@portfoliokns3

Are you sure you want to delete the question?

If your question is resolved, you may close it.

Leaving a resolved question undeleted may help others!

We hope you find it useful!

あなたならどのような行動を行いますか?

Discussion

VB.NetC#SQLServerSQLインジェクション

確認したいこと

VB.NET(C#)を用いたデスクトップアプリについて、以下の状況のアプリを取引先の顧客に納品することは現場では致し方ないのでしょうか?あなたはITエンジニアとして、この例をどう対処されますか?

実装されている構成

  • SQL Serverには、事前に決められたテーブルとそこに登録済みの情報が存在する。
  • SQL構文(Select構文/Insert構文/Update構文/Delete構文)はデスクトップアプリ側で組み立てられ、そのリクエストを受け取ったSQL Server側でSQL構文が実行される。実行結果はデスクトップアプリ側にレスポンスされる。

実装されていない構成

  • プレースホルダは実装されていない。
  • ストアドプロシージャは実装されていない。
  • エスケープ処理は実装されていない。
  • 基本的に、全ての情報は平文で取り扱われている。(例.ユーザーIDをもとにパスワードをSelect構文で取得し、デスクトップアプリ側で入力値と比較するなど)

ITエンジニア

  • 請負会社のコーディング担当者または派遣社員など

ITエンジニアとしてどうすべきかについて

  • 顧客と請負会社が合意している、あるいは仕様書に実装しない旨が明記されているのであれば、ITエンジニアとしては何も言わない?
  • 顧客と請負会社が合意しているかわからない、仕様書にも何も明記されていないのであれば、関係者に確認する?それとも見て見ぬふりをする?
  • 個人情報を直接取り扱わないシステムだったならば、気にする必要はない?

私の見解

このような状況は現場では致し方ないのかな?と思いつつ、昨今のAIの普及やサイバー攻撃を踏まえると、怖くて仕方がないと考えています。私であれば、この状況を確認したら、関係者に必ず確認を行いますね。そして確認したという事実を記録として必ず残します。最近、「システム開発やアプリ開発は法令を前提に」という意識が芽生え始めた私でした。

0 likes
rhaya
@rhaya

私も関係者に確認し、確認したという事実を記録として残します。不都合な事実も伝えることが誠実な姿勢です。記録を残すことは自己を守ることにもなります。

1Like
prag
@prag

自分が参画しているプロジェクトでそんな馬鹿な状態にはさせません。
たまたま応援に入ったらそんな所だったという前提だとすると・・・

まずは、顧客が本当に納得しているのか確認。
・アクセスさえできれば、情報漏洩、改ざん、破壊がやりたい放題であること。
・システムの運用に関して保証ができないこと。

これが本当に顧客に納得させているのなら、
納入直後に全システム消えたとしても何もしなくていいということですので
ガラクタを高額で売りつける新たな手法として今後の参考にしましょう。

顧客が納得していないのが普通ですので、
社内ルールに則ってエスカレーションしましょう。

プロジェクトリーダー、管理職、セキュリティ部門や法務部門
というふうに、どれだけ危険な状態なのかを理解してもらいましょう。

パスワードの抜き取りとか、全部破壊とか、
特別なツールを使わずに、ブラウザだけで実現してあげるのが理想です。
攻撃方法は、AIに聞いて誰でも作れるのが望ましいです。

理解してもらっても、そのまま売りつけるという判断を「会社が」するなら、
それはそういう商売の戦略ですので、放置でいいかと思います。

0Like

Your answer might help someone💌

LoginSign Up