不正アクセス（JINSオンラインショップ）に関する調査結果（最終報告）を読んだ感想。

責任についてベンダーに丸投げという最終報告書になっていました。
この最終報告書は、今回の不祥事の原因は、Struts2のバージョンアップをしていなかったため、サーバー内のファイルを書き換えられてしまい本来サーバー内に送られるべきデータがほかの不正なサーバーへも送信されていたということが原因のようですが、そちらに対する根本対応はしません。という内容になっていました。*1

それはいいとして、JINSとベンダー間の契約がどうなっていたのかが気になります。

セキュリティに関する契約はきちんと結ばれていたのでしょうか？

ちょうどこの間のデブサミにおいて、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」を一般公開しましたについての講演がありました。

togetterは2013/02/15 デブサミ2013【15-C-8】セキュリティ要求仕様モデルプランで日本は変わるか？ #devsumiCですね。

こちらの内容としては、地方公共団体でシステムを組む場合はセキュリティに関しては全てベンダーの責任という形で契約を結ぶのでその分の料金の上乗せはきちんとしてね、という感じ。

JINSの場合のセキュリティに対する契約はどうなっていたのかなぁとか。

今回の件、ライブラリのバージョンアップをしていなかったなんてよくある話だよねーで済ますのは簡単だけれども、明日は我が身と考えて、こちらに対する資料はきちんと読んでおいたほうが良いかと。

発注側受注側を問わず。

未だにJava1.4などの保守サポートが切れていいるライブラリを使用して動いているシステムなんて山のようにあるわけで、このような自体になった場合に誰が責任をとるべきかについては一度確認したほうが良いかもしれません。

先の「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」はひとつの考え方ではあるので、特に契約を担当する人は全員読んで、プロジェクトを担当するSEの人と一度きちんと確認をしてほしいなあと思います。