gallu’s blog

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

…まぁ古い話だしねぇと思わなくもないのですが

わんくまの中さんのBlogから素敵ネタ。
SQLインジェクションされるシステムとは発表しないでおきましょう。
http://blogs.wankuma.com/naka/archive/2008/05/05/136391.aspx

[ SQL インジェクション:0030]
SQL インジェクション攻撃を受けました。世間に公表すべきですか?

SQL インジェクション攻撃は、とっても恥ずかしい攻撃です。この攻撃が成立したということは、仕事を請け負った開発業者も、仕事を出した発注者側も、データベースについて何もわかっていなかったという事実を公表することになります。できれば、SQL インジェクションという単語は出さずに、「システムの設計ミス」だと言う方が良いでしょう。

[ SQL インジェクション:0020]で説明したように、SQL インジェクション攻撃は、データベースを使用した環境ならば、必ず対策を取らなければいけない基本的なものです。その基本が守られていなかったという事実が世間に公表されることによって、他のセキュリティホールを利用した攻撃を受けた場合に比べて、弁解のしようがありません。

もし記者会見で、被害を受けた会社の社長が、「当社は万全のセキュリティ対策やコストを投じて、顧客情報を守っております。なぜ、顧客情報が漏えいしたのか、原因は不明であり、ただ今、調査中です」と発言し、後日その原因が、「SQL インジェクションでした」と言ってしまったら、笑い者になってしまいます。
SQL インジェクション対策は、データベースアプリケーションを開発するときに実施すべきで、そのような基本的な対策をしていなかったデータベースアプリケーションを運用していたこと自体が異常なことなのです。

いやぁ素敵素敵。
で。個人的には、コメントがもっと素敵。

最近はコンサルタ・・・

隠さず発表することで自社がどのような利益を得られるのかがはっきりしない気がします。上記の理由で不利益になるのははっきりしているのにです。
他山の石という技術社会に対する福祉的な意味はあるのだと思います。ですがその方面への貢献をすべきか否かは純粋に経営判断ではないでしょうか。上記を経営者に対するコンサルティングとして読むなら妥当だと思うのですが。
自社の利益を踏まえない社会福祉は継続性が無いため一過性のものになってしまいます。目先の情報開示ではなく、技術社会に継続的な貢献ができる方法を模索したほうがいいんじゃないでしょうか。

いやぁこんな人間がコンサルタ以下略をやってるのかと思うと前略中略以下省略。


一応まじめに書くと。
別に社会福祉的な意味合いではなくて。割と純粋に「自己防衛的」なニュアンスがあると、個人的には思うです。
実際問題として「幼稚といわれても言い返せないような脆弱性」があるわけで。
それに対して「必死に隠そうとしても」、まぁ某カカ社のように話はもれ出でるわけですし。そうすると、その会社の信用ってなんだかんだ真っ逆さまです。
一方で。「ちゃんと公表」すると。見る目のある人は「ああこの会社今駄目だけどきっとちゃんと改善できるんだろうなぁ」と、それなりに暖かく見れるです。
だから。純粋に「自分の利益として」ちゃんと公表しましょうってのがおいらの考え方。


…まぁ。もうちょっと「こわい」見方もあるのですがいくつか。
とりあえず「隠蔽によって安定が訪れる世界観」ってのには全面的な否定を明文化しておきたいかなぁと。