http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html
SQL インジェクション周りのお話。今年の夏の流行手法だそうだから、ちゃんとチェックしなきゃいけないわ？

http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html より
言葉は知られていても危険性までは認識されていない「SQLインジェクション」

そうねぇ。最近思うにそんなつもりがしてなくはなかったんですけれども。
だって、危険性がある程度認識できていれば、もう少し大騒ぎする人も多かったと思うの。

http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html より
IPA／ISECによると、この事例のWebサイトでは、ただ情報を公開するだけの静的なコンテンツだけでなく、ユーザーからの書き込みを受け入れる仕組みを利用していた。このことを踏まえIPA／ISECは、OSやサーバの脆弱性対策だけでなく、ユーザーからの入力を受け付けるWebアプリケーションについてもセキュリティ対策が必要だとしている。

あら…プログラムサイドのセキュリティ対策が必要だなんてお話、カンブリア紀以前から言われてたんじゃなくってかしら？
あまりにも当然過ぎ…ることができていないからこういう発言になるのかしらね？

http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html より
スターツ出版では、この脆弱性への対策を施した上で、5月30日よりWebサイトの運営を再開した。はじめからWebアプリケーションの脆弱性について対策しておくべきだったのが第一だとは認めながらも、「（セキュリティ企業による調査結果を見ると）どこのWebサイトがやられてもおかしくないことがわかってきた。となると、『振り込め詐欺』への対策ではないが、どういった手口があり、どういった対策が必要かをある程度具体的に明示する形で警告があってもよかったのではないか」と、同社広報担当は述べている。

まぁまぁまぁまぁ。SQL インジェクションのお話なんて、少なくとも技術者であれば一度はアタッチしたであろう複数の情報ソースから、いくらでも警告なんて出ていたんですけれども？
別に「広報さんが直接」把握していて頂戴、とは思わないの。でも、技術の人間は把握して然るべき内容のはずよ？ いったいどんな「技術屋もどき」を使ってたのかしら？

http://www.itmedia.co.jp/enterprise/articles/0506/07/news022.html より
さらに根本的な原因は、Webアプリケーションが安易に作られてしまう「構造」にあるのかもしれない。
「最近のWebアプリケーションは、いわゆるCやC++などによるアプリケーションとは異なり、比較的簡単に書ける。経験の少ないプログラマが、『とりあえず動くこと』を前提にセキュリティのことを考えずWebアプリケーションを作ってしまうケースが多いのが原因だと思う」（笠原氏）。

そうねぇ。これはとても憂慮すべき問題点だと思いますの。
通常の(言葉としての)言語*1も一緒なんですけれども。「とりあえずなんとか会話が通じる」「とりあえずなんとか動くようなプログラムが組める」ところまでは、結構みんな必死にがんばるの。ところが「とりあえず何とか」なる程度のスキルまで到達すると、そこでつい腰を下ろしてしまうの。本当は「そこからが」勝負だ勉強だ向上だ、って事をすっかりと忘れてしまって。
あたしはこれをよく「腰掛けてしまった」っていうの。イメージは登山ね。
本当は頂上を目指すはずの登山で、ものの三合目くらいで腰掛けてしまってそこで満足してしまうの。「１年でものになった」レベルとしてはすばらしいかもしれないんですけれども、腰掛けてしまってスキルが上昇しなくなってそのまま10年が経過したらどうなるのかしら？ 単に「使えない道具」が一人増えるだけよ？ そういう技術者ってせいぜい「使い捨て用消耗品」としてしか扱ってもらえないの。
そうして、今の「誰にでも作れます」的風潮は、ストレートにここにはまり込む罠をたくさん用意してくれているわ？


便利で楽にあることがいいことだ…ってのは、とても字面のいい文章なの。でもその内容を真摯に捉えたときに、はたしてそれは「もろ手を挙げて賛成できる」ものなのかしら？
あたくしは殿方の屈強な肉体が好きなの。分厚い胸板に、丸太のような腕に、凶悪なまでの足腰に、とても魅力を感じるわ。でもそういった筋肉もまた「便利で楽な」だけの生活じゃ絶対に身に付かないものなの。単調で苦しいトレーニングを経てようやく身に付くもの。身に付いたあとでさえ怠ければあっというまに弛んでしまうわ？
技術者と、技術者予備軍と、技術者もどきのみなさん。「技術のトレーニング」は欠かしちゃだめよ？
「この場所に留まっていたいのなら 全速力で走らなくてはいけないわ」
この言葉の意味をどこまで正面から受け止められるのかしら？

---