11月15日に「日経コミュニケーション」の別冊を発行しました。昨年まで「通信サービスの料金相場」としていたものを，内部統制などの盛り上がりに合わせて趣向を変え，「ネットワーク・セキュリティ大全」として新たに編集しました。その中では，情報漏えい対策から不正アクセス対策，スパム･メール対策まで，広範囲にわたるセキュリティ関連サービス/製品の一覧を掲載しました。いわゆるディレクトリです。 セキュリティ対策は，企業にとって欠かせないものです。それは間違いないでしょう。ただ，このごろ，「実はハイテクによるセキュリティ対策はあまり強固にし過ぎないほうがいいのではないか」と考えることがあります。というのは，次々に登場してくるセキュリティの脅威が，対策をすり抜けるように工夫され，検知・防御が一層困難になるからです。だったら高度な対策を講じなければ脅威の進化も止まるのではないか，という考えです。 セキュリテ

最近，「SQLインジェクション」の危険性について語られる機会が増えているが，SQLインジェクションの正体，その問題点，そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは，SQLインジェクションとは何かを明確に定義し，どのようにして行われるかを説明し，SQLインジェクションから組織を守る方法を読者に伝えることによって，この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは，アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性，または欠陥である。SQLインジェクションは，ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し，それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は，コーディング・エラーの性質によって様々である。 具体的に言うと，その影響は，エ