★阿修羅♪ > 経世済民132 > 723.html
 ★阿修羅♪
▲コメTop ▼コメBtm 次へ 前へ
大炎上のセブンペイ問題でわかった、日本企業の「深刻なリスク」
http://www.asyura2.com/19/hasan132/msg/723.html
投稿者 てんさい(い) 日時 2019 年 7 月 10 日 12:58:41: KqrEdYmDwf7cM gsSC8YKzgqKBaYKigWo
 

2019.07.10 85 by 冷泉彰彦『冷泉彰彦のプリンストン通信』
https://www.mag2.com/p/news/405421


7月1日にサービスが開始されるや不正アクセスの被害が相次ぎ、わずか3日で新規登録やすべてのチャージサービスが停止となった7pay。セブンイレブンが社運をかけて臨んだはずの同サービスは、なぜこのような「憂き目」を見る状況となってしまったのでしょうか。米国在住の作家・冷泉彰彦さんは自身のメルマガ『冷泉彰彦のプリンストン通信』で、スキルのない人間がトップに立てる日本企業の制度に問題があるとして、その理由を記しています。


■トホホな「7pay」騒動、スキルのないトップはオワコン


鳴り物入りでスタートしたにも関わらず、直後に巨額の不正利用事件を起こしてしまい、大コケになってしまった格好の「7pay」ですが、具体的には何が悪かったのでしょうか?


勿論、生年月日入力が必須でなく、空欄にしておくと一律のバリューを自動設定してくるとか、登録アドレスに一旦メールを返す軽度の「2段階認証」もしていない、スマホの特定が緩いので乗っ取りが簡単とか、具体的にはトホホな仕様の積み重ねだったという指摘は可能です。


ですが、一番の問題はやはり、運営会社「セブン・ペイ」の小林強社長が、記者会見の質疑応答の中で「2段階認証」という用語を「知らない」ことがバレてしまったという点でしょう。




30分45秒


この問題ですが、企業のトップが「テックのセキュリティ問題に関する重要な概念」を知らなかった、ということで炎上しているわけですが、考えれば考えるほど怖いことだと思います。


まず、社長が「2段階認証」という概念を知らなかったということは、サービスの立ち上げに当たって、「認証方法の最終仕様」の検討が、社長まで上がらなかったということを証明していると思います。これだけでも、ものすごく怖い話ですが、21世紀の現代にどうしてそんなことが起き得るのでしょうか?


そこで考えられるのは3つのシナリオです。


1つは、社長が「イケイケドンドン」の「営業タイプ」であった可能性です。とにかく「お客様は神様」なので、登録は「簡単にして、すぐに使えるようにせよ」とか、今回の「おにぎり一個無料」というキャンペーンを強引に進める中で、「お客様をガッカリさせるな」とか「テックに弱いお客様が操作に迷うようならダメだ」というような発想で、思い切り間違ったリーダーシップが発揮されてしまったと思われます。


更にそこに「ライバルが7月1日スタートなら、絶対に同時スタート」だという、日程的な焦りもあったでしょう。とにかく「スピード」と「顧客の利便性」を優先して突っ走れば「何とかなる」という猛烈に古いマネジメントがされていたという可能性です。


2つ目の可能性は、そうではなく「取引先との調整」、つまり、この社長さんは一部報道によれば往年の興長銀の出身らしいですから、例えば「7pay」の立ち上げに当たって、銀行引き落としがスムーズに行くようにとか、クレカ決済がサクッといくように、という感じで、取引先の金融機関を回ったり「よろしく頼みます」というような「トップ調整」をやって、それで満足してしまった可能性があります。つまり、セキュリティなどの「実務」は部下に任せて知らん顔という可能性です。


3つ目のシナリオは、これは日本の高齢経営層に特有の問題なのですが、テックの業界におけるセキュリティ問題について根本的な誤解をしているという可能性です。それは、「悪意の不正アクセス」は「悪」であって、その被害者は「善玉」だという勘違いです。


