みーくんの思考世界

自閉症スペクトラム障害、うつ病により休職中の社会不適合者が綴る雑記ブログです。現在は、転職活動中です。

【スポンサーリンク】

7payのセキュリティ問題に見るSI業界の汚点

【スポンサーリンク】

f:id:MiyquN:20190708205728j:plain

 

どうも、みーくんです。

七夕から一夜明けましたが、皆さんはどのような願いを短冊に込めたでしょうか。そう簡単には叶わないと分かりつつも、願掛けをするとつい期待をしてしまうものですよね。

7月7日の「7」は何かと縁起の良い数字ですが、現在世間を震撼させている「7」は嫌な報道に纏わるものです。今回は「7payのセキュリティ問題」について、その概要と私の所感について述べていきたいと思います。

 

7payのセキュリティ問題

7/3よりセブンイレブンのスマホ決済「7pay」でクレジットカードの不正利用が相次ぎました。およそ900人が被害に遭い、被害額は5500万円に上ります。
原因は仕様に脆弱性があったことです。「会員ID(メールアドレス)」「生年月日」「電話番号」が分かれば、第三者が7payアプリのパスワードを変更できることが判明しました。本人の識別を介さずにパスワードを変更することができるので、第三者が別の端末から乗っ取ることが可能になります。

通常、会員制のアプリケーションは2段階認証が実装されているはずですが、7payには導入されていなかったようです。2段階認証とはパスワードを登録したり変更したりする際、利用者が登録している電話番号宛にSMSを送信し、そこに記載されているURLにアクセスすることで本人確認をする仕組みのことです。登録や変更を試みている人と、その電話番号を使っている人が同一であることをチェックすることで、パスワードが漏えいしたとしても、第三者による悪用を防ぐことができます。
東京商工会議所の記者クラブで開いた会見に臨んだ株式会社セブン・ペイの小林強代表取締役社長は個人情報保護管理責任者も務めているようですがこの有様です。会見では記者からの「何故2段階認証を導入しなかったのか」との質問に対し、2段階認証の存在を知らなかったことを匂わせるような回答をしていました。
セブン・ペイでは、被害状況の把握や原因究明のために「セキュリティ対策プロジェクト」を立ち上げました。社外のアドバイザをメンバに迎え、決済事業者に求めるガイドラインに基づき、経済産業省主導で対策を講じていく方針です。

 

所感

日本はIT後進国であるとつくづく思います。7payだけに、信用も株価もpayしてしまいましたね。本来対策を打つべき24時間営業問題に向き合わずに、慣れないキャッシュレス決済システムに手を出した末路です。個人情報保護管理責任者の肩書きがあるにも関わらず、取締役自体がセキュリティホールだったということも露呈されました。こんな状況にも関わらず、近場のセブンイレブンには未だに大量の「7pay 7/1始動!」と書かれた貼り紙が吊るされてありましたが、オーナには情報が行き届いてないのでしょうか。まぁ、それはさておき。

原因が「アプリの脆弱性」にあることはれっきとした事実ですが、私はそれ以外にもあると考えています。すなわち、以下の2点です。

 

①取締役の情報セキュリティ意識が皆無である。

②下請けSEのモチベーションが低下している。

 

まず①について。これは言わずもがなといったところですが、改めて振り返ってみます。今回はセブン・ペイがベンダ数社にシステム開発を外注したとする説が有力です。開発元の内訳は以下の通りです。

 

・NTTデータ
・NEC
・野村総合研究所
・日本オラクル

 

セブン&アイグループの商品を近くのセブンイレブンで受け取れる総合通販サイト「omni7」ではこれらのベンダで構成された体制を組んでいたので、今回も関わっていた可能性が高いです。

外注する際は、発注側である程度要件が固まっていないといけませんが、手の施しようがなく丸投げしてしまったのではないかと予想しています。しかし、要件を顧客が把握していないということは多分にあり得る話なので、開発元の一次請け4社の要件定義に落ち度があったことも考えられます。今回の受託開発の契約内容を理解していないので、推測の域を出ることはありませんが、「一次請けの要件定義が不十分だったせいvs下請けが十分なペネトレーションテストを実施しなかったせい」という不毛な責任のなすり付け合いに発展しそうです。

次に②について。SI業界は建築業界と同様、下請けに丸投げするゼネコン体質です。これは、多重下請け構造とも呼ばれますが、最下層の下請け(IT土方という蔑称も存在する)に負担の皺寄せがいきます。SEの単価は1人月140万円程度ですが、2次3次4次となるにつれ、140万円が100万円、80万円、50万円と下がっていきます。これは、間に入っているベンダが中間マージンを抜いていくからであり、「中抜き」と呼ばれます。この中抜きによって、下請けのSEには単価が安いにも関わらず、負担だけが重くのしかかってくる(元請けから現実的ではない納期を強要される等)ということになります。十分に品質評価できるほど給与を貰っていないのが実態なのです。そうなると、当然モチベーションも下がります。

このように多重下請け構造が問題なのにも関わらず、現在は7/11までに2段階認証を突貫工事で実装する方向に舵を切っています。7/11には沖縄県でセブンイレブン14店舗が開店し、全国47都道府県ネットが完成するためです。

これらを鑑みると、諸外国と比較し、日本のSEに対する待遇は極端に低い気がしますね。働き方改革が叫ばれている現在、多重下請け構造を抜本的に見直す時期がきたのかもしれません。

最後に、私が以前受験した「基本情報技術者試験」にも本件をテーマにした問題が出題されていましたので、参考までに掲載しておきます。

 

www.fe-siken.com