社内で新たにWEBサイトを構築する案件を、別の会社に発注しました。
経過報告などは基本的にメールでやり取りして、必要に応じて電話、面談する形でプロジェクトを進めてきました。
納期も近づいてきましたが、ここまでは大きなトラブルはありませんでした。
しかし、先日受けた経過報告のメールに、発注先が運営するWEBサイトの下位ディレクトリのURLが記載されており、そこに製作途中のHTMLファイルなどのコンテンツがアップロードされて、アクセスして経過を確認して欲しいとの連絡を受けました。
私は、メールを受信してすぐに担当者に連絡して、データの削除を求め、すぐにデータは削除されました。
発注先に電話した担当者の話では、「2~3日で削除するつもりだったし、2~3日では検索エンジンに拾われることもないので、データが漏れる心配はない」という回答を得たとのことでした。
どこからかリンクされていなければ、検索エンジンにインデックスされることがないのは承知しています。
メールが盗聴される可能性もあるということも理解しています。
しかし、途中経過の確認の方法について、インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
さらに、パスワードで保護するなどの措置もなく、データが置かれたサーバは、発注先が自社で運営しているサーバではなく、レンタルサーバ業者が運営しているものでした。
インターネットに公開されたWEBサーバに公開すべきでないデータを置くということは、セキュリティの観点から通常あり得ないことではないでしょうか?
この件について、発注先の回答に呆れて、後日改めて抗議しようかと思うのですが、社内のプロジェクト関係者はこのことを重く受け止めていないようですので、私の見解が間違っているのかと思い、質問させていただきました。
よろしくお願いいたします。
No.6ベストアンサー
- 回答日時:
ご質問者様のお気持ちも良く分かりますし、納品前の成果物をWebサーバにアップロードされるのも、私がご質問者様の立場なら気分が良くありません。
ただ、委託先にもやり方というか、業界の慣習、社内文化という物があり、発注前の委託契約などでそれを明確に指示していなかった責任はご質問者様側が負うべきことであると思います。私も色々な開発案件で、自社と委託先のやり方の違いで何度も失敗してきていますので、他人事とは思えません(笑)
今回のことは、抗議しても余り役に立つとは思えません。向こうからは逆ギレされて「書類にそうなってないから知るか!」と言われるだけです。
ですので、今後は発注時の契約書や発注依頼書などに成果物の取り扱いやデータ共有の仕方について明記することをお勧めいたします。
(釈迦に説法かもしれませんが、他にも用語の定義や仕様変更のやり方、最終成果物、マニュアル(どのレベルまでかみ砕いた説明になっているか、システムの構築方法も明記されているか)についてもきっちり取り決めをした方が良いです)
一つ勉強になったと思い、今後のお仕事に今回の教訓を活かされては如何でしょうか。
No.5
- 回答日時:
補足なども読みましたが、契約書などに
>途中経過の確認の方法について、インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
明確に確認方法を規定していないので社内の関係者と合意して、このような方法をとったのではないでしょうか?。
(メール)議事録や打合せ記録や社内担当者レベルで確認してください。
社内の問題かもしれません。
社内の担当者は確認事項を、くつがえされてしらけきった可能性があります。
No.4
- 回答日時:
>やはりいずれは公開するための情報であれば、問題ないのでしょうか?
私に問われてもとまどいますが、期日が来るまでは絶対に一般に公開したくない場合もあるわけですし、公開するための情報でも今は絶対駄目なんて事もありその場合は問題になると思いますから一概にはいえないと思います。
筋を言えば、そこら辺は依頼された側が決めるわけではなくて、発注元の裁量で決めるべき事なのではないでしょうか。(問題かどうかを判断するのは発注元で案件によるのではないかと)ただ今回の場合、通常の方法でアクセスする方法がほとんどないので、確かに微妙な所なのですけど。
・・とはいってもそれを誰に決める権限があるのかわかりませんけど、そういう事を決める立場にない場合で、プロジェクトや会社のポリシーのようなものが明確には決まっていなかったら、一人で騒ぎたてるのも一人相撲みたいになってしまうかもしれませんね。でも質問者様の気持ちはわかります。
・・私が思う事を気ままにかいてみましたが、私の意見などあまり参考にはなりませんね。あくまでご参考程度に。
No.3
- 回答日時:
Webに公開された時点で誰かに見られる可能性はありますし
サイトを公開する会社名(seventhangさんの会社)もはいってると思います
公開された時点で、そこに載っている情報は公開している会社の責任と考える必要があると思います
そこで変なことが書いてあれば、WEBサイト作成会社じゃなくて
サイトを公開している会社の名前が入ってる所の責任になるわけだと思いますので。
そこに書いてある情報がたいした情報じゃなかったとしても
そんなに難しいことではないので、パスワード認証ぐらいはかけるべきかなと思いますね
個人的には、seventhangさんが怒るのは間違っていないと思いますよ
サイト作成会社の方は、最低限確認はとるべきだったと思います。
ご回答ありがとうございます。
疑問に感じているのは、まさにご指摘どおりの理由です。
私の感じている疑問は、見当違いではないということで、安心しました。
No.2
- 回答日時:
質問者が言ってるやり方って別に普通にやることですけど
何が問題?
