叡智の三猿

森羅万象を情報セキュリティマネジメントで捉える

自社で開発するか客先で開発するか

IT業界を目指す就活生は会社を選ぶにあたって自分のワークスタイルを気にします。

好きなプログラムの仕事ができるのか。

IT未経験でもやっていけるのか。

IT会社はたくさんあります。ワークスタイルの観点でみると自社で開発や運用を行うスタイルと、お客様先に常駐して開発や運用を行うスタイルに大別されます。

下図ではユーザー企業の開発プロジェクト(ウォーターフォール型)を例として、自社のワークスタイルと客先常駐のワークスタイルをイメージしています。

開発工程の入り口となる要件定義は、ユーザー企業の社内SEが、システムの利用者に機能要件を確認します。ただ、社内SEは自分の会社の業務は知っていても、業界標準やトレンドに疎いことがあります。そのため、外部から要員をヘルプで調達することがあります。この外部要員はシステムコンサルタントとか、コンサルSEと呼ばれたりします。

設計段階で開発会社に提示する仕様を策定します。開発会社は、ユーザー企業からの仕様をもとに工数や納期を見積もります。その後、開発会社は製造(プログラミング)からテストを行い、プログラムや開発ドキュメントを成果物として納品します。一連の請負は開発会社のエンジニアで行いますが、リソースを補うため、外部からエンジニアを調達することもあります。

ユーザー企業は開発会社からの納品に対する受入テストを行います。受入テストとはユーザー企業が開発会社に提示した仕様通りにシステムが動作するかを検証する作業です。このとき、テスト要員のリソースを補うため、外部からテスターと呼ばれる要員を調達することがあります。

移行段階では古いシステムから新しいシステムにデータを移行します。移行作業はバッチインプット用のツールを使う場合もありますが、人海戦術で行うことも多々あります。ユーザー企業の要員だけでデータ移行を行うのが困難な場合は、外部からヘルプ要員を調達します。

また、移行段階では新しいシステムの操作方法を利用者に教育する仕事もあります。教育にあたっては事前に操作マニュアルを策定し、操作研修会を行います。教育を行うインストラクターが社内で用意できない場合は、外部から調達することもあります。

システムが無事カットオーバーし、運用に入ると、システムの監視をする必要があります。ユーザー企業の中で監視を完結するケースもありますが、24時間365日稼働するようなシステムですと、夜間の監視体制も必要です。自社の要員を夜間に勤務させることが困難な場合は、保守会社に運用業務を委託する場合があります。保守会社は役務として監視業務を行い、定期的に作業報告書をユーザー企業に提出します。保守会社は自社に保守要員を抱えていますが、リソースを補うため、外部から保守要員を調達することもあります。

このように書くと、お気づきかと思います。

IT業界のSESや人材派遣会社はエンジニアの受け皿です。かって、人材派遣会社は製造以降の下流工程を担うことが多かったのですが、いまでは要件定義から運用までのあらゆる工程で、SESや派遣エンジニアが活躍しています。テスターや監視の仕事は、IT未経験者でも容易に仕事を覚えることができます。「学生時代にまったくコンピュータに縁がなかった」という人が、IT業界で働きたいと思うのであれば、まずはSESや人材派遣の会社でITの経験を積むのが得策だと思います。

一方で、学生時代にある程度のプログラミング経験があり、やりたい分野が明確ならば、その分野に強い開発会社を選ぶのが賢明です。たとえば、学生に人気があり、学習のしやすいプログラミング言語としてPHPがあります。PHPのスキルを活かしたいのであれば、ECサイトを専門に作っている開発会社に入社すれば、能力を存分に発揮することが期待できます。

PHPベースで知られるCMSですと「WordPress」が知られていますが、ECサイト専用のCMSとして人気の高い EC-CUBEPHPがベースです。EC-CUBE自体は、誰でも無料で利用可能なオープンソース型のCMSです。そのため、ユーザー企業が自社のECサイトを立ち上げる際、気軽にEC-CUBEを採用することが多いのですが、実際に商用に耐えうる改修を行うのはハードルが高く、餅は餅屋の論理で、専門の開発会社に頼むのが一般的です。

また、専門の開発会社に頼む方がセキュリティ対策も安心です。EC-CUBEに関して書くと、昨年「クロスサイトスクリプティング脆弱性」が報告されています。クロスサイトスクリプティングは、攻撃者が悪質なサイトへ誘導するスクリプトを仕掛けることで、サイトに訪れるユーザーの個人情報などを詐取する攻撃です。EC-CUBEは、不正な受注情報が作成された状態で、特定の管理画面操作をするとクロスサイトスクリプティングが発生する危険性がありました。

JVN#97554111: EC-CUBE におけるクロスサイトスクリプティングの脆弱性

脆弱性に対してはいち早く修正パッチをあてる必要があります。専門会社に開発と保守をお願いしていれば、脆弱性情報に対する確認や対策も迅速にできることが期待できます。