2006年7月19日，独立行政法人情報処理推進機構（IPA®）と有限責任中間法人 JPCERTコーディネーションセンター（以後，JPCERT/CC®）は「ソフトウエア等の脆弱性関連情報に関する届出状況[2006年第2四半期(4月〜6月)]」という資料を発表した。

　この資料は，昨今のWebアプリケーションのセキュリティ問題が，いかに大きな影響を及ぼしているかを知る手掛かりとなるものだ。資料によると，届出制度を開始してから報告されたソフトウエア製品に関する問題は257件，またWebアプリケーションに関する問題は564件となっている。Web関係は後者だけではない。前者の257件の中にも，Webアプリケーションの問題が少なくとも43％含まれていることが指摘されている。そのアプリケーションはWebサイトではなく，ソフトウエアの管理インタフェースをWebアプリケーションで開発するケースがあり，そこで発見された問題である。このように，Webサイトであるかどうかにかかわらず，Webアプリケーションにおけるセキュリティの問題は，非常に大きな影響を及ぼしている。

　では，実際にどのような問題が多く報告されているのだろうか。Webアプリケーションの脆弱性だけにフォーカスして見ると，「クロスサイト・スクリプティング（以後，XSS）」，「SQLインジェクション」，「ファイルの誤った公開」といった，お世辞にも技術的にハイレベルとはいえない，むしろ非常に初歩的な問題だけで全体の70％を超えている。そして残りのおよそ30％を，12の脆弱性項目と「そのほか」が占めている。これを，「Webアプリケーションの問題のほとんどは，XSSとSQLインジェクションだ」と読むこともできるだろう。だが，それは実際の現場で起きている問題とは乖離している。どうしてそう言えるのだろうか。

　読者の皆さんには，自動車を運転する方も多くおられるだろう。最近，車の運転で気をつけていることは何かと尋ねたら，「酒気帯び運転」と答えられる方が圧倒的ではないかと思う。立て続けに引き起こされた事故をきっかけに，メディアによる報道はこの酒気帯び運転に集中し，以前に増してこの問題を取り上げている。警察もこの問題に注目し，飲酒検問などの取り締まりを強化しているようだ。しかし，これだけ問題視されているにもかかわらず，連日検挙者が後を絶たないというのが現実の姿である。また，酒気帯び運転による問題は今に始まったことではなく，ほかにも危険をはらんだ交通違反は存在している。報道は集中しているものの，この問題だけが重大で，急増しているとも言い切れない。

　自動車の運転者をWebサイトの運営者とし，酒気帯び運転などの交通違反をWebアプリケーションのセキュリティ問題に見立てて考えると，見逃せないポイントがある。それは，問題が存在，認識されているにもかかわらず，その対策の必要性が軽視されている点だ。これくらい大丈夫だろう，自分に限ってそれが指摘されることはないだろう，仕方なかったのだなど，現実から目を背けているとしかいえない「対策してこなかった理由」が並べられる。こうした状況下で，「安全＝セキュア」な環境を構築するには，まず何より「初歩的な」問題の解決に注力することが求められる。その一方で，それが問題の大半であるというような錯覚に陥ってしまってはならないのである。

　さらに，顕在化したWebアプリケーションの脆弱性のうちXSSだけで40％もある理由には，サイト構築業者のミスだけでなく，かつてWebアプリケーションが「CGI作成」といわれたころの遺物のような問題も含まれていることが考えられる。逆に，SQLインジェクション問題ならば，Webアプリケーションがデータベース・サーバーと連携するようになってからにしか発見されないだろう。つまり，それぞれの脆弱性に対して，問題の可能性があるサイトの母数が明らかに異なるため，また露呈しやすさも違うため，報告結果に影響しているとの見方もできるのだ。Webアプリケーションの問題は，おおむね初歩的な問題だと安直に考えるのではなく，むしろ他者に露呈しにくい問題にも注目し，必要に応じて改善や予防のアプローチを取らなければならない。