確かに被害に遭った最終消費者は「善玉」ですから救済されなくてはなりません。ですが、攻撃を受けて「負けてしまった」、つまり自分たちの防御に脆弱性があって、不正アクセスを許してしまったサービス提供者は、消費者と同じように「善なる被害者」ではないのです。プロフェッショナルであるべき「サービスの提供者」には、消費者を守る義務があるわけでセキュリティ問題で「負けてはいけない」のです。「脆弱性を残すことは許されない」のです。


ここのところが、どういうわけか、世界中で日本の高齢経営層だけが、妙な勘違いをしています。昔、ソニーがやらかして大炎上したわけですが、今回もそうであった可能性があります。つまり「セキュリティを破られた」責任をあまり感じないで、「自分たちは悪くない」とか「自分たちも被害者」という感覚で、ウロウロしていた可能性です。


勿論、以上のシナリオは推測に過ぎません。ですが、企業のトップが「2段階認証」を知らなかったという点は紛れも無い事実である以上、そこからはこのような恐ろしいシナリオの可能性が浮き上がってくるのはどうしても避けられないのです。


この問題の背景には、「スキルのない人間がトップに立ってしまう」という日本の組織の特質があるように思います。どうしてなのでしょうか?


まず「過去の実績」で昇格して最後は役員やトップになってしまうという、間違った人事があります。過去の実績はあくまで過去のものであり、現在、つまり21世紀の2019年という時点で進行している問題について、適切な判断を下せるとは限らないのです。にも関わらず「過去に成功した」ことだけを根拠にその人に権力を与えるというのは、その人事自体がリスクだと考えなくてはなりません。


もう1つは、年功です。長く勤務していたとか、歳が上だというだけで、その人に権力を与えるのが日本式です。これも、全く同じで「人事それ自体がリスク」以外の何物でもありません。


さらに言えば「調整力」です。取引先との調整ができる、監督官庁との調整ができる、あるいは金融機関との調整ができる、そのことを期待されて役員になったり、経営者にしたりという人事があります。ですが、そのような「調整」が通用するのは国内だけです。海外から猛烈な勢いで変化の波が押し寄せる、また海外から押し寄せるインバウンドの顧客が重要な収入源になるというのが現代です。


現代のビジネス環境では、事実を直視して、変化の方向性を見極める能力が必要なのに、調整型の人材が大手を振って「のさばっている」のであれば、それはどんどん見直さなくてはなりません。


それにしても、「一部のOSではなんと会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力がされる」という仕様については、驚愕するしかありません。これでは、ドロボーに合鍵を配りながら金庫を売っているようなものだからです。こうなると、ベンダーのどこかが裏切っているとか、意図的に手を抜いた可能性もあるように思います。


仮にそうだとしても、マネジメントが見抜いてストップをかけるべきであり、そのスキルがなかったのですから、何を言われても弁解の余地はありません。


こんなことが繰り返されるようだと、フィンテックの分野では日本人も「中国系のサービスの方が信用できる」ということになり、気がついたら何もかもを海外勢に取られていたということにもなりかねません。


とにかくスキルのない人材に権限が行ってしまうというのは、日本の企業が持っている「制度的なリスク」としか言いようがありません。


以前にコンピュータを使ったことのない人物が、サイバーセキュリティ担当大臣になって世界から失笑を買ったことがありました。ですが、恐らく国際的な犯罪集団は、そのエピソードをしっかりと見ながら「虎視眈々とチャンスをうかがっていた」のだと思います。「日本の場合は、スキルのない人間がトップに立つカルチャーがある、ならば、そこが狙い目だ」と。


こうなったら、一定以上のスキルのない人材は、どんなに学歴や職歴があっても、公職追放するとか、強制学習施設に放り込むとかして、若くて能力のある人材にどんどん権限を与えていくようにしないと、日本経済全体が沈没してしまうと思います。


この会見を見て、こりゃこの企業のシステム開発は終わってる、と思った。
2段階認証を知らない、ということはこのトップの人はスマホで何らかの会員登録をしたことが無いと思われる。そんな人が日本では企業のトップにいるというのが終わってる。


