開発を委託したシステムやサービスの瑕疵によって発生した損害の取扱は、以前から委託側と受託側の間で頭の痛い問題でした。とりわけ、アウトソーシングが(過度に)進んでしまった日本にあっては、ユーザ側はリスクも委託先にできるだけ移転したいと考えますし、一方で受託する側は、こうしたリスクを契約文面などで、可能な限り制限しようとします。契約書の賠償部分の記述で何度も法務部と相手先の板挟みになった経験をお持ちの方も少なくないでしょう。たとえば、システムが止まったとかパフォーマンスが低下したというような障害のリスクは、ある程度想定ができます。業務が止まることによる損失を見積もればよいのです。しかし、これが、いわゆる「脆弱性」となると事は簡単ではありません。


昨年1月23日、東京地方裁判所で注目すべき判決がありました。(判決文は以下のサイトで参照できます)

http://www.softic.or.jp/semi/2014/5_141113/op.pdf


Webサイトへのサイバー攻撃で顧客のカード情報が流出した企業(以下A社)が、そのWebサイトのシステムを開発、運用していた企業(以下B社)に損害賠償を求めたもので、裁判所はB社に重過失があったと認定し、2200万円あまりの賠償(請求額は一億円超)を命じています。


判決内容については、法律の専門家の議論による必要があり、ここでその是非を論じることは適切ではないと考えますが、こうした判決が出たことは、従来から我々セキュリティ専門家が力を入れてきた脆弱性対策に関する啓発活動が司法にも認知されるに至ったと考えることもできます。実際、判決では、こうした脆弱性に関しては、既に多くの注意喚起が社会的になされていることを理由にB社に注意義務が生じていたと結論づけています。しかし、その一方で、開発、運用業務を受託する企業においては、そのような注意義務に関する認識は低いと言わざるを得ないのが現状です。 また、発注時にセキュリティに関する要件を詳細に取り決めるというような動きも、まだまだ一般的にはなっていません。このような状況下で前述のような判決が出ることにより、様々な影響が懸念されます。たとえば、発注者側に、取り決めがなくても脆弱性対策は一方的に受託側の責任であるという認識を植え付ける可能性があるでしょう。また、受託側が過度に萎縮してしまう可能性もあります。実際、比較的大きなシステムインテグレータなどでは、受注に際してセキュリティ対策を明示し、見積もりにそのコストやリスク負担を含める動きが出ています。しかし、一方で人材に乏しく立場の弱い中小の事業者においては、営業的にも技術的にも困難が多いのが現実です。

セキュリティ専業の会社も、うかうかしてはいられません。たとえば、セキュリティ製品の設定に瑕疵があり、結果として不正アクセスを受けた場合や、脆弱性検査で見落としがあったようなケースです。前述の判決では、脆弱性排除が一般の開発会社でも常識になったということが前提とされています。一方、そうした論拠に頼るまでもなく、専門家は当然のこととして、そうした知見を有していると見なされるはずですから、問題はより深刻でしょう。


本来、システムの開発、運用アウトソーシングにおけるリスクはそれを発注する側と受注する側で適切に共有、分担される必要があります。しかし、情報セキュリティに限らず、こうしたリスクを事前に洗い出し、契約時に互いに認識をそろえておくようなケースはまだまだ少ないのが現状です。互いにリスクを負うという意識があれば、その対策も考えられます。取り決めによって、受注側が多くの責任を負うことになったとしても、受注側はその対策(多くは人的な資源の投入や開発期間、工数の追加)に必要な費用と、残存リスクに対する「保険」としての費用などを算定し、見積もりに含める素地ができます。発注側は、自らが一部のリスクを引き受けるかわりに、コスト低減を要求することもできます。もちろん、そうすることで発注者側にもなんらかの対策が必要になるため、単純なコストダウンではなく、バランスで考える必要が生じることは言うまでもありません。しかし、こうしたリスクを明らかにできなければ、その扱いもまた決めることができません。サイバー攻撃がもたらすリスクが極めて大きくなりつつある現在、システム開発や運用のアウトソーシングにおいても、こうしたリスク認識を共有する文化が必須になっていると言えるのではないでしょうか。言葉を換えれば、そろそろ委託する側もされる側も契約上のグレーゾーンを放置して自分に都合良く解釈するのはやめにしましょうということです。


こうしたアウトソーシングにおけるリスクの取り扱いに関する議論は、これまでも様々なところで行われてきました。しかし、それらの中にサイバー攻撃に対するリスクは残念ながら含まれていません。脆弱性に限らず、事前にリスクを明らかにし、それを受容できるレベルに落とし込むプロセスを、委託側、受託側が一緒に進めていくといったことが、今後ますます必要になります。同時に、サイバーセキュリティのリスク評価のありかたも問われるでしょう。こうしたリスクが、実際に他のビジネスリスクと同じ土俵で扱えるようなリスク評価方法を確立することも必要になります。ISMSの規格である、ISO/IEC27000シリーズが、2013年版の改定でリスクの定義を大幅に変え、リスクマネジメント規格であるISO31000準拠とした理由はまさにここにあるのだろうと私は考えます。しかし、依然としてこうした評価方法にセキュリティ業界自体が不慣れであることは否めません。我々は、業界として、こうした議論を加速する必要があるでしょう。




« 「(15)一般の人たちにとって、セキュリティはどのくらい深刻な悩みなのか?」へ 「(17)米国におけるサイバーセキュリティ人材育成の現状からの考察」へ »