「原因が不明」という最大の問題。7payのセキュリティ問題を考察する【鈴木淳也のPay Attention】
コメント
注目のコメント
コレは致命的。
と言うか、退場レベルかと。
決済アプリまで提供する会社なら、セキュリティに関する責任者が経営層に必要不可欠です。
細かな実装は外部に任せるとしても、ポリシーを決めるのはセブン自身ですよ。
と言うごくごく当たり前の事が出来てない。
『現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なことだ。』「現在の最大の問題は、セキュリティに関して総合的に判断して実装を行なう責任者がセブン内部に不在なことだ。」という、これに尽きます
1日で多くの複数アカウントが乗っ取られて、決済まで行っていることを考えると、少なくとも事前にID、パスワードが漏れていたか、設計の穴が分かっていたか、リスト攻撃を疑うべきでしょう
リスト攻撃ならアクセス状況をモニターしていると分かるはずですが、それとは関係なくコンビニに行って購入などを指示された外国人がいる時点で、事前にパスワードが漏れていたことを疑うべき
本来なら、急激に決済金額が増えている時点で、怪しいと判断して止めるべきですが、責任者がいないとなると、セキュリティに明るくない社長の判断では止められないでしょう
7payの人員でできないなら、一旦サービスを停めるのが筋です。ID、パスワードが漏れているなら、一息ついた時点で同じことが起こります
まずはサービスを停止して原因を特定した後に、必要なら外部のコンサルを雇ってでもセキュリティ対策に優先順位をつけて対応した方が安全です
信頼こそサービスの全てです鈴木智幸さんのコメントにある「細かな実装は外部に任せるとしても、ポリシーを決めるのはセブン自身ですよ」が重要だと思います。とはいえ、全く実装できないような無体なポリシーを押しつけられても困る。
逆に言えば、セブンに限らずですが、実装でき、かつ納得感のあるポリシーを決められる(自分でつくらなくても、理解して決済できる)ぐらいの、最低限のリテラシーというか、勘というかが、経営者に求められているのだと思います。