関連記事
セブン&アイ会見が炎上。7pay問題で社長「二段階認証」知らず?
https://www.mag2.com/p/news/404633


7Pay、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし (1/2)
https://www.itmedia.co.jp/news/articles/1907/08/news055.html
2019年07月08日 05時49分 公開


 セブン−イレブンの導入したスマートフォン決済サービス「7pay(セブンペイ)」が、深刻な不正利用により、サービス開始からわずか4日目で新規利用者登録の停止に追い込まれた。コンビニエンスストア各社は「顧客の囲い込みと事業拡大につながる切り札になり得る」とスマホ決済に期待していた。だが、最大手によるずさんなセキュリティー対策が冷や水を浴びせた。


 「私自身は認識していない」


 セブンペイを運営するセブン・ペイの小林強社長は、東京都内で4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。


 セブン−イレブン・ジャパン、セブン・ペイの親会社であるセブン&アイ・ホールディングスは、傘下にセブン銀行も展開する。だが、関係者は「セブン銀はセブン−イレブンとは独立した組織なので、現場の情報交流はほとんどない」と、グループの“縦割り”を指摘する。


 対応も後手に回った。2日に顧客から問い合わせを受けながら、3日に社内調査で不正利用を把握し、クレジットカードなどからの現金チャージ(入金)を一時停止。新規登録を停止したのは4日午後6時過ぎだった。ただ、セブンペイの取引は「既に入金した人の利便性」を理由に続いており、不正が今後も出ないとは言い切れない。


 一方、同じく1日に独自スマホ決済を始めたファミリーマートは、アクセス集中で登録の混乱はあったものの、2段階認証も導入済みで、「不正利用などは確認されていない」という。


 消費税増税対策の優遇措置を見据えたタイミングでの独自キャッシュレスの導入は、コンビニ業界が抱える人手不足対策の上でも重要だ。ある大手コンビニ関係者は「セブンは自社の電子マネーを優先していたためか、バーコード決済で出遅れていた。今回、スケジュール先行で導入を急いだあまり、業界全体の信頼を損ねた」と落胆する。(吉村英輝、日野稚子)


「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” (2/2)
https://www.itmedia.co.jp/news/articles/1907/04/news113.html


 ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。


 7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。


(要するに教科書に載ってないからやってない、みたいなシステムってこと。アホかいな)
 

  拍手はせず、拍手一覧を見る

コメント
1. 2019年7月10日 20:14:44 : D0QUl32qUN : OWczZmhIbUhDL3c=[1121] 報告
墓穴掘る セキュリティへの 無頓着
2. 2019年7月11日 23:05:48 : ivk6j3tC1k : cW5Ca05wM2c4Tms=[12] 報告
クレカは持ってて使ってるけどスマホ決済なんてなくても困らない。
コンビニあんまり使わんし。

コンビニならプリペイドとが、以前あったよね。もらったことあるから。今はないの?

あとスイカやパスモも使えるとこあったかと。あれならチャージもできるし、現金で払いたくない人はあれでいいのでは?

3. 2019年7月12日 03:53:26 : sUpHQ8Q75g : TzR2aVBha0pPeGc=[83] 報告
社長が2段階認証を知らなかったことで話題がそこに移っちまったが、
その会見にCTOが同席してりゃここまでバカにされることもなかったろう。
CTOも2段階認証を知らなかったなら社長が知らなくても不思議じゃない。
いずれにせよそんな会社の決済サービスなんか怖くて使えないが。

2段階認証を採用してなかったつうことより恐ろしいことがある。
何故かマスゴミは2段階認証にばかり目が向くように報じてるが、
最も恐ろしいのは登録者のIDが相当数漏えいしてた疑いだ。

