2019年8月5日月曜日

7payが9月末でサービス廃止を決定

既にニュースとして流れていますので、ITに関わる人であればご存じだとは思いますが、セブン&アイ系決済サービスの7payが7月にサービスをスタートさせたばかりですが、セキュリティの問題で9月末でサービスを廃止する事を決定しました。



何が問題だったのか? というのはあちらこちらで論じられていますが、伝聞になるので当事者からのプレスリリース資料を確認すると経緯は以下の様になります。





1.7pay のサービスに関わる経緯について
7 月 1 日(月) サービス開始(セブン‐イレブンアプリ上に搭載)
7 月 2 日(火) お客様より「身に覚えのない取引があった」旨のお問合せをいただく
7 月 3 日(水) 各社ホームページへ「重要なお知らせ」を掲載
       海外 IP からのアクセスを遮断
       クレジット/デビットカードからのチャージ利用を停止
7 月 4 日(木) 店舗レジ/セブン銀行 ATM からの現金チャージ利用を停止
       新規会員登録を停止
7 月 5 日(金) 「セキュリティ対策プロジェクト」の設置
7 月 6 日(土) モニタリング体制の強化
7 月 11 日(木) 外部 ID によるログイン停止
7 月 30 日(火) 7iD のパスワードリセットの実施
8 月 1日(木) サービス廃止を決定
9 月 30 日(月) サービス廃止(予定)

そして原因は以下の3点を挙げています。

①7pay に関わるシステム上の認証レベルについて
開発当初より様々な観点から議論、検証を進めたものの、最終的に「複数端末からのログインに対する対策」や「二要素認証等の追加認証の検討」が十分でなく、『リスト型アカウントハッキング』に対する防御力を弱めたと考えております。

②7pay の開発体制について
7pay のシステムの開発には、グループ各社が参加しておりましたが、システム全体の最適化を十分に検証できていなかった点が今回の事案を引き起こした原因の 1 つではないかと認識しており、この点について、今後、更なる検証が必要と考えております

③7pay におけるシステムリスク管理体制について
セブン・ペイにおける、リスク管理上、相互検証、相互牽制の仕組みが十分に機能していたか、今後更なる検証が必要と考えております。

記者会見でセブン・ペイの社長が二段階認証を知らなかった事が話題となりましたが、こういったスキームの場合、社長が技術的に詳しくないというのは想像できなくはないですが、それでもその他の役員を始めとする周りの人達の中で指摘した人は居なかったのか? と疑問が残ります。

開発という観点では恐らく某大手SIerを中心とした複数社が関わった典型的な開発スキームだと思われますが、どこかで「このシステムはセキュリティ上問題がある」という声があったはずです。(希望的観測にはなりますが、これだけ大きなプロジェクトでトップから末端の人まで全く問題ないと思っていたのであれば、それはそれで問題ですが・・)

私も今まで数々の開発プロジェクトに関わってきました。成功プロジェクトもあれば失敗プロジェクトもありました。振り返ってみると失敗プロジェクトに関してはどこかでアラートが上がっているのです。でも、そのアラートをエスカレーションしないリーダーとか、過小評価するプロジェクトマネージャー等の存在によって握りつぶされ、結果数ヶ月後には取り返しの付かない状態に陥りました。

その昔、私が若かった頃に流行った「マーフィーの法則」に「失敗する可能性のあるものは、失敗する。」という有名な言葉がありました。逆に言えば「失敗したプロジェクトには失敗する可能性が含まれており、その兆しが必ずある」と言えると思います。

今回の問題でそのアラートを挙げていたのが現場の開発者なのか? SIerなのか? 当事者であるセブン・ペイなのか? 今はまだ判りませんが、同じような問題を繰り返さないためにも今後の検証・情報の公開は続けてもらいたいと思います。















0 件のコメント:

コメントを投稿