前回（その１）の「無知が罪になる」ってやべぇよなって話の続き。
気になる人は「SQLインジェクション　有罪」あたりでググると面白いかも。

********************************************************
「免許制でもない職業に最低知識レベルを義務化するってどうなの」って前回噛み付いたわけだけど、問題が起こるのは「無知は罪になる、ということを知らない無知」なんだよね。

セキュリティの知識が当事者（発注側、受注側）に無くても、「自分たちは知識がなく、このままプロジェクト進めたらヤバイ」って事さえ知っていれば、たとえば外部に評価してもらうとか（ＩＳＯとかがそれですよね）とか、お互いに契約書とか議事録で責任範囲を握っておくとか、何とかする方法なんていくらでもある。

そもそも「SIerは専門的知見を持ってセキュリティ警告する義務がある」「専門的知見のレベルは（最低でも）IPAの注意喚起文書くらいは押さえておくこと」っていう今回みたいな判決を一切知らないと、客に訴えられて初めて「あ、俺有責だったんだ、やべええええ」って気づくわけ。
これって、中小とかベンチャー系は相当やばいんじゃないかな。
顧客が「コレ欲しいな！」っていう声に中小らしいフットワークの軽さで応えてしまったSIer達は、これまでの成果物に対して「あ、あの時作った奴やべぇ（汗」ってなっているパターンあるんじゃないか。

ぶっちゃけ、大きい会社は（客であれSIerであれ）、そもそもセキュリティという概念自体はあるので、ISO取ってたり、独自のフレームワーク持っていたり、監査チーム持っていたりと、すでに取り組んでいることがほとんどだ。
あと、大きい会社は法務部があるので、契約とかこういう判例に関しても敏感に対応する下地がある。
そういう法務部や、監査チームを抱えておくにはそれなりに企業体力が必要なので、中小は厳しい状況にさらされるとは思うし、客の目線からすれば、そういう下地が一通り揃っている大手ＩＴゼネコンに発注が偏ってしまうのも道理だ。

個人的にはＩＴゼネコン構造にはあまりいい印象は持っていなくて（自分自身は元請と≒みたいな会社にいるけれども）、今回の「セキュリティレベルを維持する企業体力が無いような企業は有罪になる」恐れのある判決はあんまり面白くない。
そもそも、スキル低めのエンジニアを雇って、絞った最低限の要件の物を作らせてるってことは「安く上げよう」という魂胆が見え見えで、それなら「安かったし、まぁクオリティも大して期待できないよね」っていう分別は必要だと思う。
良い物ってのは値が張るのだ、IT業界でもIT業界じゃなくても当たり前の理屈。