日本ネットワークセキュリティ協会(JNSA)は12月5日,Webシステムの構築をSIベンダーに委託するユーザー企業が「提案依頼書(RFP)」に盛り込むべき最低限のセキュリティ項目をまとめたドキュメント「Webシステム セキュリティ要求仕様(RFP)編 β版」を公開した。「対策手法」や「現象(被害内容)」など複数の観点から,重要度を「必須」「推奨」「任意」の3レベルに分け,具体的な記述サンプルを示している点が特徴だ。 Webシステムの脆弱性を突かれてセキュリティ侵害が発生した場合,開発したSIベンダーには瑕疵担保責任が生じる場合がある。だが現実には,瑕疵担保責任を追求することができず,リスクの大半をユーザー企業が負う結果となったケースが少なくない。これは,セキュリティ対策の“妥当なレベル”が日々変化することもあるが,根本的にはユーザー企業とSIベンダーがセキュリティ要件を軽視したままでシステ