地雷を避ける

今週月曜日にとある会社の社長から、とあるWEB系の開発案件を受けて欲しいと依頼があった。
俺は中身を確認した上で今週中に回答すると返事をした。

WEBアプリケーションの機能追加であるのだが、いたるところに地雷がある危険案件であることが分かった。
システム開発の英霊たちは言っている。「この案件を引き受けるべきではない」と。
「大丈夫だ。問題ない！」と言って引き受けたら確実に英霊の仲間入りだ。「一番いいの」をくれても
やる気はないが…

・初歩のセキュリティ対策がなされておらず、それが５年以上動いている。
・ライブラリのバージョンがめちゃくちゃ古い。しかもスムーズにアップできないようなライブラリばっか。
・初期に作った人が素人。数ヶ月研修を受けた後すぐ投入された人が書いたと思われる。
・データベースの設計が素人くさい。
・BtoBであるにもかかわらず客がセキュリティ対策の重要性を分かっておらず、機能追加を優先している。
・依頼した人はセキュリティホールがあることは分かっているが優先度を低くしている。
・これを一番最初に作った会社が保守をやめた。そのシステム保守案件が依頼した人のところに舞い込んできた。
　保守をやめた詳しい理由は聞いていないが、俺には分かる。
・質問の回答が「ftpの口が開いているので自由に見てくれ」だった。
　いまどきftpとか…もうねぇ…

　客がシステム保守(特にセキュリティ確保)のカネをケチったのだ。

　確かに今のままでも「ただちに問題があるわけではない」のだが、問題が起こったときにはすでに再起
　不能なほどにダメージがあるのに、それが分かっていないのだ。依頼した人はもっとプッシュして客の理解
　を得るべきだ。

こんな地雷案件引き受ける気はない。今日お断りの返事をした。幸い自分が(仕事で)やったことのない言語
だったので技術不足を理由にした。

こんな状態で第3者からセキュリティホールを突かれてデータベースが改ざん、削除されたら責任はどこに
あるのだろう？もちろんシステムを保守管理している会社だ。
しかも、客はセキュリティ対策の重要性を分かっていないのでカネは出さない、何もできずシステムを保守
管理する会社が泣き寝入りすることは目に見えている。そして保守管理する会社の中ではシステム担当に責任
が行くだろう。もし俺が引き受けていれば俺が責任を問われることになる。
裏でセキュリティー対策だけでもやるという手もあるが、２～３人必要な規模だ。依頼した人が俺に話を言っ
てくるくらいだから社内に適切な人がいないのだろう。これを引き受けたが最後、一人で戦うことになる。
たとえ冗談でも第3者からセキュリティホールを突かれたらその時点でゲームオーバーだ。

お断りの返事はしたが、どうしてもと言われたときにどう断ろうか考えておこう。
油断大敵だ。