オープンソースの「MosP勤怠管理システム」に複数の脆弱性

by
03203 PV約 2 分

オープンソースの「MosP勤怠管理システム」に複数の脆弱性
(Security NEXT – 2012/11/05 )

マインド社が中心となり開発を進めているオープンソースの「MosP勤怠管理システム」に、他利用者の情報を取得できるアクセス制限の不備や、他利用者になりすますことが可能となる認証の不備等、複数の脆弱性が含まれていることがわかり、JVN(Japan Vulnerability Notes)では「V4.1.0」以前のバージョンのユーザーに対してアップデートを呼びかけています。
MosP(モスプ)というのは、MindOpenSourceProjectの略称で、マインド社の技術者を中心に発足した、国内初の純国産オープンソース人事給与・勤怠管理システムの開発プロジェクトなのだそうです。
MosPが公開している業務アプリケーションは、現在のところ給与計算・勤怠管理・人事といったものがあり、今後販売管理などもリリースする予定ということです。
そもそも、企業が人事・労務・経理等の管理運用に使う業務アプリケーションソフトウェアをオープンソースで提供するメリットはどういうものがあるのでしょうか。
一般的には、ライセンス費用がゼロ、カスタマイズの自由度が高い等が挙げられていますが、一方でメーカー保証が受けられない、アップデートや不具合対応などはユーザー側の自己責任に委ねられることが多い、というデメリットも指摘されています。
勤怠管理は直接給与計算に影響を及ぼすデータですし、人事データもセンシティブな情報を含む個人データの集合体ですから、情報セキュリティの基本原則の一つである機密性を保証するアクセス制限や認証機能の不具合はあってはならないものです。
このような問題は、オープンソース・ソフトウェアだけに発生するものではありませんが、導入する企業としては、少なくとも責任の所在がはっきりしたものを導入するよう、システムの選択を慎重に行わなければいけないのだと思います。

Pマーク取得セミナーを開催します
 

Pマークは難しいと誤解していませんか?

Pマークの取得を検討している方の多くが、Pマークについて誤解をしています。実はPマークの取得は決して難しいものではありません。

コンサルタントとして本当は教えたくない「Pマークって実はこうすれば楽にかんたんに取得できる方法」について解説します。

セミナーの詳細や日程については下記よりご参照ください。

The following two tabs change content below.
マーケティンググループ

マーケティンググループ

私たちは、プライバシーマーク(Pマーク)コンサルティングに新しい価値を生み出し、情報セキュリティ市場の活性化を目指すコンサルティング集団「ホリデーコンサルティング」です。 、「プライバシーマークやIS27001を取得検討されている方」に対して「小予算かつ短期間で取得する」ための支援を行います。
マーケティンググループ

最新記事 by マーケティンググループ (全て見る)

コメントする

*
*
* (公開されません)