今回、担当SEが持つべきリテラシーについて考えされた事件…
発端と収束編は スパムメール大量送信事件その1
解決編は スパムメール大量送信事件その2
をご覧ください。
例えば「WordPressを設置してください」と言われた場合、私達は、設置し要件を満たす設定やカスタマイズ、プラグインの導入をした上で引き渡します。
恐らくその時に「ログインのIDとPasswordは変更してください」と一言添えて。
「そんなバカな」と思われるかもしれませんが、これを実際に行わないクライアントさんが実は一定数はいます。俗にいう、リテラシーの低い顧客です。今回の件も、そういったクライアントさんで起きた出来事でした。
1. 個人事業主やフリーランスのクライアント層
企業と違って、私達のような個人事業主やフリーランスのクライアントさんの大半が、担当SEがいなかったり個人で運営されているといった極々小規模だったりします。そういう方たちがWEBサイトを運営した時に、必ずしもリテラシーがあって運営されているわけではないのです。「HTMLってHPのことですか?」「サーバーとパソコンの違いが分からない」等、驚くほどに知識がない状態で運営していらっしゃる方が沢山います。
知識だけならいざしらず、最低限のリテラシーも持ち合わせていないクライアントさんは多く、morrighanとしては、ショップ主さんやクライアントさん、担当SEさんたちには最低限の知識を持ってもらってそれを活かして売上を伸ばして欲しいなと思っているため、事あるごとに余計なお世話ってくらいに説明や提言をしたりしますが、いくらそういったアクションを起こしていたとしても、のれんに腕押しだったり、「分かった!(わかってない)」だったり。悲しいですが、そういうことが結構あります。
この件のクライアントさんも、他アプリケーションでも同様にID・Passwordの設定が甘く、それ以外でもリテラシーの低さは垣間見えていたので都度注意を促してきてはいました。が、結果として対応はされておらず、この事件の発生でした。
2. 今回のような時の責任の所在
フィッシングページの件の時にhello.phpを突き止められなかった技術者サイドにも責任は勿論あります。しかし、いくら技術者サイドがセキュリティ対策を施したとしても、自由度をもって引き渡しされたアプリケーションに対してまでは責任を問うのは酷です。そういうのを回避するために契約書ってありますし、たいていそこに書かれていたりしますよね。アプリケーションを利用して生じた不利益や負債は製作者に問われないみたいな感じで。
今回の件の根本原因は、クライアント側担当SEのリテラシーが皆無だったこととだと思っています。
3. 低リテラシーなSEが生まれる原因
彼らに共通する箇所がいくつかあるように思います。
- 「自分のサイトは被害に合うことはない」という妙な自信や過信
- 自サイトが握っている顧客情報の大切さの認識不足
- 自サイトへの無関心
- こんな所までは見られないというような警戒心の無さ
- 誰かがやるだろうという甘え
3-1. 「自分のサイトは被害に合うことはない」という妙な自信や過信
PVがそこそこあったり、広告を出しているようなサイトはいつでも危険性があると思うべきです。ビジター全てが悪意を持っていないとは言い切れません。母数が増えれば増えるほど危険因子は増えていくのは当然ですし、WEBサイトへの危険因子はたった1つがクリティカルヒットしてしまえばWEBサイトが立ち直れないくらいのパワーを持っています。
3-2. 自サイトが握っている顧客情報の大切さの認識不足
morrighanはネットショップに対応することが多いので特にですが、顧客情報が流出でもしようものなら大変なことです。住所や電話番号、サイトによっては趣味嗜好やカード番号等、お客様のソーシャルな部分を握っているクライアントさんはとても多いです。その重要性を甘くみていたり、そもそも重要だという認識が不足していると思うクライアントさんはやはりいます。
3-3. 自サイトへの無関心
「もっとこうしたい」「どうしたらお客さんが増えるだろうか」とかの自サイトへ興味がないSEさんが多いように思います。
フロントサイドから自分のサイトをしばらく見ていないとったSEさんやクライアントさんは沢山います。見ない理由は忙しいからとか、必要ないからとか、色々ですが、SEさんの場合は、上から言われたタスクだけを消化する、SEO業者に言われた対策だけを取ることだけが仕事だと考えているからだと思います。
でも自サイトに興味をもって自分でも訪れたりすることで、お客様よりも先に不具合や改善点、危険な箇所に気づけたりもしますし、サイトを守ろうという気持もでてきたりします。SEさんは、そういうことをしてサイトを守るのも最低限のお仕事だと思います。
3-4. こんな所までは見られないというような警戒心の無さ
オープンソースの場合は特に、ログイン画面の場所というのは一度でも利用したことがある人なら予測できます。デフォルトであれば、例えば、WordPressなら、wp-adminの下にあるといった具合に。ログイン画面というは自分たちだけの秘密ではないのです。ログイン画面は見られて当たり前という認識でいるべきです。ログイン画面を知られることがないならログイン機能なんて置かずにそのまま管理画面でも出せばいいんです。
ソースも見られることがないだろうとお客様をなめているようなSEさんも居ます。どういうものであっても普通に見ることができる状態のものはサイトのビジター層に関わらず見る人がいる可能性を考えておくべきです。
3-5. 誰かがやるだろうという甘え
IDを発行したら、何も言わなくてもちゃんとパスワードは強固なものに変えてくれるだろう だったり、何も言わなくても外注がやるだろう といった部分だったり。
そのサイトはあくまでそのSEさんを含むクライアントさんのものであって、外注のものではないわけです。最終的にそのサイトを守ってあげられるのは自分たちしかいないというような考えがなくて、他人任せな所があるのかもしれません。外注なんて所詮外注です。慈善事業ではないので、対価に見合った作業しかしません。そこを勘違いしているクライアントさんや担当SEさんは多いです。長く外注としてお付き合いしているとまるで非常勤の社内エンジニアのように思われていたり。でも違いますもんね。外注にとってクライアントさんは貴重な収入源ではありますが、そのクライアントさんが飛んでしまおうが関係はなかったりします。
こういった状態だと、「ただ運営している」状態でしかなくて、WEBに対する絶対的な知識不足から最低限のリテラシーの欠如が生まれているように思います。
それこそ「SE」と名乗るのは甚だ可笑しいくらいの基礎的なところも知らなかったりしますわけです。
必ずしも高等な知識を要するわけではないです。最低限、自分のサイトを大切に思っていてそれを守ろうという意識があれば、そこから自身で知識や技術を得ようと考えたり、自分で得ることが難しければお金を払って技術を買ったりするわけです。今回の件は、そういうサイトを大切に思う気持が薄かったのだろうと日頃の様子を見ても思っていましたし、言及していても改善されなかったのがすごく残念でした。
WEBサイトを運用するにあたり、必要なリテラシーというのは明確に存在はしないと思っています。が、そのリテラシーを向上させるためには「自分のサイトに片思いし続ける」のが大事なんだと思います。