叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

ぬかるみの世界

かっての同僚と有楽町にある「千房(ちぼう)」でお好み焼きを食べに行きました。

仕事で関わっていたのは20代の頃でした。30年以上前の出来事も鮮明な記憶があります。

いまでも交流の場あるのは、嬉しい限りです。

宴もラストになり、同僚が注文したのは「ぬかるみ焼き」です。

独特なネーミングですが、これは千房のメニュー表には載ってないお好み焼きです。

その正体は、ミックス焼きです。ただ、メニュー表にあるミックス焼きより、安価な価格設定になってます。

「ぬかるみ焼き」は、千房の裏メニューとして知られています。

誕生のきっかけは、かって笑福亭鶴瓶が出ていた深夜ラジオ番組(ぬかるみの世界)からのようです。

昭和時代に大阪に住んでない人にとっては、馴染みはないと思います。

わたしも東京の人間です。大阪でやっていた鶴瓶のラジオ番組は聞いたことはありません。

ただ、わたしは大阪に本社がある会社に10年勤めていたので、関西の知り合いが多くいます。関西の同僚から、千房の裏メニューとして「ぬかるみ焼き」があることは聞いてました。

ぬかるみ焼き、表面は綺麗なお好み焼きですが、そのなかは具材がごちゃごちゃした「ぬかるみの世界」です。

ITエンジニアから見ると「それは、わたしが参画している、会社の情報システムのようだ・・・」と、感じるかもしれません。

エンジニアではよく「スパゲティ」という比喩をします。これは「ごちゃごちゃしていて、読むのが困難なソースコード」を指します。

まさに「ぬかるみの世界」です。

スパゲティ状態にあるコードの多くは、目的とする処理そのものが難しいという訳ではありません。

システムの稼働後、度重なる仕様変更、仕様追加が発生することに起因します。その納期が短期だったりします。プログラマーはその場しのぎで間に合わせの実装を繰り返すことで、コードはスパゲティ化します。

システムの利用者は、利用しているシステムが美味しければそれでよく、ソースコードの中身には関心がありません。

プログラマーは、たくさんの納期を抱えてます。そこに間に合わせるために実装をするので、後からソースコードをメンテナンスする人のことまでを考える余裕がありません。

システム開発の現場は、設計中心のウオーターフォールから、開発とリリースを繰り返すアジャイル開発に移行してます。アジャイル開発は、短いスプリントで動くソフトウェアをリリースすることが求められます。納期へのプレッシャーから、コードの質を追求するより、てっとり早い解決策に走ってしまいがちになるのです。

サイバー攻撃者は、そこを見逃しません。

代表的なアプリケーションの脆弱性を突く攻撃にクロスサイトスクリプティング(Cross Site Scripting)があります。

クロスサイトスプリングは、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、個人情報を搾取する攻撃を指します。

クロスサイトスクリプティングの例

スパゲティ化されたコードは、制御フローが複雑で理解しにくい状況です。プログラマーがコードのどの部分で、どのようなユーザー入力処理されているのかを把握することが困難です。

本来であれば、セキュリティを考慮したコーディングのガイドラインを作成し、開発チーム全体で徹底することが肝心です。そして、リリースをする前に、セキュリティテストを行い、潜在的な脆弱性を早期に発見するよう努める必要があります。

プロジェクトマネジメントでは、アプリケーションのセキュリティを確保するための工数を確保するべきでしょう。

その理想と現実のギャップはかなり大きいと思います。

今日の会社の情報システムは、まさしく「ぬかるみの世界」です。

さて、千房の店員さんに聞くと「ぬかるみ焼き」を注文する客は、減ってきているとのことです。

真夜中のトランジスタラジオからの語りは、静かに、ゆっくりと、人々の記憶から消えていくのでしょう。


関連ランキング:お好み焼き | 有楽町駅日比谷駅銀座駅