ヨーカドーのネット通販が酷いことになっている。
セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される
セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明
セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が
とうとう「オープンソース化」までされる始末。
svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。
ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか?
もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲ではしっかり働いていただろう。それは良心がどーとかとか、プロ意識がどーとかってものじゃなくて、
エンジニアとしての本能
だと言ってもいい。
ところが、こういった「常識的にどうよ?」と思う事件が起きてしまい、「その後」もとても残念な経過になっている。「はまちちゃん」は「こんにちは」程度の穴ではないことが知られているし、ヨーカドーに至っては
どこまで笑かしてくれるんだwww
と言ってもいい。
でも、やっているエンジニアは多分必死だ。広報や偉い人が「どうってことはありません」とアナウンスしている裏で、エンジニアの死屍累々の様が容易に想像がつく。みんなよくやっている。頑張れ。
とエンジニアのことを想像すると思うのだが、この一連の事件は結局は「エンジニアの反乱」なんだろうと思う。
ヨーカドーやCAのエンジニアが頑張っていることは否定しない。でも、結果を見る限り、
頑張ってもその程度のエンジニア
であるか、能力があったにしても
その程度しか頑張れない状況
であったことが想像がつく。つまり、「エンジニアなんてその程度の扱いでいいんだよ」的な扱いでチームを運用してしまった結果、出来上がったものがボロボロだった… ということが見えて来るのだ。
「エンジニアなんてその程度の扱いでいいんだよ」と思っているから、質の低いエンジニアを大量投入みたいなことをする。質が低いものだから、「はまちちゃん」とか「ねらー」のいう言葉すら知らない。自分の想像力の範囲でしか、危険がわからない。だから、これと言った対策もされていない。
「エンジニアなんてその程度の扱いでいいんだよ」と思っているから、「始めにカットオーバーありき」の工程管理になる。もちろんカットオーバーを守るのは大事なことなんだけど、無茶なカットオーバーを設定して、それを死守させてしまう。「好評につきスケジュールを前倒した」なんてことを嬉々として言っちゃう。
あれもこれも、
エンジニアの軽視
の結果だと言っていい。いずれも「社運をかけたプロジェクト」なのに、「その程度」だったわけだ。その結果、「エンジニアの反乱」が起きてこのざまだ。くどいようだが、それぞれのエンジニアは自分の能力を尽して働いていたはずだ。だから、「反乱」としてサボタージュをしたわけじゃない。でも、
危険な道はどんなに用心しても事故は一定確率で起きる
ものだ。個々のエンジニアがどれだけ力を尽そうと、無茶な扱われ方をすれば、一定確率で失敗プロジェクトは発生する。試行回数が増えると、確率は現実になる。
これはある意味、エンジニアの「集合意思」がサボタージュしたと言っても良いかも知れない。個々人は誠実に働いていても、「集合意思」としてそうなってしまったと。それをまぁ、
呪い
とか言ってしまうとオカルトなんだけど、確率が現実になる閾値を越えてしまったとゆーこと。
だからお祓いでも… じゃなくって、スキルのあるエンジニアを使わなきゃいけないし、彼等が十分力を発揮出来るような待遇と体制を作って行かなきゃならない。「エンジニアなんてその程度の扱いでいいんだよ」と思っているユーザ、経営者、営業… は、考えを改めた方がいい。
PS.
DBエラーはネタじゃなくて、アクセスに負けましたwww 高々私の雑文くらいでパンクするとは情けない。
PS2.
冗談通じない奴のために念のために書いておくと、ヨーカドーのアレは厳密にはオープンソースじゃないからね。厳密に言えば、「オープンにしちゃったソース」って奴だ。
PS3.
半分皮肉のネタのつもりで書いたんだけど、CAに関しては当ってたようだ。
> 東京都内在住の男性(19)という「はまちや2」さん
ちょwww
Twitterにも氾濫が。
http://www.techcrunch.com/2009/12/17/twitter-reportedly-hacked-by-iranian-cyber-army/
ピンバック: おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか? « とっても! ちゅどん(雑記帳)
果たして彼らはエンジニアだったのだろうか?
私はエンジニアは、対象となる技術分野をサーベイする能力が不可欠だと思います。
請負う仕事に関して従来技術を知っている/調べておくのは省くことの出来ないプロセスです。
何も今回の件の現場の人間が既知のセキュリティ脆弱性について無知なのが悪いと言っているのではありません。事前に調査しなかったのが悪いのです。
そういう意味で、「自分の能力の範囲、自分の仕事の範囲ではしっかり働いていた」とはとても思えません。働いていたのは確かだろうけど、その働きは決して「エンジニア」としての働きではなかった。
彼らはいわば「名ばかりエンジニア」なのだと思います。
問題はセキュリティだけには限りません。この体たらくから察するに明らかにシステム設計者は特許調査すらしていないと思われます(特許調査は技術分野調査の基本のひとつ)。これでは知らないうちに他者の特許を侵害してしまう可能性を否定できません。少なくとも特許侵害で訴えられた時にすぐに抗弁できずあわてて調査することになるでしょう。
セキュリティの穴を突いた不正アクセス攻撃にはノーガード戦法がある程度有効ですが、特許侵害ではノーガードは無力です。調べずに他者の特許を侵害した方が一方的に悪く、裁判にはまず勝てません。
今回はソースまで流出しているわけですし、数年が事業が軌道に乗って年商数百億になった時点で、特許権利者から「過去の売上げの5%を支払え、その上で今後の売上げの0.5%払うロイヤリティ契約を締結しろ。でなければサイト運用停止を裁判所に訴える」みたいなシナリオも考えられるわけです。
もし製造業であれば社運を賭けた企画で特許調査しないなんてありえません。eコマース業ではなんでこんなにゆるいんでしょう?
問題は「まともなエンジニア」と「名ばかりエンジニア」を簡単に区別できる指標がないことです。
経営サイドは決してエンジニアを軽視しようとはしていません。
しかしサイト構築の見積を出させると、「名ばかりエンジニア」は技術分野調査など不可欠な工数を抜いた数字を出してくるので「まともなエンジニア」はコストや納期では勝てません。
そして経営者はこの二者の質の違いを区別できないものだから、結果的に「まともなエンジニア」を選択できず、僅かな省コストやスケジュール前倒しと引き換えに、見えていないセキュリティや特許やその他の大きなリスクを背負い込むことになってしまうのです。
本件は「エンジニアの反乱」という目新しいものではなく、「悪貨が良貨を駆逐する」という昔からよくあるありきたりな現象の一つだと思います。
「調査能力を持つ」「仕事の前には必ず調査する」この二つはエンジニアの必要条件であると信じます。
(もちろんこれだけでは十分条件はありません)
そしてこの二つすら欠いた「名ばかりエンジニア」の跳梁跋扈をどうやって対処していくか、それが当面の業界の課題でしょう。たとえば認定制度を設立しわかりやすい指標を作るとか。
ただ経営者がたくさん金を吐き出せば解決すると言うようなものではないのは確かです。
ピンバック: kgweb-log - やってくれるぜ、セブンネットショッピング!
>「名ばかりエンジニア」の跳梁跋扈をどうやって対処していくか、それが当面の業界の課題でしょう。
対処もなにも、そういう人を率先して雇ってる企業の方が多いんだが?
そういう企業が市場から消え去れば問題解決。
ピンバック: エンジニアの反乱? | Ken's blog
ピンバック: Tweets that mention おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか? -- Topsy.com
> 東京都内在住の男性(19)という「はまちや2」さん
mixiの時は15歳なんですね、「天才中学生ハッカー」だ、すごいなー(棒読み)