http://www.asyura2.com/19/hasan132/msg/723.html
Tweet |
2019.07.10 85 by 冷泉彰彦『冷泉彰彦のプリンストン通信』
https://www.mag2.com/p/news/405421
7月1日にサービスが開始されるや不正アクセスの被害が相次ぎ、わずか3日で新規登録やすべてのチャージサービスが停止となった7pay。セブンイレブンが社運をかけて臨んだはずの同サービスは、なぜこのような「憂き目」を見る状況となってしまったのでしょうか。米国在住の作家・冷泉彰彦さんは自身のメルマガ『冷泉彰彦のプリンストン通信』で、スキルのない人間がトップに立てる日本企業の制度に問題があるとして、その理由を記しています。
■トホホな「7pay」騒動、スキルのないトップはオワコン
鳴り物入りでスタートしたにも関わらず、直後に巨額の不正利用事件を起こしてしまい、大コケになってしまった格好の「7pay」ですが、具体的には何が悪かったのでしょうか?
勿論、生年月日入力が必須でなく、空欄にしておくと一律のバリューを自動設定してくるとか、登録アドレスに一旦メールを返す軽度の「2段階認証」もしていない、スマホの特定が緩いので乗っ取りが簡単とか、具体的にはトホホな仕様の積み重ねだったという指摘は可能です。
ですが、一番の問題はやはり、運営会社「セブン・ペイ」の小林強社長が、記者会見の質疑応答の中で「2段階認証」という用語を「知らない」ことがバレてしまったという点でしょう。
30分45秒
この問題ですが、企業のトップが「テックのセキュリティ問題に関する重要な概念」を知らなかった、ということで炎上しているわけですが、考えれば考えるほど怖いことだと思います。
まず、社長が「2段階認証」という概念を知らなかったということは、サービスの立ち上げに当たって、「認証方法の最終仕様」の検討が、社長まで上がらなかったということを証明していると思います。これだけでも、ものすごく怖い話ですが、21世紀の現代にどうしてそんなことが起き得るのでしょうか?
そこで考えられるのは3つのシナリオです。
1つは、社長が「イケイケドンドン」の「営業タイプ」であった可能性です。とにかく「お客様は神様」なので、登録は「簡単にして、すぐに使えるようにせよ」とか、今回の「おにぎり一個無料」というキャンペーンを強引に進める中で、「お客様をガッカリさせるな」とか「テックに弱いお客様が操作に迷うようならダメだ」というような発想で、思い切り間違ったリーダーシップが発揮されてしまったと思われます。
更にそこに「ライバルが7月1日スタートなら、絶対に同時スタート」だという、日程的な焦りもあったでしょう。とにかく「スピード」と「顧客の利便性」を優先して突っ走れば「何とかなる」という猛烈に古いマネジメントがされていたという可能性です。
2つ目の可能性は、そうではなく「取引先との調整」、つまり、この社長さんは一部報道によれば往年の興長銀の出身らしいですから、例えば「7pay」の立ち上げに当たって、銀行引き落としがスムーズに行くようにとか、クレカ決済がサクッといくように、という感じで、取引先の金融機関を回ったり「よろしく頼みます」というような「トップ調整」をやって、それで満足してしまった可能性があります。つまり、セキュリティなどの「実務」は部下に任せて知らん顔という可能性です。
3つ目のシナリオは、これは日本の高齢経営層に特有の問題なのですが、テックの業界におけるセキュリティ問題について根本的な誤解をしているという可能性です。それは、「悪意の不正アクセス」は「悪」であって、その被害者は「善玉」だという勘違いです。
確かに被害に遭った最終消費者は「善玉」ですから救済されなくてはなりません。ですが、攻撃を受けて「負けてしまった」、つまり自分たちの防御に脆弱性があって、不正アクセスを許してしまったサービス提供者は、消費者と同じように「善なる被害者」ではないのです。プロフェッショナルであるべき「サービスの提供者」には、消費者を守る義務があるわけでセキュリティ問題で「負けてはいけない」のです。「脆弱性を残すことは許されない」のです。
ここのところが、どういうわけか、世界中で日本の高齢経営層だけが、妙な勘違いをしています。昔、ソニーがやらかして大炎上したわけですが、今回もそうであった可能性があります。つまり「セキュリティを破られた」責任をあまり感じないで、「自分たちは悪くない」とか「自分たちも被害者」という感覚で、ウロウロしていた可能性です。
勿論、以上のシナリオは推測に過ぎません。ですが、企業のトップが「2段階認証」を知らなかったという点は紛れも無い事実である以上、そこからはこのような恐ろしいシナリオの可能性が浮き上がってくるのはどうしても避けられないのです。
この問題の背景には、「スキルのない人間がトップに立ってしまう」という日本の組織の特質があるように思います。どうしてなのでしょうか?
