不正アクセス(JINSオンラインショップ)に関する調査結果(最終報告)を読んだ感想。 責任についてベンダーに丸投げという最終報告書になっていました。 この最終報告書は、今回の不祥事の原因は、Struts2のバージョンアップをしていなかったため、サーバー内のファイルを書き換えられてしまい本来サーバー内に送られるべきデータがほかの不正なサーバーへも送信されていたということが原因のようですが、そちらに対する根本対応はしません。という内容になっていました。*1 それはいいとして、JINSとベンダー間の契約がどうなっていたのかが気になります。 セキュリティに関する契約はきちんと結ばれていたのでしょうか? ちょうどこの間のデブサミにおいて、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開しましたについての講演がありました。 togetterは20