クラウドという言葉が一人歩きしている印象が強い現在、経営者の中には、クラウドを活用すれば安全性は高まるという思いこんでいる方も多いようだ。クラウドは高度な専門技術を持ったエンジニアによって厳重に管理されているため、社内で運用するよりも安全性が高いという論理である。
しかし園田氏は「クラウドはインフラです。サーバがどこにあるのかという話であって、本来サーバが社内にあっても、サーバ管理業者にあっても、クラウドにあっても同じようにセキュリティ対策は必要なのです。クラウドだから安心ということはありません」と指摘する。

「かなり以前から指摘されている脆弱性が未だに方々のサイトで発見されています。脆弱性のあるサイトを見つける検索を行うと、毎回いくつものサイトがみつかるほどです。また、IPAで企業に修正を求めても、十分な修正が即座に行われないということは多々あります」と園田氏は語る。指摘された部分だけを修正し、内部に存在する類似の問題点は放置されているというケースも多々あるという。
「本を参考に手作りしたアプリケーションなどは非常に危険です。書籍というのは作られてから発行されるまでに時間がかかりますし、発行されたら数年は売られています。数年前の常識のままのことが多いのです。また、危険性を内包しているサンプルコードをそのまま引き写して作っているアプリケーションもあって、大きな問題です」(園田氏)。
書籍に掲載されているサンプルコードはわかりやすさや動作の理解を目的として作られているものが多く、本来は動き方を知った上でセキュアなコーディング方法を知って処理しなければならないものだ。いくつかの書籍を参考にし、最新のセキュリティ情報を知った上できちんと構築するのならば良いが、サンプルコードをつぎはぎして作るというのはいただけない。

http://journal.mycom.co.jp/articles/2010/06/21/seminar_sonoda/index.html

「セキュリティの問題は、常に使いやすさとトレードオフになっています。安全であることだけを追求すればエンドユーザーにとって使いづらくなり、利便性を優先しすぎると安全性に問題が出てきます。どこに境界線を置くのかを考え、ポリシーを設定しなければなりません」と園田氏は語る。

http://journal.mycom.co.jp/articles/2010/06/21/seminar_sonoda/index.html