Webサイト作成運用保守契約で仕様書に記載すべき大切なこと

仕様書の内容を確認している画像

Webサイトを外部の業者と委託契約を交わして作成、運用保守を行ってもらおうと考えた場合に、どのような契約仕様書を用意すればよいのか悩む担当者さんも多いと思います。Google検索で「Webサイト 仕様書」などと調べると、いくつかWebサイト作成契約仕様書のひな形が見つかると思いますが、実は、Webサイトの作成部分に係る契約仕様書のひな形がほとんどで、作成、公開後に続いて必要となる運用保守を含むセキュリティ対策の部分まで網羅されている契約仕様書サンプルは少ないように思います。

そこで参考に出来そうなのは、自治体などがWebサイト作成、運用保守業務を行う業者を公募する際に、自治体HP上で公開された委託契約仕様書です。Google検索で「ウェブサイト プロポーザル」「ホームページ作成 プロポーザル」などと調べると、自治体が実際に公募した際の契約仕様書を見ることが出来るので、そのなかでWebサイトの運用保守部分のセキュリティ対策まで記載してある仕様書を参考にすることは可能です。

私たち情報セキュリティ担当は、webサイトのセキュリティ対策を委託業者に求める要件についての相談で、仕様書のチェックを頼まれることも多々ありますので、仕様書に最低限記載すべき内容を理解しておく必要があります。

必要事項が書き切ってある仕様書は少ない

自治体のWebサイト作成運用保守契約にかかる仕様書は、参考になる部分も多いですが、必要事項が全て書き切ってある仕様書は多くありません。特にどのような事項について、あらかじめ仕様書に記載して、受託者に何を求めるのか明確にしておく必要があるのかをご説明します。

セキュリティチェックの項目

次のような記述があると、一見、セキュリティ対策はしっかりとやってもらえそうに感じます。

曖昧な仕様書記述例

  • 乙(受託者)は、情報処理推進機構(IPA)やJPCERTコーディネーションセンター等から、随時セキュリティ問題に係る情報を入手するとともに、当該ウェブサイトに関わる緊急度が高い問題の場合は直ちに甲(自組織)に報告の上、当該情報に基づく対策を講じることが必要か否かを甲(自組織)と協議すること。また、対応を講じなかったものに関しては、その理由、代替措置及び影響について甲(自組織)に報告すること。
  • 管理サーバ及び管理者用端末に対し、ウイルス対策ソフトウェアを、ウェブサイト公開時及び公開後も、常に最新バージョンを適用すること。また、OS及びCMS等関連ソフトウェアに対しても、その修正(パッチ等)の最新バージョンを適用することにより、ソフトウェアに対する最新のセキュリティ対策を行うこと。何らかのリスクにより最新化対応を講じることができなかったものに関しては、その理由、代替措置及び影響について甲に報告すること。

この例だと、ちゃんとWebサイトのセキュリティに関する情報を収集しといてね、必要があると判断したら報告してきてね、アップデート出来ない理由があれば報告ね、と書いてあるので、発注者側は何も気にせずセキュリティ対策がなされて安心出来そうです。

しかし、この書き方には大きな問題があります。「緊急度が高い問題の場合は報告すること」としてしまうと、受注者側が緊急度が高いと判断しなかったため、何も対策せず、何も発注者に報告してこない、ということが頻発します。相当な緊急度が高い問題が公表されても、契約期間中に何も報告してこない受注者が多いのです。

またOS及びCMS等関連ソフトウェアのアップデートは迅速に行うことを基本としていながら、アップデート出来ない理由があるなら報告することを求めても、アップデートが公開されてからいつまでにその報告をするよう求めていなければ、いつまでたっても発注者に報告されることなく、アップデートされていると思っていたが、実は脆弱性が放置されたままになっていた、ということが簡単に起こり得ます。結果、後に重大な脆弱性だったとされる事項について、初動が遅れ、必要な対策がされないまま、サイバー攻撃の餌食になり、重要な情報が漏洩してしまうのは簡単に想像出来ると思います。

明確な仕様書記述例

  • 乙(受託者)は、IPAやJPCERTコーディネーションセンター等から随時セキュリティ問題に係る情報を入手し、甲(自組織)に報告すること。そのうち、当該Webサイトに係る情報であった場合、直ちに甲(自組織)へ報告の上、当該情報に基づく対策を講じることが必要か否かについて、甲(自組織)と協議すること。また、対策を講じなかったものに関しては、その理由、代替措置及び影響について甲(自組織)に報告すること。
  • OS、アプリケーション(WWW、CMS等)のセキュリティパッチが公開された場合は、内容について速やかに甲(自組織)へ報告するとともに、適用可否などの対応方針を決定した上で、セキュリティパッチ公開から30日以内に甲(自組織)へ報告すること。

このように明確に書いておくことで、受注者が判断して報告してくるという曖昧な部分を排除出来ますし、脆弱性対策のためのアップデートの適応可否や決定方針を遅くても30日以内には報告を受けることが出来ます。

業務の引き継ぎに関する事項

作成公開したWebサイトが存続する限り、同じ業者に運用保守をやってもらうとは限りません。複数年契約だったとしても、いつかは違う業者にWebサイトの運用保守を委託することになることを想定していなければ、業務継続が困難になります。レンタルサーバの借り換え、ドメインの名義変更、コンテンツデータの移し変えなど、現行契約が終了した際のことも、しっかり仕様書に書いて契約しておかないと、契約終了時に予想外に高額な手切れ金を要求されるトラブルが起こり得ます。

業務(Webサイト公開)の引き継ぎに関する仕様書記載例

本業務の契約履行期間の満了、全部もしくは一部の解除、またはその他契約の終了事由の如何を問わず、本業務が終了となる場合には、乙(受託者)は甲(自組織)の指示のもと、本業務終了日までに甲(自組織)が継続して本業務を遂行できるよう必要な措置を講じるため、業務引き継ぎに伴うシステム移行等に必要となる構成要素(ページやコンテンツ等)を円滑に提供できるようにすること。なお、移行用のページやコンテンツ等の提供に係る費用は保守運用契約に含まれるものとし、新たな費用は発生しないものとして取り扱うこと。

このように仕様書に記載して契約しておくことで、契約期間が満了するなどで、新たに他の業者に業務委託する際に引き継ぎがスムーズになります。この部分は書かれていない仕様書も多いので、他の組織の仕様書を参考にする場合は注意しましょう。

著作権の帰属も明確にしておく

引き継ぎ時に他に気をつけておくことに、著作権の問題があります。当初Webサイトを作成した業者がWebサイトに用いていたオリジナル素材をはじめ、Webサイトに係る全てが当該契約の成果物として自組織に譲渡されるようになっていないと、契約終了後はWebサイトのデザイン変更やコンテンツ変更を余儀なくされる恐れがあるので、仕様書には、本事業で作成された成果物(ドキュメント、コンテンツ、HTML等)に関する著作権については、原則として甲(自組織)に帰属するものとし、成果物は、引渡し時をもって著作権を甲(自組織)に譲渡する旨も併せて記載するようにしましょう。

レンタルサーバでwebサイトを公開する場合には以下のページも合わせてお読み下さい。