http://trombik.mine.nu/~cherry/w/?p=310
ちうお題をいただいたので脊髄反射してみようっとヽ(´ー`)ノ。
SQLインジェクションというキーワードが無くとも、確かに後始末っぷりとかを見れば原因は想像はできますけどね。ただ、原因を見ればわかる人にとって必要だ、ということではなく、そもそもそれ以外の人にプロモーションするために必要だと思いますねえ。キーワードってのは結局そういうもんですよね。
あちきがそういうものでも有れば良かったのに、と思っているのは、もし後続の類似の事件が無ければ、得体の知れない者に得体の知れないやり方でやられてた、という印象しか一般の人たちには残らないわけですからねえ。そうなると提案の場、もしくはその提案を吟味する場で一段話が通じにくくなると思うんですよね。
そういう場にキーワードを植え付けるくらいのことすらもできなかったら、この事件はそれこそ脅しあげの材料にこそこそっと業界な人たちが使うだけ、という、とってもつまらない事件の再利用になるんじゃないのかなあ。ってとりあえずここだけ脊髄反射しておこう(笑)。
キーワードについてもう少しw。
http://www.itmedia.co.jp/enterprise/articles/0410/30/news001.html
門林先生のおっしゃることは、そのままではなくてもう少し読み解く必要があると思います。ベンダー側がマーケティングのために作り出すキーワードのいかがわしさというのが、そもそも混乱を招いているのだ、という側面は否めないすが、それは例えばIPSと言ったりIDPと言ったり、はたまた発展型IDSみたいな言い方をしたりすることを指すのではないかなあ。しかし、SQLインジェクションは他の言い方という混乱させる要素はありませんよね。
しかし、マーケティングの圧力によって、「SQLインジェクション」という言葉が濫用されてしまうおそれは残りますね。これは極端な例ですが「SSL-VPN製品です。SQLインジェクションも(ある意味)防げますよ」みたいな言い方をすると、門林先生の言うもう一つの弊害を起こすおそれはあります。しかし、これまで語られてきたものでは説明しきれないものなので、誤用さえされなければこの言葉を使ってリスクを説明するしかないんじゃないですかねえ?
つまり、ファイアウォールだけを入れておけばおっけーだと思っている経営陣に、それだけでは足りませんよ、ってことをどう説明するのか、ということですね。SQLインジェクション、クロスサイトスクリプティング、というキーワード無しで語ろうとすると、例えば「Webアプリケーションに対して正規のアクセスを行うふりをして、データベース操作を行ってしまう攻撃方法や、ある人のふりをしてログインしたりする攻撃手法があり、それはファイアウォールでは防げないんですよ」という、ちょっとぬるい言い方をして、「へーそうなんだー。でもどうしてファイアウォールでは防げないんですか?」と反問されて、そこで「それは正規の通信ポート使って通信してるからで、ファイアウォールは通信を通信ポートでしかチェックしてない(というのはウソだけど(笑))ので防げないんです」などと苦しい展開をしたり、あるいは慣れない営業が「ちょっと戻って技術陣に確認してきます(汗)」ということになるよりもはるかに話が早い、と思うんですがどうでしょうか?そういう場で非専門家である顧客をさらに混乱させないためにもキーワードは必要だし、だからこそ今こそいろいろなメディアでこのキーワードの意味するところを解説しまくって定着させる必要がある、と思いますけどねえ。
