PR

 うらやましいことに開発系の書籍はセキュリティの本より好調であるようです。今はWeb 2.0の時代でもありますが、必要とされる知識やツールがどんどん新しくなっている最中でもあります。Webを使ったベンチャーなども多く出てきていますし、ITの分野で財を成す人も次々と現れてきています。みんなが夢を抱ける分野として、この分野の情報流通はますます活発になっていきそうです。
 ベンチャーだけでなく、既存企業もWebを使っているのは今や当然ですし、逆に今どきWebでサービスや商品を買えないような会社、というのはむしろ遅れている、というような印象すらあるようです。

 どこもかしこもWeb、Web、というわけです。
 Webコンテンツ、Webアプリケーションの開発現場には、プログラミングを専門的に勉強した人たちだけでなく、元(現?)デザイナー、SOHOを立ち上げようと志す非専門家などもいらっしゃるようです。あるいは、IT技術者であっても、プログラミングをやったことがないような、ある意味これも「非専門家」の方々も参入してこられているようです。これだけ開発の「市場」が急激に立ち上がりつつあるのに対し、専門技術者の供給が間に合わないという側面もあるのでしょう。

 過去にもITバブルという時期がありましたが、まさにその再来とでも言うべきでしょうか。しかし、そういう時期は世の中にバグ(プログラムの欠陥)が増えるような気がします。もともとこの業界、新人、中途採用、初心者、上級者それぞれに対する「教育」という部分が弱いところがありますが(だからこそわたしも「教育」をやろう、と思ったわけですが)、人材不足になって促成栽培気味になるとその傾向はさらに強くなるようです。

 そして、バグが多いというのは脆弱性が多いということにつながります。まあ、脆弱性というのはバグの一種ですからね。しかし、開発しようとしてのバグならまだしも、いわゆるサンプルコード(Webなどで公開されていたり、書籍の付録についてるサンプル。おそらく、今のように手が足りない時期には、あちこちで多用されているような気がします(笑))のバグであったりすると、事は少々厄介です。そのサンプルを使っているWebサイトすべてに同じバグが存在する可能性が高いということになりますし、何よりもそのサンプル、誰がいつ直して事後処理をどうするのか?というところが気になります。Webで公開している場合は、そもそもそのWebをいつも見てる率も高いだろうし、バージョンアップされました、という情報を行き渡らせることが比較的容易であると思いますが、書籍のサンプルを使っている場合、出版社や著者自身のWebサイトでフォローしても見に来る人が少ないのではないか、と懸念を抱いてしまいます。といって、書籍のサンプルに脆弱性があっても、一般的な脆弱性情報と同じように流通することは皆無ですしね。

 サンプルだけでなく、書籍の内容そのものに脆弱性がある場合も同じですね。この本がヤバイ、ということを言うのは、そもそも名誉毀損とか風説の流布とか表現の自由とかいう難しい問題をはらんでいると思いますが、そうは言ってもその書籍の言うとおりに作ったら脆弱性が生まれてしまうことも事実です。しかし、書籍の場合内容を改訂すること自体(売れなければ)難しいですし、仮に改訂版を出せるとしても脆弱性の存在がわかった時点で書店とかに出回っている「市場在庫」をどうするのか、という問題もありします。

 とはいえ、それは実は「出版社の理屈」であると思います(出版社のWebサイトで書くことかよ、とか突っこまれそうですが(笑))。読み手の側としては明らかに脆弱性を抱えていると思われる書籍に対しては、何か手を打ちたい(打ってもらいたい)ところです。この本はここがヤバイので、実はこうあるべきというところを書いて勝手に公開する、という方法も考えましたが、散発的に情報公開するだけでは効果が上がらないうえに(見に来る人があまりたくさん居ない)、やはり著者さんに訴えられるリスクも無視できません。

 しかし、だからといってそこで情報公開をためらうのではなく、むしろ大々的に推し進めるために、書籍脆弱性情報のポータルサイトのようなものが必要なのではないか、と思います。
 そのサイトに行けば、出版社の書籍フォロー情報やサンプルコード改訂版へのリンクがあったり、著者自身によるフォローへのリンク、もしくはフォローそのものが掲載されていたりするのです。つまり、著者さんたちが内心忸怩たるものを抱え込まずに済むように、情報を積極的に流通させる場を用意しよう、ということです。そこで情報を流通させることが当たり前になれば、Webサイトを立ち上げる側にとってもリスクヘッジになると思うのです。

 もちろん、そういうサイトに情報を載せることを良しとしない著者さんや出版社さんもいるでしょう。しかし、そのサイトに関与しない、いや、積極的に関与したがらない著者さんや出版社さんには、何か後ろ暗いところがあるに違いありません(笑)。……などとさまざまに判断するための材料として、書籍脆弱性情報ポータルの構築と運用というのを提案したいと思うのですが、いかがでしょうか?(こういうネタを書くと、じゃあIPAでやってくれ、とか、お前ヤレ、とか言われそうですけどね(笑)。でも、可能ならばこういう仕組みは、なるべくIPAとかを介さずに構築運営される方が良いと思うのですが…)