プログラマをやって思うこと:セキュリティ、そろそろ本音で語らないか(7)(3/3 ページ)
これまでは“コンサルタント”としての本音を語ってきた本連載ですが、実は筆者は筋金入りの“プログラマ”。第7回はプログラマ視点でのセキュリティを語ります(編集部)
“メモリを正しく使う”という考え方が明日のセキュアを作る
最近のOSやアプリケーションはバージョンアップするごとに重くなっていくようです。メモリの使用量も、一昔前から考えたらとんでもない大きさです。
私がCでプログラムを書き始めたころは、1バイトでも無駄にしないようにコンパクトに、しかも高速に動かす工夫をしていました。いま、ネットで見つかるサンプルプログラムには、動作速度や使用メモリを減らす工夫はあまり見られません。
あるプログラマの掲示板では「数メガなんて誤差」と書かれていました。いま書いているコードでは、つい昔のくせで、至る所にメモリの節約をしてしまうのですが、どうやら最近ではそんなことをしても、たいした節約にはならないようです。高速に動かすための努力をしなくても、CPUが早かったりします。
でも、みんなが節約や高速に動かすための努力をしなくなった結果が、現在の重たいOSやアプリケーションなのではないでしょうか。
その昔、C言語のプログラマはエレガントで高速なロジックを書けることが達人とされていましたが、いまでは、多くのAPIを知っている方が重宝されそうです。かくいう私も今風のプログラミングになじみつつも、ちょっとした高速化や微々たるメモリの節約で自己満足していたりします。
その昔、私がIISなどの脆弱性を発見できたのは、自分で書いたプログラムによるものでした。通常ではありえない長さのヘッダの文字列を送り込んだりしてバッファオーバーフローを起こさせ、それをデバッガでフックして任意のコードを送り込む、などということを夢中になってやっていました。
いまごろになって自分で製品を開発するなんて当時は夢にも思いませんでしたが、ものづくりは楽しいものです。プログラムが思い通りの動きをしてくれたときには、苦労が大きいほどうれしさも大きいものです。
これからも多くの若者(に限らず)がプログラミングを楽しむためには、セキュリティ上気をつけなければならないことを具体的に、もっと知ってもらわないといけないと思います。WebアプリケーションでよくいわれるSQLインジェクションやクロスサイトスクリプティングだけでなく、過去にあった多くの脆弱性はいまでも、いつでも生み出される危険性があり、自分のコーディングだけでなく、利用しているライブラリやコンポーネントにさえ気をつかわないといけなくなっているのです。
これからWindowsがどのように進化(あるいは退化?!)していくのかはわかりませんが、セキュリティは「意識されないが治安が保たれている」という状態になっていかないと、リテラシーの高くない高齢者や小中学生には安全な道具として普及できないでしょう。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.