中小企業に多いレガシーWebサイト。情報漏洩に注意せよ！

Webサイトの世界はすごいスピードで進んでいますが、その変化はよほど業界に詳しい人でなければわかりません。

久しぶりに自社のWebサイトを見てみると、実は大変なことになっているかも。

中小企業はWebサイトを作った後に放置されていることも多く、過去にレガシー（古い）技術で作られたWebサイトが問題になることもあるのです。

1.サイトメンテナンスに月20万の幼稚園

幼稚園で働くうちの従姉妹と久しぶりに飲みに行ったときの話です。

「ちょっと聞いてほしいんだけど、うちの園のサイト、毎月数回のちょっとした変更しかしてないのに20万円くらい業者に払ってるらしいの。

これって普通なの？自分で更新したいんだけど業者にダメって言われるし」

ということで、そのサイトを見せてもらいました。見た目はまあ、ちょっと古くはありますが、それほど悪いわけではありません。

必要な情報提供もちゃんとできています。レスポンシブ対応はできていませんが、縮小サイズで表示されるので大きくレイアウトが崩れることはありません。

しかし、どこかで見たことがあるようなこの作り…。

「もしや」と思いソースコードを確認してみると、予想通りでした。このWebサイトは、まさに10数年前なら傑作だっただろう、レガシー技術の結晶だったのです。

2.メンテナンスに20万円かかるのは妥当？

どうしてこんなサイトのメンテナンスが20万円もかかるのか、その理由は至極簡単です。

サイトが作られた当時の技術でのメンテナンスが想定されているからです。

①昔のバージョン管理方法によるファイル管理

まず、このサイトは、「DreamWeaver」というホームページ作成ソフトで作られていると予想できます。

きれいに揃ったソースコードや使われているタグの種類からある程度予想が可能です。

今は違いますが、昔、このソフトは、編集者がファイルをローカル（手元の作業用PC）に保存する時、サーバー上のファイルのバージョンと比較して差分更新を可能にするための情報をローカルに保存する仕組みがありました。

便利なのですが、他の作業者が勝手にファイルを編集してアップロードすると、そのバージョン管理の情報と食い違い、更新したはずの情報が更新される前に戻ってしまう問題があったのです。

そのため、作業環境を維持するために「第三者による更新は不可」となっているのでしょう。ちなみに、サイトができたのは十数年前で、業者選定に携わった人は退職済みだそうです。

②PHPファイルをHTMLファイルに埋め込む制作方法

また、サイトの構造が、Webサイトを作るために必要なHTMLファイルだけではなく、内部に複数のPHPファイルを埋め込む形で作られていました。

許可をもらってFTPソフトで覗くと、Webサーバー上には多くのPHPファイルがあることが確認でき、それぞれがトップページの「お知らせ」や「サイドメニュー」、「コピーライト」などの機能を担っていることがわかりました。

こうした作りであるために、ちょっとHTMLをかじっただけの人にはHTMLファイルを見ただけではわかりにくい構造になっています。

これらの機能は今ではWordpressなどのCMSで簡単に実装可能なのですが、PHPファイルを直接扱って作成するならPHPの知識や技術がどうしても必要です。

③今ならほぼ無料で初心者でも更新可能

制作した当時は、ファイル管理や問題発生時の対応のためにリソースの確保も必要だったでしょうし、扱える技術者も多くはなかったでしょうから、このくらいの価格が妥当だったのだと思います。

しかし、現在ではCMSを使って手作業で更新するならほぼ無料にできる程度の作業でしかありません。

組織内に技術的にわかる人がいないという問題もありますが、こうした古いWebサイトが10年以上も放置されていたのが最も大きな問題です。こういう例は中小企業に多いのではないかと思います。

3.レガシーWebサイトのチェックポイント

①HTMLのバージョンは？

現在、HTMLのバージョンはHTML5が一般的になっています。

HTML4を好んで使っている個人や企業はもう無いと思いますが、サイトが古い場合は確認しておいた方が良いでしょう。確認のためには、ソースコードを見たときに、最初行をチェックします。

【HTML5の場合】

【HTML4系の場合】

「ごちゃごちゃしてるな」と思ったら、古い技術で作られていると思ってください。早めに作り直した方が良いのは間違いありません。

②URLの始まりは「http」？それとも「https」？

今は、WebサイトへアクセスするためのURLは「https」が標準になっています。

これは通信方式を示すものですが、「https」は通信データが暗号化され、「http」よりも安全に通信できます。

もしも自社サイトがhttpでしかアクセスできないなら古いサイトと考えた方が良いでしょう。

httpsにしておかないといけないわけではないですが、検索エンジンにもヒットしにくくないますし、通信内容を盗み見されたり、セキュリティが甘い企業として狙われることもあるので注意しましょう。

③問い合わせ情報のファイルはどこにある？

多くの企業のWebサイトには問い合わせのページがあり、問い合わせがあればその内容はメールで担当者に連絡されるはずです。

しかし、ほとんどの場合、入力された情報はサーバー内にも記録として残っています。

昔は問い合わせ用のプログラムを作ると、たいてい「otoiawase.csv」「qanda.txt」などの形式のファイルでサーバー内に保存されており、それをログとして残したり、担当者が手作業で保存したりしていました。

しかし、URLを打ち込むとこうしたファイルに直接アクセスできてしまうことも多かったのです。

私もそういうサイトを10社くらい見たことがありますが、ひどい所では100件以上の顧客の情報がアクセス可能な形でサーバーに残っていました。

ですから、ファイルの保存位置やアクセス権には十分注意してください。今のCMSやプラグインではDBに保存され、閲覧にはDB用のパスワードなどが必要になるのが一般的で、セキュリティ的にも強固です。

4.今のWebサイトは安全・安価・高品質

今はWeb制作の現場では、フレームワークやライブラリと言われる完成度の高いデザインやプログラムを作る仕組みが整っています。

これらは世界中の技術者たちが知識や技術を集めて作り出したものです。それでも問題が皆無ということではないですが、デザインや納期の面でも優れており、また管理も楽になっています。

また、セキュリティに対する要請がこの15年ほどで強まったことで、セキュリティ面でも問題のないものになっています。

こうした技術から作られる今のWebサイトやWebアプリは、安全・安価で高品質です。

脆弱で高価格、デザインやアクセシビリティも悪いレガシーWebサイトは、早めに乗り換えるようにしましょう。

5.まとめ

今回の例のように、中小企業にはずっと昔に作ったWebサイトがそのまま放置されていることが多いものです。

維持費がかからないとしても、セキュリティ上のリスクがそのまま残っていることもありますので、早めに確認し、必要なら更改するなど対策を実施しましょう。

今のCMSやフレームワークを使った制作なら、より安全で安価な運用が可能です。

この記事を書いた人

WRP(ウルプ)

1980年生まれ。元経営コンサルタントで、現在はIT系（特にセキュリティ）を主に担当するフリーライター。ITベンダーやセキュリティ企業のメディアや製品紹介などを執筆中。沖縄県在住。趣味はサッカー、バスケ、バレーボール、ゲーム、ラーメン、FX。

WRP(ウルプ)のtwitterはこちら