傀儡師の館.Python

「失敗から学ぶ設計・実装・運用・管理」という副題が付いているこの本は、セキュリティの考え方を学ぶのによい本。いわゆるハウツーものではなく、考え方を学ぶようなタイプ。セキュリティを考えたプログラミングを実践のコードから学ぶことも大切だが、基本の考え方を学ぶことも重要だと思う。
セキュアプログラミング

ベースになる考え方がしっかりしていなければ、安全なシステムは作れない。

安全性、製作コスト、運用コスト、利便性等のバランスを適度に保ちながらどの程度にするかを判断するのは難しい。けれども、基本はシンプル。テストやチェックは自動化という方向性はあるだろう。コストを、製作コストだけで判断するのではなく、運用コストまで含めてきちんと判断しなければならない。

目先の製作コストだけでプログラムが製作されると、結局、高くつくものになってしまう可能性が高い。中古車が安いから中古車を買ったが、メンテナンスコストが高くついて2,3年後には新車を買った方が得だったというような感じで。

企業がプログラムにコストをかける場合、キャッシュフローの話もあるので、ある程度のスパンで見ると高くついても、目先の支出を抑えたいという場合もあるだろう。現金でものを買う方が安くても、リースにする場合があるのと同じように（固定資産がどうのこうのとか細かい会計の話は抜きにしておく）。

しかし、その場合でも、何かことが起きたときのリスクをどうとらえるかを明確にしておかないといけないだろう。個人情報が流出したときの対処コストを考えなければ、それこそ事が起きたときに膨大なキャッシュがなくなって困ることになる。

あたりまえだけれどできないこと。それを何とかするのが大切。理屈ではそうかもしれないけれどと言っていたのでは、何も変わらない。要するに意志の問題なのかもしれない。