Webビジネス千里眼コラム第一回「そもそもWeb脆弱性が発生する原因とその回避方法 」

こんにちは。吉政創成の吉政でございます。

今日はWeb脆弱性について書いてみたいと思います。

 

お気づきの方も多いと思うのですが、そもそも日本の開発作業にはおかしな文化がありますよね。

それは開発した人がテストをしたり、チェックをしたりする文化です。

 

IT業界の中では、自己テスト、自己診断が一般的で、第三者にテストを任せる会社はごくわずかなのではないでしょうか。

 

でも、これっておかしいですよね。

いや、おかしいというよりも間違えやミスが発生しやすいですよね。

だって自分で自分をチェックするんですもんね。

 

今まではお客様が開発会社に対して、「脆弱性などの問題がないようにしっかり作ってね」と依頼し、問題が起きたら開発会社の責任のような風潮があり、あまり良くないと思います。

実際に問題が起きた場合は裁判になることもあり、その時の事情によってお客様側もしくは開発側の責任になったりします。

お客様も開発会社も問題を起こしたくはなく、できればサービスインの前に脆弱性をつぶすことができれば一番いいですよね。

 

このようなミスを一番軽減できるのが第三者によるWeb脆弱性診断であると思います。

これにより脆弱性が修正されないままサービスインする可能性はぐっと減ります。

 

この件で、私は発注側にも開発会社側にもお願いしたいのです。

・お客様側にはRFP作成時に第三者による脆弱性診断サービスを要件に入れていただくこと。

・開発会社側には第三者による脆弱性診断サービスをオプションとしてお見積をしていただくこと。

 

この二つを実施することで、第三者によるチェックを行うことが文化として定着し、高品質なサイトが今以上に増えると思うのです。第三者によるチェックは責任も明確になるのでいいですよね。

さて一方で、NPO法人日本ネットワークセキュリティ協会の「2015年情報セキュリティインシデントに関する調査報告書」2によると一件あたり平均想定損害賠償額3億3705万円で一人あたり平均想定損害賠償額は2万8020円だそうです。賠償をする金額は大きく、企業の信頼以外にも受けるダメージは金銭的にも大きいです。

 

第三者によるWeb脆弱性診断サービスを利用することで、この損害賠償を回避できるのであれば安いものだと思います。

ちなみに損害賠償金の設定ですが、裁判になった場合、Web脆弱性により情報漏えいをしてしまった企業の対策によって、金額が決まることが多いです。第三者による脆弱性診断を行っていればその責任は軽減される可能性が高いはずです。(実際には損害賠償金額は総合的な判断で決まるため一概には言えないです)

具体的には発注企業側が、脆弱性診断についてRFP時に触れていなかった場合、発注企業の過失になり、損害賠償の責務を負う可能性が高いと個人的に考えます。是非第三者によるWeb脆弱性診断の徹底をお願いしたいです。

もし第三者によるWeb脆弱性診断に興味がある方がいらっしゃりましたら、私が推薦するディーアイエスソリューションのWeb脆弱性診断サービスのページをご覧ください。

以下のページでは料金、メニュー一覧、報告書サンプルを確認できます。是非ご参考ください。

※ディーアイエスソリューションのWeb脆弱性診断サービス

https://www.si-jirei.jp/secure/websecurityservice/

関連記事

更新情報

最新コラム

  1. 本連載では、全国の企業の皆様がICTを有効活用して、業務課題の解決や生産性の向上を通じて残業時間の短…
  2. はじめに 「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教(ミチノリ)です。 …
  3. 前回は、Office365の活用を考えるにあたり、まずはメーカーが想定する使い方を理解すべき、という…

最新事例

  1. 某製造業「Web脆弱性診断サービスプレミアム / KUSANAGI採用事例」公開しました。 取…
  2. 以下の通り、Office365導入事例「プライム・ストラテジー株式会社」を公開しました。興味がある方…
  3. 以下の通り、 Protect Cat導入事例「イー・ガーディアン株式会社」を公開しました。興味がある…

ログインステータス

ログインしていません。
ページ上部へ戻る