筆者は過去数カ月にわたり,現在のセキュリティ・ソリューションの煩雑さについて,数多くの講演や教育機関向けセミナーを行ってきた。テーマの中心は,Web開発者が基本的にはユーザーを理解せずアプリケーション開発に従事している,ということである。特に,クライアント側での「保護」を強調するあまり,エンドユーザーに「セキュリティ」の責任を押しつけていると説明した。 読者が「まるでIPS(侵入防御システム)やコンテンツの詳細な検査をけなすような言いぐさだ」という結論に飛躍する前に,Web環境におけるこれら保護技術は万能の解決策ではなく,むしろWebアプリケーション自体のセキュリティ対策が不十分であることを指摘したいと思う。各種取引用アプリケーションをもっと上手に保護する方法は存在する。 そこで,筆者は2009年4月23日にカリフォルニア州サンフランシスコで開催される「RSA Conference」で,「