今回の犯行の手口は他者に成り済ましてクレジットカードからチャージし、それで支払ったものだ。

少し考えりゃ分かりそうなもんだが、特定の誰かに成り済ますことができた、
つうことが意味するものは、2段階認証なんかの問題じゃなく、

    IDが漏えいしてた

つうことじゃないのか。個人情報もおまけに付いてた可能性だってある。

カードからのチャージまたはパスワードを再発行する時に2段階認証が導入されてりゃ今回の事件は防げたことは確かだが、IDがバレてなきゃその前段階で終わる話だろ。

IDが連番など容易に推測可能な設計だったとしても、同システムの構築に関わってない全くの部外者なら、
どんな罠が仕掛けられてるか分からないから、そう気楽に試せるもんじゃない。
サービス開始からまだ日が浅く、全くの部外者が外部からセキュリティホールを見つける十分な時間は無かったと考える。
つまり、同システムの関係者がこの犯行に加担してる、主犯格である可能性がある、
つうことだ。

4. 2019年7月12日 04:37:32 : EbpKI2LXGM : ektRLkFuS3BodmM=[7] 報告
日本企業は不祥事が一つ発覚すると、それにもれなく裏ドラが付いてくるからな
普通に運営してれば「ただのミスでした、すみません」で済むような事なのに、システムの致命的な欠陥や担当者の不祥事や運営会社のインチキが芋づる式に出て来るから
実害も大きいが、それに加えて信用を根本的に無くす様な事が必ずと言ってもいいほど出て来るからな
3900点でロンされたのが裏ドラで跳満になったような不祥事ばかりだわ
5. 2019年7月12日 06:57:28 : 6KiUALiH2Y : NTNnc2FGWVN2SWM=[74] 報告
新手の詐欺じゃないか?それと、何で不正利用した人間を突き止めて逮捕しないんだ?
6. 2019年7月12日 08:19:37 : 04T4WEKAHI : SE9EeFBicG9tLzI=[2] 報告
この事件の問題点は2段階認証の有無じゃないんだよな。
たとえばPayPalがそうだが、2段階認証など設定しなくともまったく問題なく、あのセキュリティを実現してる。
7-Payの問題は無責任という日本企業に蔓延する病に犯されてること。

私はPayPalにクレジットカードしか紐付けていないが、PayPalが使える時はいつでもPayPalを使う。
海外通販や個人輸入をすると誰でも、金は払ったのに1ヶ月経っても送られてこないだとか、
明らかに違うものを送ってきたとか、気がついたら音信不通になったとか、そういう自体に陥ることがある。
そういう自体になったとしても、PayPalは100%全額保証して返金してくれる。
PayPalの素晴しいところは、セキュリティの高さよりもユーザに対する責任感の高さ。
他人の金を責任をもって相手に渡すという、たったそれだけのことを完璧にこなしている。

一方の7-Payと来たら、2段階認証以前に、なりすましの問題すら未解決という終わった設計もさることながら、それを指摘され、あまつさえ被害者まで出ているにもかかわらず、あの無責任ぶり。
もはや、これから2段階認証つけたからどうかいうレベルではない。
人の金を扱うというのに、あんな無責任な態度でいるようでは、とてもじゃないがまかせられないだろ。怖くて。
なにか起きても全部自分持ちだぞ。話にならん。

7. とんじん[84] gsaC8YK2gvE 2019年7月12日 08:43:40 : CzWr0yh9bc : cWdPVzNHNjdjZ1k=[17] 報告
システム用件定義者までも非正規社員や外注で済ませるのが当たり前の

日本企業の今あるべき姿として当然。

何も不自然ではない。

8. 2019年7月12日 12:56:11 : EbpKI2LXGM : ektRLkFuS3BodmM=[9] 報告
>>5
うん、新手の詐欺だと俺も思うよ
犯人探しをしないのは、そいつらが中枢にいるからじゃないかな
上級国民に忖度してるんだろう・・・忖度なら客や被害者にするべきなのにな
彼らにとっての「客」は社長や取締役の事なんだろう

▲上へ      ★阿修羅♪ > 経世済民132掲示板 次へ  前へ

  拍手はせず、拍手一覧を見る

フォローアップ:


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
最新投稿・コメント全文リスト  コメント投稿はメルマガで即時配信  スレ建て依頼スレ

▲上へ      ★阿修羅♪ > 経世済民132掲示板 次へ  前へ

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
 
▲上へ       
★阿修羅♪  
経世済民132掲示板  
次へ