Ribbit's works

無料プラグインに潜む3つの大きなリスクを開発者が紹介

#JavaScript
にメンテナンス済み
記事のトップ画像

はじめに

kintone は非常に柔軟なプラットフォームであり、高い拡張性を持っています。 拡張方法の 1 つにプラグインがあり、インストール、設定するだけで利用している kintone に機能を追加することができます。

プラグインは有料で提供されているものもありますが、無料で提供されているプラグインも多く存在し、手軽に機能を追加できる無料プラグインは、多くのユーザーに利用されています。

しかし、プラグインが便利である反面、利用する際にはいくつかのリスクが伴います。

この記事では、6,000 社以上で利用されているプラグインを開発している筆者が、無料プラグインのリスクを開発者の視点で紹介します。

無料プラグインの 3 大リスク

1. 突然動作しなくなるリスク

無料プラグインは有料のプラグインに比べて、保守やサポートが行き届いていないことがあります。

そのため、潜在的なバグや互換性の問題が残っている可能性があり、突然プラグインが動作しなくなるリスクがあります。

また、kintone のアップデートによってプラグインが動作しなくなることもあります。

プラグインを前提としたアプリ作成を行う場合、プラグインが突然動作しなくなるリスクを考慮しておく必要があります。

2. 改悪リスク

kintone プラグインを利用するまでの流れは以下の通りです。

  1. プラグインをダウンロード(zip ファイル)
  2. kintone にプラグインをインストール
  3. 利用したいアプリにプラグインを設定

プラグインの zip ファイルには、機能を追加するためのプログラムが含まれていますが、開発者はこのプログラムをインストール後であっても書き換えることが可能です。

つまり、昨日までは A を出力していたプラグインが、今日から突然 B を出力するようなプログラムに書き換えられる可能性があるということです。

これは、プラグインに不具合があった場合などでも、再インストールを行わずに修正を行うことができるメリットがあります。

しかし、反対に悪意を持った開発者がプラグインを利用して、プラグインをインストールした kintone のアプリに悪影響を与えるプログラムを書き込むことも可能です。

また、悪影響とまではいかなくても、プラグインのアップデートによって機能が削除されたり、制限が追加されることもあります。

このような改悪リスクを考慮して、信頼できるプラグインを選定することが重要です。

3.情報漏洩リスク

プラグインの中には、外部の会計ソフトと連携するプラグインや、勤怠管理システムと連携するプラグインなど、kintone と他のシステムを連携させるプラグインがあります。

これらのプラグインが実現できているのは、kintone が API という機能を提供しているからです。

API を利用することで、kintone から他のシステムへ、また、他のシステムから kintone へデータを送受信することが可能です。

これは非常に便利な機能と言えますが、同時に情報漏洩リスクも伴います。

機密情報を含まないアプリなら安全?

安全ではありません。 プラグインがアクセスできるデータは、設定したアプリに依存しません。

可能かどうかだけで言えば、プラグインをインストールし、プラグインの設定画面を開いた瞬間に、プラグインは以下のデータにアクセスできます。

  • ユーザーのプロフィール(メールアドレスや電話番号など)
  • ユーザーの組織や所属グループに関する情報
  • ユーザーがアクセスできる全てのアプリのデータ(添付ファイル含む)

つまり、プラグインを有効にするアプリに機密情報が含まれていなくても、プラグインが情報漏洩を引き起こす可能性があります。

プラグインを使用する際は、その開発者が信頼できるかどうかを確認し、情報漏洩リスクを最小限に抑えるようにしましょう。

無料プラグインを安全に利用するための対策

信頼できるソースからダウンロード

無料プラグインは、公式のプラグインリポジトリや信頼できるウェブサイトからダウンロードすることが重要です。

信頼性の低いサイトからダウンロードすると、前述の改悪リスクや情報漏洩リスクが高まる可能性があります。

標準機能を活用する

プラグインを利用する前に、kintone の標準機能で実現できるかどうかを検討することも重要です。

標準機能で実現できる場合は、プラグインを利用する必要がないため、リスクを回避することができます。

定期的なバックアップ

プラグインの導入の有無に関わらず、kintone のデータは定期的にバックアップを取ることが重要です。

バックアップを取ることで、プラグインが突然動作しなくなったり、予期せぬ問題が発生した場合でも、データを復元することができます。

専門家の意見を参考にする

現在では、kintone の伴走支援サービスを提供している企業も多くあります。

プラグインを利用する際には、専門家の意見を参考にすることで、リスクを最小限に抑えることができます。

まとめ

無料プラグインは便利でコストパフォーマンスが高い反面、いくつかのリスクが伴います。

プラグインを利用する際には、リスクを理解し、対策を講じることが重要です。

私の開発したプラグインについて

最後に宣伝になりますが、私はサイボウズ公認 kintone エバンジェリストとして活動しており、無料プラグインを 6,000 社以上に提供しています。

今回挙げたリスクの解決方法として、私の開発したプラグインは全てオープンソースで公開しています。

プラグイン内のプログラムを全て公開しているため、プラグインの動作原理やセキュリティについても安心して利用することができます。

もし、私のプラグインに興味がある方は、以下のリンクから詳細をご確認ください。

プラグイン一覧