頼んではいけない開発会社
はじめに
前回、開発会社の種類 で開発会社の業務の種別について説明しました。
ひとつ抜けているものがありましたので追記しました。それは自社でサービスを立ち上げて運営している会社です。このような会社はソフトウェアを請負開発することはあまりないということで外していましたが、やはり開発会社だろうということで追記しました。
ではソフトウェアを作りたい時、どんな会社を選べばいいのか、簡単に識別する方法をまとめました。あくまでも、ソフトウェア開発会社としての識別方法です。それ以外の会社にはあてはまりませんのでご注意ください。
自社のサイトのSSL対応がされていない
SSLとは、インターネット上でデータを暗号化して送受信する仕組みのことです。これはWebサイトを見るとすぐにわかります。ブラウザのURLの部分に「安全ではありません」という文字が表示されます。
これは、暗号化対策をしていない、URLが「http://」からはじまるサイトです。ただし、ただしく対策がなされていればURLが「http://」であっても、「https://」に変換して実行するようになっているため、安全ではありませんの文字は表示されません。
自己署名証明書を使っている場合も同様です。サイトにアクセスしようとすると、警告メッセージがでます。
通信経路が閉じているイントラネットで自己署名証明書を使うならともかく、外部から接続するサーバーに自己署名証明書を使うのは危険です。悪意の攻撃者が証明書を差し替えてもユーザーからは区別することができません
証明書なんか、どうでもいいでしょう。という意見もあるかもしれませんが、悪意ある第三者からの盗聴を防ぐ大事な証明書です。高額な証明書代金が必要なわけではなく、レンタルサーバーでは、管理画面で設定するだけです。自分でサーバーを立てていてもそれほど設置に手間がかかるものではありませんので、設定しない理由はないです。
当社では、Let's Encrypt を使用し、寄付を実施しています。
[サイトのURL]/wp-admin/と入れてみた時
Wordpressのログイン画面が出てくる。下のような画面です。
コーポレイトサイトを作るのにWordpressを使うことはよくあります。サイトの更新が簡単にできますから、新しいお知らせやブログなど、簡単に作ることができます。
ただし、サイトを立てるといろいろなところから攻撃を受けます。サーバーのログを見ると、存在しないURLを叩いているログがたくさんでてきます。なぜそんなことをするのか。管理者の画面に入れてしまったら、そのサイトの改竄ができてしまいます。またデータベースから色々な情報を盗まれてしまうことにもなりかねません。
Wordpressでサイトを立ち上げたら、まず最初にログイン画面のURLを変更するのが一番簡単で効率的なセキュリティ対策です。プラグインを入れるだけなので、ほとんどの会社は実施しています。
403とか、404とか白いエラーページもあまりよくないですね。
サーバーの種別nginxとか教える必要ないですし、エラーになったらエラー用のページを出すか、もしくは存在しないURLを叩かれたら、さりげなくTopのページに飛ぶのが正しい動きです。
実績一覧が具体的ではない
ソフトウェアの開発をした場合、実績として公言できるのはお客様と直にやりとりした会社のみです。当社の非公開実績のようなものは上の商流に開発会社があって、そこの実績になっています。
これは、大きく見える実績でも数十人単位のプロジェクト内の1メンバーであるだけかもしれないということを意味します。一つのソフトウェアを作り上げるのはどんな小さなアプリでも、要件の聞き取りから、製作、デバッグ、改修、リリースなど多岐にわたる工程があります。もしかしたら、デバッグだけやったのかもしれないですし、どこか一部分携わっただけかもしれないです。
ソフトウェア開発とは
さまざまな開発現場を見てきた経験から申し上げますと、大手の開発会社で半年間こねくり回したアプリが結局動かなかったり、サーバーサイド2名、クライアントサイド2名で大きな会社のアプリが出来上がってしまったり、スキルマッチで左右されることが大きいです。お気軽にご相談ください。