NTT オープンソースソフトェアセンタ 坂田 哲夫

IPAセキュリティセンター講師による、SQLインジェクション対策

午後のセッションでは初めに、IPA (独立行政法人 情報処理推進機構) セキュリティセンターの相馬 基邦さんから、『セキュリティ事故のケーススタディ』と題して、SQLインジェクション対策を中心とした、安全なデータベースアプリケーションの開発方法について講演をいただきました。

いまではウェブサイトの構築の際にデータベースを利用することが広く行われていますが、その際には外部からの各種の攻撃も想定して、安全にデータベースが運用できるように、配慮する必要があります。

この講演では、実際にショッピングサイトで起こったSQLインジェクション事例を紹介しつつ、SQLインジェクションへの対策を紹介しました。配布されたテキストに加えて、IPAに設置されているサイトに対してSQLインジェクションを使った不正を実演する、わかりやすいものでした。

相馬さんのお話では、SQLインジェクションなどによる不正があった場合、その対策にかかるコストは5,000万～1億円にも上るとのこと、またSQLインジェクションによる攻撃と疑われるアクセスが昨年1年の間に20倍近くに増えているとのことで、受講者は真剣に聞き入っていました。

具体的な対策として、アプリケーション作成時の注意点に加え、運用時に活用できる、データベースが出力するログを解析して、侵入の兆候を指摘するツールである iLogScanner (IPA作) も紹介され、実際にデータベースを開発・運用する人たちにとって、とても参考になる内容でした。

JPUG地方支部長講演

今回のJPUGのセミナーでは、これまでにない試みとして、各地方の支部長に支部の状況や日頃考えていることなどを自由に語ってもらうこととし、9つの地方支部 (北海道・東北・新潟・名古屋・関西・中国・四国・九州・沖縄) から提出されたテーマが、関連のあるグループごとに発表されました。

技術に関するテーマ

名古屋支部長の澤田 潔さんは『PostgreSQLを安心して使い、性能を見える化する～OSSによる病院情報システム (HIS) の強化～』と題して、職場である大規模な病院 (約800床) での情報システム (Hospital Information System) へのPostgreSQLの適用事例を紹介されました。

電子カルテや検査伝票の処理の自動化などを中心に、病院のIT化はかなり進んでおり、専門のSI業者によってすでに多くのシステムが構築されているものの、現場からは既存のシステムの"隙間"を埋めるようなツールの要望が多く、それに対してPostgreSQLを中心としたOSSによるシステムを構築・運用しているとのことでした。

その上で、日頃実践している「安心してPostgreSQLを使う」ための3つの柱が紹介されました。障害が起こっても運用が継続できるように二重化すること・データを失わないように確実にオンラインバックアップを取得すること・性能問題をおこさないようにSQLはチューニングして使うこと、です。また、運用上必要となるそれらの活動を見える化 (手順化) することで、データの安全性、データベースの性能といった、運用上の問題点が起こりにくく・早期に発見できるような仕組みで取り組んでいる、とのことでした。

関西支部長の宗近 (むねちか) 龍一郎さんからは、『PostgreSQLとMySQLを徹底比較』と題して、両DBMSの最新版での機能の動向と、これらのDBMSと連携して動作するアプリケーションの紹介がありました。

機能については両DBMSの最新版では差が少なくなりつつありながらも、UTFの4バイト文字はPostgreSQL8.3がサポート済み、MySQLは次の6.0でサポート予定であり、多バイト文字はPostgreSQLに一日の長があると感じるとのこと。

動作するアプリケーションについてはMySQLの方が多く、PostgreSQLをサポートする場合も、大半はMySQLをサポートしているようです。そんな中で、PostgreSQLをサポートする、CMSやプロジェクト管理向けの「お勧めの」アプリケーションが紹介されました。

地方支部の活動を盛り上げるために

地方支部からの発表ということで、一番多かったのはこのテーマでした。支部単位での勉強会やセミナーの状況と、発展させるための方針が話題の中心でした。

沖縄支部長の屋比久（やびく） 友秀さんからは、近年コールセンタを中心にIT 産業が伸びていること、政府の「沖縄IT津梁パーク」構想では、2010年度には新規に8千人の雇用創出を目指すことが紹介されました。その一環として「OSS 活用推進センター」の設置が検討されていること、民間企業でもPostgreSQLの採用先が情報系から基幹系に広がりつつあるそうです。沖縄支部では2008年度、PostgreSQLのセミナーを2回開催し、参加者も増えているとのことでした。

中国支部長の小松 誠さんからは、PostgreSQLの採用が基幹システムにも広がりつつあるものの、支部の勉強会の参加者が少ないとのことでした。 勉強会への参加者が少ないという悩みは地方の支部に共通の課題のようです。

九州支部の清末（きよすえ） 直さんからは参加者を増やす工夫として、

• 2か月に1回定期的に勉強会を開く
• 年に1度はセミナーを開く

という活動を継続すると同時に、結果を広く公開して多くの人が参加しやすくしている、という話が紹介されました。

参加者を増やすもう一つの工夫は、PostgreSQLと関連の深いコミュニティとの連携です。

東北支部の高橋 直人さんによれば、PostgreSQL単独の勉強会の参加者20名ほどだが、東北OSCには200人以上の参加があるとのことでした。

四国支部の山下 武志さんは、参加者を増やす工夫として、ほかのコミュニティと合同の勉強会を年に2回くらい開くことで、岡山県や徳島県といった海を挟んだ近隣の県を含めた「瀬戸内コミュニティ」での活動を心がけている、とのことでした。

北海道支部では、前支部長の澤田 周さんが北海道で活動している他のOSS関連のユーザコミュニティと一緒に、コミュニティ活動そのものを活性化するためのメタ・コミュニティを立ち上げた、との話が披露されました。

このように各支部では、地域に根付いたセミナーや勉強会といったコミュニティ活動を展開しています。皆さんもお近くの支部の活動に参加してはいかがでしょうか。ネット上の活動とは違った、楽しみ方・情報の交流がきっとあると思います。

こうした活動のもう一つの意義は、PostgreSQLの知名度を高めていくことです。

新潟支部の本間 忍さんからは、新潟県上越市で行われたIPAによる「自治体等におけるオープンソースソフトウェア活用に向けての導入実証」でのPostgreSQL採用事例が紹介されました。印象的だったのは PostgreSQL が採用された理由として「新潟においてもコミュニティが存在し、サポートが受けやすい」ことが選定理由の一つだったとのことです。地方に根付いた日頃のコミュニティ活動の大切さを再認識させられました。

セミナーの終了後には講師を囲んだ懇親会

セミナーの終了後には、講師を囲んだ懇親会が開かれました。

JPUGの各種セミナーの後では、このような講師を囲んだ懇親会を開くのが恒例になっています。参加した皆さんの間での交流の場として、大いに活用してくださったようです。この懇親会のもう一つの狙いは、セッションの時間には出来なかったような質問や意見交換を講師と参加者との間でする場とすることです。あちこちで、講師を囲んだ議論の輪が広がっていました。

そういう「真面目な」趣旨だけではなく、もちろん、楽しめるような企画も準備されました。今回は地方支部の方が持参した名産品を、希望者がジャンケンで取り合うというもの。

最後は、片岡 裕生 理事長のあいさつで、今年はJPUGも10周年ということで、秋のカンファレンス"PostgreSQL Conference 2009 Japan"に向けてがんばろう、と締めくくりました。