顧客先で持ち込みPCによりサーバーがワーム感染した。
でも、パッチ管理は顧客で実施という契約だったとする。
これって責任の所在がどこにあるかの判断が難しいなぁ。
プロならちゃんとリスクを伝えたりして適切に指導すべきだと思うし、
いざ被害にあったら顧客だって「これだけお金を払ってるのにどうして何も行ってくれなかったのか？」
って主張するかもしれない。。。
また、話し合いだけなら顧客が「そんな話し聞いていない」と言いだすかもしれない。

そもそも「ちゃんと」と書いたがどこまでがちゃんとなのか？
そこでISMSとかの登場なんだろうかねぇ。。。
セキュリティポリシーをベースに考えるのが一般的なんだろうけど、
ポリシーベースで網羅できるとは思えないし。。。

ま、ISMSとかITILとかまだちゃんと勉強してないので、
そのへんもしっかりしないとなぁと実感する今日この頃です（＾＾；
インターネット犯罪などで弁護士さんとかが登場するようなセキュリティ業界ですが、
セキュリティインシデント発生による損害賠償問題で弁護士さんのお世話になることもある。
顧客との契約についてちゃんと考える必要があるなぁ。。。
そんな話し当たり前のようで、当たり前にできていないのが現状だと・・・