タイ料理でも食ってみようということになり，近くにあるタイ料理店に入った。

トムヤムクンぐらいは分かるが，本格的なタイ料理を食べるのは初めて。お品書きを見てもさっぱり分からんので，タイ人の店主に教わりながら，初心者向けのコースとして，トムヤムクンのほか，揚げた魚にあんかけをかけたような料理と，豚の皮と野菜の炒め物を注文した。タイ料理は何でも辛いけど大丈夫か，と聞かれたので，現地仕様よりもやや控えめ程度で作ってくれと頼んだ。もとは辛いものは苦手な方だったんだが，永谷園あたりのやつではないオリジナル麻婆豆腐なんかを作ったりしているうちに，辛いものも美味しいと思えるようになり，いまでは身体が辛い料理を求めるようになっている気がする。たとえば，突然タイ料理が食べたくなったりとか。

出てきた料理は美味で，確かにどれも辛いけれど，その辛さはむしろ爽快な感じ。この爽快感があるからこそ，脳は唐辛子を麻薬のように求め，そして次第に手放せなくなってしまうのかも知れない。あんまり辛党になってしまうと身体に毒だなとは思っているんだが，そんな中毒性があるせいか，止めるのはもう難しいかも。食い終わったころ，店主から辛さはどうでしたかと聞かれ，ちょうどいいぐらいだと答えたら，それぐらいの耐性がある人はタイ料理が病み付きになるかもよ，と言われてしまった。うーん，また行っちゃうかも・・・。

今日一番の新発見は，最後に出てきたサービスのグレープフルーツだった。乾燥させた唐辛子の粉と砂糖をかけて食うのがタイ式だと言われ，騙されたと思ってその通りにしてみたら，これが何とも気持ちいい。一口目は，まあ甘い。と思っているうちに，唐辛子が広がって口の中はカ〜〜となるのだけれど，余分な辛さはグレープフルーツの酸味に中和され，気分は歯磨きをしたあとのようにスッキリ。味の濃い料理のあとの口直しとしては絶妙で，メントールなんて目じゃないです。試してみるといいよ。

Webサイトにおいてユーザからの入力を受け付けたりする，いわゆるWebアプリケーションというもの。少し古い資料であるが，MDSという会社が福井県内における自治体のWebサイトを対象にSQLインジェクションの調査を行ったら，脆弱性が数多く見つかったという。この調査は2年前のものであり，SQLインジェクションに限らずWebアプリケーションの危険性は，少なくともそのころから明るみに出ていることである。にも関わらず，いまでも企業のサイトから個人情報が漏れるというような事件が跡を絶たないことからすると，重大なセキュリティ問題のあるWebアプリケーションは，いまでも数多く存在していると考えるのが妥当だろう。まあ，どんなに警鐘を打ち鳴らそうが，治さないところは治さないけれど（あるいは治せない？）。

それにしても，なぜWebアプリケーションは脆弱に作られ，そして脆弱なまま運用に投入されてしまうのだろう。そもそも，Webアプリは，一般的なソフトウェアと比べると，かなり特殊な知識と設計が要求されるものである。少し考えてみただけでも，不特定多数に公開されるという時点でセキュリティには厳しい配慮が必要であり，ユーザからの操作があるごとに，個別のインスタンスが起きてその処理を行うという実行モデル自体も，かなり変わっている。そこに，ステートマシン的なものを実装するのが普通だが，ユーザが悪意を持って扱えば，あらゆるステートが順不同で現れる可能性があり，しかもユーザから送られてくるデータは，まるっきり信頼できないものときている。こんなものを安全に作るとなると，かなり色々な配慮が必要だ。

Webアプリケーションの実装とセキュリティに精通したところに発注すれば，きちんとしたものができてくるだろう。成果物の品質検査にあたる専門コンサルタントも存在する。しかし，大規模な物販サイトとか，ネットバンキングのシステムのようなものならともかく，中小規模の開発では，発注者や経営者の意識はどうなんだろう。Webアプリも，Webサイト構築の延長線程度に考えられていやしないだろうか。あるいは，セキュアなプログラムを作るためには，それなりの専門知識が必要だという意識が欠落していやしないだろうか。案外，開発は子へ孫へと流れ，「動けいたからこれでいいや」程度の設計しかできないスキルの低いプログラマのところに辿り着いたり，あるいは，デザインを請け負ったウェブデザイナが片手間で作ったりしているケースは多いのかもしれない。

