http://d.hatena.ne.jp/Lucrezia/20060803の件。何年前の世界だ一体。
Web黎明期から現在までの10年を越える歳月の中で、便利に使う様々な手法が現れる一方で、悪意を持ったクラック手法もまた山のように編み出されてきた。いたちごっこの日々であるのは確かであるが、それでも「常識」として開発者に認められてもよいであろう手法はある程度かたまってきている。これは問題外だ。
この現状を打開するために何をしたらよいのであろうか。あの偽装が問題になった建築業界ですら、国家試験を受けずして建築家の資格を得ることはできない。なぜなら、偽装以前に何をすればどうなるかわかっていないと命にかかわるからだ。一方で、もはや一部の人間にとって生活必需品となったと言ってもよいWebについては何も資格は要らない。やりたい放題だ。
昔は資格試験だっていらなかっただろう。建物も、医者も。信頼できないものは淘汰され、しかし騙されて色々なものを失った人もいただろう。そんな経緯も資格を必要とする背景である。PCがこれだけ普及した現在、いよいよWebアプリの構築(特に商用)については資格と罰則が必要なのではないか。罰則が無いと事の重大さを把握できないのが現状であるように思える。
もちろん、商用以外のアプリケーションについての脆弱性も野放しにしてよいものではない。なぜなら、大抵の人間は(特にメールアドレスがIDとして使用されているサイトについては)、IDとPasswordを複数のサイトで同一にするだろうからだ。そこには商用と非商用の境などない。Webアプリケーションの作成にかかわる書籍・ページは必ず冒頭でセキュリティーについて謳わなければならない。目立つように。友達どうしで使う簡単なアプリケーションを自宅サーバーで構成しちゃったりするとは当然httpsなどではないだろう。作った本人は「危険だから他のサイトと同じIDとPASSにするのは止めてね」と言えるだろうか。なぜだが説明できるだろうか。
CGIなど使ってもせいぜい掲示板やカウンターしかなかった古き時代と今は違う。昔はしなくてよかったんだよという言葉は全く通用しない。「昔は医者をするのに資格なんか要らなかったんだ。昔は覚せい剤を治療に使ってもよかったんだ、薬局で売ってたしな」と言っているのとなんら変わりはない。一夜のうちに預金が消え去ってしまったとき、その責任を誰に負わせればよいのだろうか。開発者は負ってくれるのか。運営者は？ 事態を理解も把握もしているのにその日のうちにサイトが停止しないような運営者がそんなことを想像しているとは思えない。
開発者・運営者(衛生管理責任者みたいなものだ)ともに資格または免許が必要であり、このような事件が発覚した際、行政がしかるべき手をうてるようになって行くべきなのであろう。

※追記。これもひどいな。でも仕方がないかも。裏から見たら丸見えでしたなんて紙のひっくり返し方を知らないとわからないもんね…

とここまで書いてうんざり。もうそういう世界になっちゃったんですね、この分野は。技術がある程度行きつく前に世間に広まりすぎた悲劇か。善意で広まってきたものが悪意や欲望に蹂躙されるのは世の常とはいえ、社会インフラになりつつあるものが野放しなのはいい気分がしません。相変わらずこんなことで右往左往しなければならないと、仕事が面白くなくなってくる。いっぺんリセットして、統一かつ安全な何かを確立できないものか…