7payのセキュリティ事故に思うこと

7月 8th, 2019 Posted in 情報技術

ITコーディネータの吉田聖書（よしだみふみ）です。

先週7月1日にサービスインした
QRコードによる決済サービス「7pay」が
早くも不正アクセスによって
数千万円もの被害を出す事故を起こしました。
関連して思うところを書きたいと思います。

IT技術者の間では、
金融業界はITを利活用する業界の中でも
一番セキュリティに厳しいことで有名です。
単なるセキュリティ対策だけでなく、
開発プロセスまで厳格に
決められている会社もあります。
そのため、ITのトレンドに対しては
一歩遅れて追随しているような感じです。

このニュースにはかなり驚かされましたが、
現時点でまだ全容は解明されていません。
論点はいくつかあるのですが、
私もこれまでいくつかの
金融サービスの構築等に関わってきた経験から、
思うところを書きたいと思います。

(1) 利便性とセキュリティはトレードオフである

セキュリティレベルを上げると
ユーザの手順・手続きが増えるため
一般的には使いづらくなります。

勘定系など基幹システムであれば
利用するのは社員だけなので
ガチガチで使いにくくても
使わざるを得ないのですが、
一般人が使うアプリのようなフロントシステムは
使いにくければユーザが定着しません。
だから利用者を増やすことを目論む場合、
手順を簡単にする方向に仕様が調整されます。
するとセキュリティレベルが下がるのです。

もう一つの側面として、
セキュリティレベルを上げると
システムの開発やテストの難易度が
格段と上がってしまうので、
作業効率（生産性）が落ち、
リリースまでにかかるコストが上がる
ということが言えます。
だから効率を重視し費用をケチると
セキュリティレベルが下がる
ということになります。

ただ、結局のところ、
やはり使いにくくても堅牢な方が、
長期的に見てユーザの信頼を
得られるのだろうと思います。

(2) サービスはスモールスタートが良い

最近に限った話でもないですが、
ITサービスは業界のノウハウとして
スモールスタートが良いとされています。
よくあるのがβ版としてサービスを始めるというやりかたです。

基幹システムの場合は
要件定義をしっかりやる
ウォーターフォール型の開発が
今も主流なのかもしれませんが、
そうでないフロントシステムでは
アジャイル開発を筆頭とした
インクリメンタル開発が多く見られます。
その理由は
単に最初に要件を決めきれないから
ということだけではないように思います。

特に一般人が利用するサービスでは、
ユーザから様々な意見が出ることが想定されます。
特にユーザインタフェースについては
その良し悪しがサービスの成功を決める
と言っても過言ではありません。
鳴り物入りでバーンとサービスを始めると、
急激に大量のフィードバックが押し寄せ、
捌き切れずに対応が後手に回り、
結果として利用者の不満につながります。

そうではなく、β版でもいいので
最初は利用者を限定してこっそりサービスを始め、
初期不良をある程度潰した段階で本格展開する方が
ユーザが定着しやすいのではないでしょうか。
フィードバックによって細かい改良を重ねることにより
少なくともサービスの継続を困難にするような
大きなボトルネックが取り除けると考えます。

(3) セキュリティ機能は内製する

これは今回の事故とは直接関係がないですが、
システム開発を外注する際に
丸投げするケースが多くみられます。
ある程度は仕方がないことかもしれないですが、
システムのセキュリティ機構を
外部の会社が（むしろより詳しく）知っている
という状況は、サービスを継続する上での
リスクになり得るのではないかと感じています。

セキュリティ機構を知っているということは、
それを破る手順も知っているということになります。
ですので、認証や暗号化に関する機能の構築は
外部に委託しない方が良いのではないかと思います。

もちろん内部の社員だって
情報を漏らさないという保証はありませんが、
外部の会社と機密保持契約があったとしても、
多少の心理的な抑止力になりこそすれ、
仕組みとして物理的に漏洩を防ぐ力はありません。
契約によって訴訟には勝てるかもしれませんが、
事故によって失った信頼はすぐに回復しません。

経営者が二段階認証を知らなくても
実運用上は問題はないと思いますが、
セキュリティ機構は内製化した方が良いと思います。
完全内製が難しいとしたら、
せめてセキュリティに関するキー情報は
経営幹部のような一部の人間しか知らない
という状態にすべきではないでしょうか。

セキュリティ診断で防げない事故

2019年7月29日

記事を読む

メタップスペイメント、不正アクセスによるカード情報流出

2022年3月7日

記事を読む

国土交通省システムから平文パスワードを含むユーザー情報が流出

2023年6月5日

記事を読む

ECサイト経営者のセキュリティ意識を高める

2023年3月27日

記事を読む

Uberがやられた、多要素認証を突破するサイバー攻撃

2022年10月3日

記事を読む

北國銀行が日本で初めて勘定系システムをクラウド化

2021年5月17日

記事を読む

複数の米IT企業に二要素認証を突破する高度なサイバー攻撃！

2022年8月15日

記事を読む

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけどどう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけどこのままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中！

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

システム開発, セキュリティ, リスク管理

Previous Post« 良いプロジェクト計画とは？ Next Post開発手法が事故の原因になりうるか？ »

クロスイデアblog

思いをカタチに！アイデアの具象化と問題解決のお手伝い。