まず「過去の実績」で昇格して最後は役員やトップになってしまうという、間違った人事があります。過去の実績はあくまで過去のものであり、現在、つまり21世紀の2019年という時点で進行している問題について、適切な判断を下せるとは限らないのです。にも関わらず「過去に成功した」ことだけを根拠にその人に権力を与えるというのは、その人事自体がリスクだと考えなくてはなりません。
もう1つは、年功です。長く勤務していたとか、歳が上だというだけで、その人に権力を与えるのが日本式です。これも、全く同じで「人事それ自体がリスク」以外の何物でもありません。
さらに言えば「調整力」です。取引先との調整ができる、監督官庁との調整ができる、あるいは金融機関との調整ができる、そのことを期待されて役員になったり、経営者にしたりという人事があります。ですが、そのような「調整」が通用するのは国内だけです。海外から猛烈な勢いで変化の波が押し寄せる、また海外から押し寄せるインバウンドの顧客が重要な収入源になるというのが現代です。
現代のビジネス環境では、事実を直視して、変化の方向性を見極める能力が必要なのに、調整型の人材が大手を振って「のさばっている」のであれば、それはどんどん見直さなくてはなりません。
それにしても、「一部のOSではなんと会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力がされる」という仕様については、驚愕するしかありません。これでは、ドロボーに合鍵を配りながら金庫を売っているようなものだからです。こうなると、ベンダーのどこかが裏切っているとか、意図的に手を抜いた可能性もあるように思います。
仮にそうだとしても、マネジメントが見抜いてストップをかけるべきであり、そのスキルがなかったのですから、何を言われても弁解の余地はありません。
こんなことが繰り返されるようだと、フィンテックの分野では日本人も「中国系のサービスの方が信用できる」ということになり、気がついたら何もかもを海外勢に取られていたということにもなりかねません。
とにかくスキルのない人材に権限が行ってしまうというのは、日本の企業が持っている「制度的なリスク」としか言いようがありません。
以前にコンピュータを使ったことのない人物が、サイバーセキュリティ担当大臣になって世界から失笑を買ったことがありました。ですが、恐らく国際的な犯罪集団は、そのエピソードをしっかりと見ながら「虎視眈々とチャンスをうかがっていた」のだと思います。「日本の場合は、スキルのない人間がトップに立つカルチャーがある、ならば、そこが狙い目だ」と。
こうなったら、一定以上のスキルのない人材は、どんなに学歴や職歴があっても、公職追放するとか、強制学習施設に放り込むとかして、若くて能力のある人材にどんどん権限を与えていくようにしないと、日本経済全体が沈没してしまうと思います。
この会見を見て、こりゃこの企業のシステム開発は終わってる、と思った。
2段階認証を知らない、ということはこのトップの人はスマホで何らかの会員登録をしたことが無いと思われる。そんな人が日本では企業のトップにいるというのが終わってる。
関連記事
セブン&アイ会見が炎上。7pay問題で社長「二段階認証」知らず?
https://www.mag2.com/p/news/404633
7Pay、2段階認証知らず社長しどろもどろ 縦割り、セブン銀とも交流なし (1/2)
https://www.itmedia.co.jp/news/articles/1907/08/news055.html
2019年07月08日 05時49分 公開
セブン−イレブンの導入したスマートフォン決済サービス「7pay(セブンペイ)」が、深刻な不正利用により、サービス開始からわずか4日目で新規利用者登録の停止に追い込まれた。コンビニエンスストア各社は「顧客の囲い込みと事業拡大につながる切り札になり得る」とスマホ決済に期待していた。だが、最大手によるずさんなセキュリティー対策が冷や水を浴びせた。
「私自身は認識していない」
セブンペイを運営するセブン・ペイの小林強社長は、東京都内で4日に開いた緊急記者会見で「2段階認証」についての質問にしどろもどろとなった。スマホ決済で一般化している安全対策を、トップが把握していない実態を露呈した。
セブン−イレブン・ジャパン、セブン・ペイの親会社であるセブン&アイ・ホールディングスは、傘下にセブン銀行も展開する。だが、関係者は「セブン銀はセブン−イレブンとは独立した組織なので、現場の情報交流はほとんどない」と、グループの“縦割り”を指摘する。
対応も後手に回った。2日に顧客から問い合わせを受けながら、3日に社内調査で不正利用を把握し、クレジットカードなどからの現金チャージ(入金)を一時停止。新規登録を停止したのは4日午後6時過ぎだった。ただ、セブンペイの取引は「既に入金した人の利便性」を理由に続いており、不正が今後も出ないとは言い切れない。
一方、同じく1日に独自スマホ決済を始めたファミリーマートは、アクセス集中で登録の混乱はあったものの、2段階認証も導入済みで、「不正利用などは確認されていない」という。
消費税増税対策の優遇措置を見据えたタイミングでの独自キャッシュレスの導入は、コンビニ業界が抱える人手不足対策の上でも重要だ。ある大手コンビニ関係者は「セブンは自社の電子マネーを優先していたためか、バーコード決済で出遅れていた。今回、スケジュール先行で導入を急いだあまり、業界全体の信頼を損ねた」と落胆する。(吉村英輝、日野稚子)
「脆弱性は見つからなかった」 セブン・ペイ緊急会見の“甘すぎる認識” (2/2)
https://www.itmedia.co.jp/news/articles/1907/04/news113.html
ネットでは「あまりにお粗末」「致命的な弱点」など批判が相次いだ。これに対し、セブン&アイの清水健執行役員は「あらゆるサービスについて、事前にセキュリティ審査をやっている。7payもきちんと確認したが、脆弱性(ぜいじゃくせい)はなかった」と繰り返し強調した。
7payは複数のパートナー企業と共同開発したという。セキュリティ審査の詳細は不明だが、そもそも「明らかに問題がありそうな仕様・設計」について、現場担当者レベルで誰も気付かなかったのかという疑問は残る。
(要するに教科書に載ってないからやってない、みたいなシステムってこと。アホかいな)
▲上へ ★阿修羅♪ > 経世済民132掲示板 次へ 前へ
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
▲上へ ★阿修羅♪ > 経世済民132掲示板 次へ 前へ
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。