データベース・アーキテクト・サミットレポート
トムが説く、エンジニアがしてはならないこと
2010/3/2
●Security Matters
(セキュリティは重要な問題)
カイト氏は「オラクル製品はセキュアであると思われているため、開発者は見た目や使い勝手に注力しがちです。しかしセキュリティ対策を怠ってはいけません」と警告する。カイト氏はアプリケーションを車に例えて話をした。
「ある車はユーザーに合わせていすの位置を自動で調節し、ユーザーが告げた住所に連れて行ってくれるほど便利な機能を搭載しています。しかし翌朝には盗まれてしまいました。通行人にも誰にでも反応するようになっていたからです。それであとから車にぐるりと鎖をまわし、鍵をかけておくことにしました。これで安全性は高まりましたが、利便性が低下し、鎖で車を傷つけるリスクも増えました。後付けのセキュリティとはこういったものになりがちです」
実際のデータベースセキュリティというと、よく話題になるのがSQLインジェクションだ。カイト氏は2009年8月に起きたSQLインジェクションを使ったカード情報盗難事件の記事を挙げた。記事では捜査官の発言として「よくある手法だが、ネットから入手できるような標準的なアタックコードではなかった」とあり、カイト氏は「この捜査官はSQLインジェクションを正しく理解していません。開発者ですら誤解している人もいます」と述べ、正しい知識を持つようにと呼びかけた。
次にカイト氏はマスインフェクションの記事を挙げた。これもSQLインジェクションの悪用で、アプリケーションを書き換えた事例について言及した記事を示した。
Fun and Story for Everybody
Mass Infection Turns More Than 57000 Websites Into Exploit Launch Pads
http://www.takefreetime.com/2009/09/mass-infection-turns-more-than-57000.html
前の例と合わせ、カイト氏は常に最新動向に目を見張り正しい知識を得ることの必要性を強調した。
●DBAs And Developers Are Just Different, So Get Over It
(データベース管理者と開発者は違いを乗り越えよう)
現場にいる人間なら耳が痛い話かもしれないが、データベース管理者と開発者は反目しがちである。データベース管理者は「開発者からいかにデータベースを守るか」と考え、開発者は「いかにデータベース管理者から文句を言われないようにするか」と考えがちだ。互いに厄介な存在だと思っている。
だがそれはそれぞれのミッションや立場が違うからであり「違いを乗り越えてもらいたい」とカイト氏は言う。
●A word on Best Practices
(ベストプラクティスとは)
今回はベストプラクティスの対極にあるダメなパターンを例示したが、本来のベストプラクティスとは何かに目を向けたい。言葉の定義としては「経験に基づいた専門家たちの合意」などとある。状況に応じた最良の解決策でもあるので、間違ったところに適用してしまえば悲惨な結果をもたらしかねない。気を付けよう。
最後にカイト氏は「どんなことでも常に疑問を持ってほしい」アドバイスした。これはつまり自分の頭で考えることの重要性を説いているのではないだろうか。考えるには疑問がきっかけとなる。だがいまは“ググれば”すぐに答えが出てしまい、じっくり考える機会が少なくなりつつある。だからこそ、ふとしたことでも疑問を持ち、そこから考え、そして専門家に質問する練習を重ね、エンジニアとして自分を高める努力を続けてほしいという意図のようだ。
「トムに聞け(Ask Tom)」のカイト氏らしく「ためらわず何でも聞いてください」と会場のエンジニアに呼びかけた。
なお、本イベントのセッションの資料、当日の映像は日本オラクルの特設サイトから閲覧できるようになっている。この記事を入り口として、カイト氏に興味を持ったエンジニアはぜひチェックしてみて欲しい。
加山恵美(かやま えみ)
茨城大学理学部卒業。金融機関システム子会社とIT系ベンダにてシステムエンジニアを経験し、グループウェア構築や保守などに携わる。そのかたわらで解説書を執筆していたが、いつしか本業に。
技術資料を提供することで、日夜システムと格闘しているエンジニアをサポートできればと願う。幼少からバレエを始め、現在コンテンポラリーダンスを習っているが、いまだに身体が硬いのが悩み。双子座A型。
 |
3/3 |
| Index | |
| トムが説く、エンジニアがしてはならないこと | |
| Page 1 オラクル技術のカリスマ、トム・カイト ●複雑さの過小評価 ●助けてもらうための質問の仕方を知らない |
|
| Page 2 ●無駄にコードを長くしてしまう ●うまくいっていると思わせがち |
|
 |
Page 3 ●セキュリティは重要な問題 ●データベース管理者と開発者は違いを乗り越えよう ●ベストプラクティスとは |
 |
Database Expert全記事インデックス |
- Oracleライセンス「SE2」検証 CPUスレッド数制限はどんな仕組みで制御されるのか (2017/7/26)
データベース管理システムの運用でトラブルが発生したらどうするか。DBサポートスペシャリストが現場目線の解決Tipsをお届けします。今回は、Oracle SE2の「CPUスレッド数制限」がどんな仕組みで行われるのかを検証します - ドメイン参加後、SQL Serverが起動しなくなった (2017/7/24)
本連載では、「SQL Server」で発生するトラブルを「どんな方法で」「どのように」解決していくか、正しい対処のためのノウハウを紹介します。今回は、「ドメイン参加後にSQL Serverが起動しなくなった場合の対処方法」を解説します - さらに高度なSQL実行計画の取得」のために理解しておくべきこと (2017/7/21)
日本オラクルのデータベーススペシャリストが「DBAがすぐ実践できる即効テクニック」を紹介する本連載。今回は「より高度なSQL実行計画を取得するために、理解しておいてほしいこと」を解説します - データベースセキュリティが「各種ガイドライン」に記載され始めている事実 (2017/7/20)
本連載では、「データベースセキュリティに必要な対策」を学び、DBMSでの「具体的な実装方法」や「Tips」などを紹介していきます。今回は、「各種ガイドラインが示すコンプライアンス要件に、データベースのセキュリティはどのように記載されているのか」を解説します
 |
|
|
|
|