結局，発注者側の意識向上がなければ，どうにもならんのでしょうな。

最近，SQLインジェクションによる攻撃で，企業のWebサイトから個人情報が漏れるという事件が目立っている。攻撃を受けた企業は揃って，うちは被害者で過失はないというような顔をしているけれど，法的な観点はともかく，セキュリティという観点では果たしてそうだろうか。SQLインジェクションは，何年も前から知られている攻撃手法であるし，その方法で，旅行会社のサーバから顧客情報を引き出したとして逮捕された中国人留学生は，ただのスクリプト小僧であったというから（今日のNHKのニュースがそのように報道），さほど高いスキルのある人間ではないようだ。こうした報道が事実だとすれば，すでに広く知られている攻撃に対する脆弱性が放置されていたと考えられるわけで，それで無過失を主張するのは，少なくとも技術的には無理がある気がする。

ところで，逮捕された被疑者は，カカクコムの改竄事件などにも関与している疑いも持たれているようだが，もしこれも事実だとすれば，カカクコムがやられたあとの記者会見で発表された「最高の対策をしていたが，特別な方法でやられてしまった」といったコメントは，何だったんだろうということになる（もっとも，すでに酷評を受けているが）。SQLインジェクション説については，同社は否定も肯定もしていないようだし，模倣犯の防止を理由に手口を明らかにしたがらないからなおさら，実は恥ずかしくて言えないような脆弱性があったんじゃないのと勘ぐりたくもなる。誰でも模倣できるぐらいの，恥ずかしいやつが。ま，被疑者が黙秘したまま起訴されたら，そこら辺はある程度明らかになるのかも知れない。立証しなきゃいかんからな。

先月29日，セ・リーグ公式戦の良い座席があるからおいでと誘われ，初めて東京ドームで野球を観戦してきた。対戦自体は，巨人−ヤクルトという，極めて興味のない内容であったが，そもそも東京ドームの中には入ったことがなかったし，それもバックネット裏のS席なんてところに座る機会なんかそう滅多にあることではないから，まあ何でもいいやというわけである。話としては知っていたけれど，ドームの中に入ったとき，耳がつんとなって与圧されてるのがすぐに分かった。与圧のせいで密閉性のよい回転扉を廃止することができないらしく，ドアごとに整理要員を二人ずつ配置し，細心の注意を払いながら一人ずつ通過させる体制。そこまですることがあるのかしらと思うんだが。

で，バックネット裏は，テレビ中継のカメラマンが打席付近の視界を遮ってくれる以外は，とても見晴らしがよく，いい感じ。しかし，ムードは最悪だった。結果から言えば，この日はヤクルト11に対して巨人1というスコアで，当然，ヒートアップしていたのは球場内では少数派のヤクルトファンだけであるから，まあ静かなこと。周りが熱気に包まれていれば，まだ雰囲気的にも面白いんだけど，この日は明らかに観客から見放されている感じで，七回あたりからは帰る人の列が絶えないという有様。もともとどっちが勝ってもいいような試合だったからなおさら，野球としてもうちょっとまともな内容を見せて欲しかったんだが，巨人のヒットは出ないし，ヤクルトの攻撃では守備がいまいち，という具合で，つまらなさすぎる。

巨人ファンの方々って，とっても上品なんですねえ。この日は特にテンションが低かったんだと思うが，全体的に静かで，ヤジもそれほど聞こえてこないあたり，どこかのファンと比べると非常に穏やかだなと思った。我こそがファンや〜！って感じの服装をしている人がわんさかといて，応援バットを連打は鳴りやまず，ブーイングやら何やらで常にやかましい甲子園とはえらい違いだと思いました，ホント。

突撃実験室