>データが漏れる心配はない
完成したら公開する情報ですよね?
公開しない機密データでもアップされていたのですか?
それどころか
>発注先が運営するWEBサイト
質問者の会社はまだサーバすら用意してないのですか?
>インターネットからアクセス可能なWEBサーバにデータを置くという方法を、事前の相談の上合意したわけでもありません。
でしたら質問者と発注先の会社にVPNを構築してください。
その場合、質問者の会社持ちで機器を用意しましょう。
ソフトウェア的に使えるVPNよりハードウェアで対応していてる製品を選んだ方が良いでしょう。
>セキュリティの観点から通常あり得ないことではないでしょうか
社外秘の機密データでもアップされていたのですか?
この回答への補足
ご回答ありがとうございます。
ごく普通に行われる方法であることも分かっていますが、問題だと感じているのは、プロジェクトの開始前に経過の報告はメールで行うということで両社の間で合意を得ているにも関わらず、公開されたWEBサーバ上にデータが置かれたということです。
こちら側はかなり大規模なサーバを運営しています。
そのことは発注先も知っています。
もとより、サーバサイドプログラムもSSIも利用しないコンテンツをわざわざサーバに置いて動作確認する必要はないはずです。
動作確認が必要であれば、イントラネットで行えばいいので、無駄な予算を使ってVPNを構築する必要もありません。
サーバ上に置かれたデータが、いずれは公開されるものばかりであれば問題ないということでしょうか?
No.1
- 回答日時:
難しいですね。
もともと公開するための情報なんだからそれほど気に留める事もないのかもしれませんが、今回は公開前のデータなので公開したくない気持ちも分かるし、公開されないデータ(例えば掲示板で言えば掲示板のログやそこに書かれたメールアドレスのようなデータ等)もレンタルサーバーにアップロードされていたのなら少し気になりますね。起きちゃった事は仕方ないかもしれませんが、お客の立場として不快感を示して抗議するのはありだと思います。その抗議が何かになるという性質のものでもないかもしれませんが・・。
もっとも私・・そういう業務的な常識はまったくわからないのですけど・・。
この回答への補足
ご回答ありがとうございます。
それなりに大きいプロジェクトということもあり、「公開したくない」というよりは、「公開すべきでない」と感じていますが、やはりいずれは公開するための情報であれば、問題ないのでしょうか?
仰るとおり、不快感を示して抗議をしても、何かになるということではありませんので、どうしたものかと思い、質問した次第です…。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- サーバー メールサーバーについて詳しい方、メールサーバーの管理業務経験のある方、教えてください。 3 2022/11/12 18:24
- HTML・CSS WEBサイトの構築。表示データとWEBデザインを分離する考え方を専門用語・業界用語では何と言うか? 8 2022/09/27 09:16
- コンサルティング・アドバイザー 台湾内での商談反故への対応策を教えて下さい。 2 2022/08/01 07:42
- ハッキング・フィッシング詐欺 スマホアプリのトラッキング 個人情報について 5 2023/03/31 08:16
- その他(セキュリティ) 匿名チャットアプリでの知られたくない会話 個人情報について 1 2023/03/29 18:08
- その他(セキュリティ) 匿名チャットアプリ トラッキング 個人情報について 1 2023/03/29 20:35
- システム 古いWEBシステム。もう追加プログラムは作れない? それともできる? 6 2022/06/08 13:41
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
sims4についてです。 別のパソ...
-
Webページに繋がるまでの流れに...
-
クライアントとサーバーを繋ぐ...
-
プロキシサーバーについて
-
サーバーについて サーバーの仕...
-
WindowsのエクスプローラーでFT...
-
なぜサーバーの運用にはLinuxが...
-
ネットワーク上の機器等の名称...
-
windowsサーバの権限設定、フォ...
-
Googleドライブのウェブ公開、...
-
ユーザー名を変更したい
-
サクラサーバーについてゾーン...
-
WIN10のファイル又はフォ...
-
接続・ログインはできているの...
-
Qnap NASの機能についての疑問点
-
TERATERMだけSSH接続できない
-
Let’s Encryptでwebroot設定な...
-
ブレイドサーバーと仮想サーバ...
-
【Amazon・PPA契約】アマゾンと...
-
画像の電源の状態が何か教えて...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
sims4についてです。 別のパソ...
-
WindowsのエクスプローラーでFT...
-
サーバーマネージャーが消えた
-
エックスサーバーでhttpd.conf...
-
Apache24起動時のエラー
-
Windows Server 2019 CALについて
-
サーバーの定期シャットダウン...
-
Windows server 2022 CALとSQL ...
-
ブレイドサーバーと仮想サーバ...
-
TERATERMだけSSH接続できない
-
メールサーバーについて詳しい...
-
discordで2人だけのサーバー作...
-
FTPサーバのポートを変更したら...
-
接続・ログインはできているの...
-
別サーバに構築したApache+Tomc...
-
Windows2019CALとRDS CALについて
-
Googleドライブのウェブ公開、...
-
【QnapNAS】不良HDDと診断され...
-
オンラインゲームなどプレイ時...
-
ネットワークの構成に困っています
おすすめ情報