記者の眼 - ある判決、要件にないことで責任を負わされたシステム開発会社の悲劇:ITproを読んで、いつもは開発会社の方に同情する私が、今回に限っては、開発会社の実力不足にあぜんとした。ある開発会社が開発委託を請け負ったWebサイトが、SQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまい、訴えられたというのである。 開発会社は、要件にセキュリティ対策が含まれていなかったので、開発会社の責任ではないと抗弁したようだ。いくらなんでも、いまどきのWebシステム開発で、SQLインジェクション対策をしていない会社があるなんて信じられない。いまどきの教科書には、SQLインジェクション対策は必ず記載されているはずであり、常識だろう。組み込み技術屋の私ですら知っているし、前に書いた放送大学の講座でも紹介していた。 こんな当たり前のことを、要件に入っていなかったから実装しま