Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

尼崎市は監督責任の不備を指摘されるリスクも

尼崎市の健康情報サイトへのサイバー攻撃でWebサイト開発元・運営の電通が訴えられるかも知れないとの日経の記事がありました。

www.nikkei.com

◆キタきつねの所感

この背景には、実際にWebサイト開発を受託した電通西日本(電通だとすれば・・外注業者使ってそうですね)のセキュリティに対する意識が低かった事があるのでしょう。

Scan Net Securityの記事には

scan.netsecurity.ne.jp

調査の結果、WEBサイトの開発体制やリリース前のテストが不十分であったため、同サイトのセキュリティプログラムに不備があり悪意ある第三者からのサイバー攻撃を防ぐことができなかったことが原因だったという。

(Scan net security記事より引用)

 

とあるので、脆弱性を残したままにリリースをして、その後の脆弱性に対する最新パッチ運用がされてなかったという事が伺えます。

PCI DSS仕様では、開発前にちゃんとレビューすべきと規定していますし、

f:id:foxcafelate:20180501061013j:plain

最新版パッチ(重要なもの)を当てるは1ヶ月以内とも規定されています。

f:id:foxcafelate:20180501061015j:plain

もちろん、尼崎市の当該サイトはPCI DSSとは関係が無いWebサイトですので、こうした項目をやる必要はありませんが、こうした概念があれば、もしかすると情報漏えいまでつながらなかったのかも知れません。

 

さて、本題の部分ですが、、、損害賠償請求について、おそらく電通側にセキュリティ実装のミスがあったのでしょうから、市が勝てる可能性はあろうかと思いますが、1万4千件程度の漏えい事件に関してですので、最終的に認められる賠償金額が大きい訳ではないかと思います。

 

市はサイトの運営・管理を委託している電通西日本に対して損害賠償請求を検討している。

(日経記事より引用)

 

だとすると、尼崎市の責任は無い、業者が悪いんだ!という事を裁判の過程で明らかにする、あるいは優位な和解条件を取りたいのだと思います。それは電通との間で結んだ契約内容次第ではありますが、運用投げっぱなしをベースにした要件定義であれば、尼崎市側の責任も明らかになってしまう可能性も出てきます。

記事から伺えるような、初期リリース時の対策不備があったのだとすれば、電通側の責任は当然あるかと思いますが、その後、パッチ当てが出来ていなかったであろう点については、尼崎市側が(運用保守条件次第ですが)委託業務内容に定義してなかった、あるいは予算を積んでなかった(セキュリティ対策をあまり考えてなかった)事が浮き彫りになってしまうかも知れません

いずれにせよ、監督責任は一部残っているのではないかなと思います。

(参考までPCI DSSでは以下の要件違反の可能性があります)

f:id:foxcafelate:20180501061804j:plain

f:id:foxcafelate:20180501063025j:plain

 

以下(以上もか・・)、尼崎市の体制への想像を多分に含み、もしかすると間違っているかも知れませんが、

セキュリティ事故が発生した際、何でもかんでも開発・運用委託業者の責任にするような考え方をベースにした損害賠償検討というのは、あまり良い手では無い気がします。それが出来る前提は、発注側が要件定義にはっきりとセキュリティ要件を記載している場合ではないでしょうか。

単に安くてデザインが良さそうな業者を選定し『セキュリティ対策もおまけで付いてくるのが当然』という企業や行政組織は、その隙を攻撃者に突かれているんだという事を改めて考えるべきだと思います。

 

 

 

 

闇サイトのイラスト

 

更新履歴

  • 2018年5月1日AM(予約投稿)