« 2006年05月 | メイン | 2006年07月 »
ワールドカップにあやかって、いろいろなサービスを始めているところがあります。
やっぱり有名なのはGoogleの取り組みです。
ワールドカップ開催中は「サッカー」で検索すると直近の試合結果が表示されるようになっています。
Google: サッカーで検索
他にはどんなサービスがあるのでしょうか?
Google ホームページでもワールドカップの結果を知ることができるようになっています。
有名すぎて面白くなかったかもしれませんね。
それでは、Microsoftはどうでしょうか。
結構意外ですが、Microsoftも地味にワールドカップ対応のサービスをやっています。
デスクトップアプリケーションで、試合結果がリアルタイムにわかるというもの。
結構いいじゃないですか。
でも、よく見ると試合結果が間違っているのですよ。
スペイン×ウクライナは4-0なんですよね。
こういうサービスの情報源ってどこなんでしょうね。
とても悩ましい問題です。
例えば、下記のようなシステムを考えてみます。
・メールアドレスだけでログインできる。
・その他のアクセス制御機能はない。
・ログインできればログインした人の個人情報にアクセスできる。
セキュリティ的には問題外です。
クライアントからこのような要求仕様が出てきた場合にはどのように対処すべきでしょうか?
この例ではあきらかにセキュリティ上の欠陥があると言えるので、クライアントに進言すべきです。では、なぜこれが「あきらかにセキュリティ上の欠陥がある」と言えるのでしょうか?
開発者としての直感でしょうか?
もちろんその直感は正しいものです。
もう少し法律的に考えると、この例では、悪意のある第三者が適当なメールアドレスを打ち込むことで、ログインすることができたとしても不正アクセス禁止法に抵触しない可能性が高いというところがポイントになります。不正アクセス禁止法はアクセス制御されたサイトに対して適用されます。アクセス制御とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号(識別符号)」を用いて制御が行われていることを示しており、メールアドレスだけでは識別符号とみなされる可能性が低いからです。
つまり、今回の例ではアクセス制御されているサイトとはみなされず、ここに悪意を持ってアクセスしてきても、不正アクセス禁止法に抵触しないのです(推測)。
さあ、ここで問題です。
もっと複雑で、それがセキュリティ的な欠陥なのか、それともそこを突く第三者が悪い(不正アクセス禁止法に抵触する)のか判断できない場合はどうでしょうか?
おそらく、そういったケースの方が圧倒的に多いはずです。システム開発者は法律家ではないのですから。前述の簡単な例ですら推測の域をでないものであります。
では一体開発を請け負う私たちはどのように考えればよいのでしょうか?
開発者は開発者らしく対応すればよいのです。まず、法律に照らし合わせた判断をしないということです。法律家ではないのですから実際問題ムリですし、そこまでは業務範囲として求められているものではないのですから。
そのかわり、想像されるありとあらゆる不正アクセスの可能性を指摘してあげましょう。これは義務だと思います。それを受けて、クライアントの方で判断をするというのが正しい流れだと思います。
【結論】
受託開発者は法律に詳しくなる必要はありません(詳しければ尚良いのですが、生半可な知識は逆に怪我の元です)。その代わり、不正アクセスなどを含む様々なクラッキングの手法に詳しくなり、それをクライアントに教えてあげるべきです。
セキュリティ的な欠陥を知りながら、「でも、これがクライアントの要求仕様だから」とそのまま進めるのは最低の対応です。
※自社開発ではこうは行きません。誰かが法律に詳しくなり、問題をしっかり追及する必要があります。
昨日の夕方、日課になっている情報収集としてブログのチェックを行っていた。
私はfeedpath を使ってチェックしている。
どの、RSSリーダもそうなのかもしれないが、feedpathでは一度一覧を開いた時点で「既読」状態になる。便利なときもあるのだが、不便なときもある。
使い方としては、一覧を開いた後、本文まで読みたいエントリを次々にクリックしていき(タブブラウザで別のタブで開くと使いやすい)一覧を一通り見た後に、先ほど開いた本文を眺めるという方法である。
この使い方だと、一覧を見た時点で「既読」になるというのは非常に便利だが、一覧を開いた後に別の用事などができて、後でまたチェックしようと思うと非常に面倒である。過去記事を再度閲覧することはできるのだが、それは「1日前、1週間前...」という単位でしか見ることができない。
こんなことはほとんどないので、あまり不便に感じることは少ないのだが、livedoorのblogの障害には参った。
一覧は(事前にfeedpathが取り込んでいるから)閲覧できるのだが、本文が閲覧できない。
後にまわそうにも、「既読」になってしまうから困る。
昨晩は自分のデスクでlivedoor blogに悪態をついていた。
しかし、今朝になっても復旧していないことがわかってなんだかかわいそうになってきた。
徹夜で復旧作業を行っているエンジニアもいるだろうし。。。
大規模サイトの運用/保守というのは非常に大変である。
これから自社サービスを立ち上げていく中で、運用/保守というものは非常に大切である。
限られた運用予算のなかで、ユーザーに快適な環境を提供するということを、しっかりと考えてプランニングする必要がある。
もちろん、最悪の事態になった場合の緊急対応のプランも含めて。
| Sun | Mon | Tue | Wed | Thu | Fri | Sat |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |