アカウント名:
パスワード:
>個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を>1社に任せっきりにしておくってのは重大な過失だと思うし
どう考えても過失は言い過ぎ。単なる方針の違い。過失というからには、それが原因で事故が発生していなければならないが、そうではない。もちろん、ベターだとは思うが、手間暇や、責任のなすりつけ合いを避けるために、丸投げすることもひとつの判断。特に発注者に充分な知識や経験がなければ、その方がスムーズ。
過失は、脆弱性情報の収集を行っていなかったことか、判断を間違えてバージョンアップしなかったこと。それが誰の責任だったかは契約次第。
>一応この程度には気を使ってるのに、
そう、気遣いのレベル。必須なこととはいえない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
「ベンダ側の責任が問われそう」? (スコア:4, 参考になる)
ちなみに自分は業態は全然違うけど、委託する側の小さな会社のシステム企画部門にいます。
で、自分の会社でもWebSiteについては開発・運用・脆弱性診断をそれぞれ別な会社(←ココ重要)に外部委託しています。
利用するミドルウェアの選定なんかはコンテンツ制作会社のノウハウに依存せざるをえないので、コンテンツ制作会社に任せっきりです。
しかしウェブのコンテンツ制作会社なんかは、どちらかと言うとデザインよりの集団な事が多いので、彼らに全部任せっきりは結構危ない事が多い。
だからこそ、それぞれ別々な会社に委託している。
診断専門の会社には、リリース前は勿論、定期的に脆弱性診断を受けて確認し、
サーバーの運用会社からも脆弱性の最新情報が日々送られてくるし、
自分らも使ってるもののバージョンは把握しているので、日々IPAとかの発表はチェックしています。
で、バージョンアップの必要性を社内で(つーか判断できるのは社内で自分とあともう一人くらいですが・・・)検討して、適宜バージョンアップしてる感じ。
WebSite上で顧客情報を取り扱ってなくても一応この程度には気を使ってるのに、
個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
1社に任せっきりにしておくってのは重大な過失だと思うし、調査委員会の指摘はもっともだと思う。
Re:「ベンダ側の責任が問われそう」? (スコア:3)
>個人情報も取り扱ってるコンテンツで、ぜ~んぶ開発から運用(脆弱性診断はやってるのか?)を
>1社に任せっきりにしておくってのは重大な過失だと思うし
どう考えても過失は言い過ぎ。単なる方針の違い。
過失というからには、それが原因で事故が発生していなければならないが、そうではない。
もちろん、ベターだとは思うが、手間暇や、責任のなすりつけ合いを避けるために、丸投げすることもひとつの判断。特に発注者に充分な知識や経験がなければ、その方がスムーズ。
過失は、脆弱性情報の収集を行っていなかったことか、判断を間違えてバージョンアップしなかったこと。それが誰の責任だったかは契約次第。
>一応この程度には気を使ってるのに、
そう、気遣いのレベル。必須なこととはいえない。