7pay事件から読み解く~日本のシステム開発における本当の問題~
早速ですが、話題の7payについて、少し話そうかと思います。
ただ、既にいくつかの記事が出ていますし、なんとなくまとめるだけではなんの面白味もない記事になってしまうので、少し違った角度から。
この記事は、特に同世代の若手エンジニアやIT企業に就職を考えている学生に読んで欲しいです。
今後どう働いていくかを考える意味でも。
ちょっと踏み込んだ記事ですが、暖かく見ていただければと。
※本記事における見解は、個人の見識に基づくものであり、組織や個人の考え方や仕組みを断定するものではないことをあらかじめご了承ください。
目次
7payとは
何が起きたか
セキュリティ上の問題は何か
7payはどうやって出来上がったか
SIerが抱える問題点
IT人材について
まとめ
7payとは
いわゆるQR・バーコード決済の一種で、最近で言うところの paypay や LINEpay などが類似になります。
メディア等では、キャッシュレス決済とひとくくりにされますが、以下もキャッシュレス決済ですね。
どうでしょう。全然違いますよね(笑)
2は絶賛ガラパゴスなので、1が世界中で注目されているところです。
特に、中華系プラットフォーマーのBAT(Baidu、Alibaba、Tencent)に代表されるようなAliPay(Alibaba)、WeChatPay(Tencent)なんかも1のQR・バーコード決済ですからね。
今回の7payもそうですが、こういった決済手段をユーザ企業が導入するメリットは、「ユーザ企業のなかで決済も含めた顧客のデータ収集が可能になる」ところだと考えています。
現金で払うのとは違い、アプリの登録情報が決済情報と結び付くわけです。
ある種すでに多くの顧客を持っている企業にとってはプラットフォーマーに進出するチャンスですからね。
UNIQLOのUniPayとかオリエンタルランドの夢の国ペイとかもできるのかな(笑)
何が起きたか
起きたことに関しては、以下のpiyokangoさんのブログをご参照いただくととても分かりやすいかと思います。
端的にいうと、以下が被害です。
セキュリティ上の問題は何か
では、何が問題でこうなったか。 整理すると以下になります。
2段階認証の問題
パスワード再設定時の問題
- メールアドレス、電話番号、生年月日がわかればパスワード再設定ができる
- つまり、SNSとかで調べりゃ乗っ取れる
メールアドレス確認の問題
- メールアドレスで登録した際に当該アドレスに対し、確認の作業が行われない
- つまり、第三者が勝手に登録しても、登録完了メールだけが一方的にやってきて、利用者自身の登録の意思を示さずに登録される
本件に関しては、中国人2名が逮捕される事件に発展していますが、もちろん、これだけで問題解決とはなりません。
piyokangoさんの引用ばかりで恐縮です。。。
では、ITをやっている人なら大抵知っているような問題だと思われるのに、なぜこれが起きてしまったか。
本質は、次の章にて。
7payはどうやって出来上がったか
ネット上では、 「どこが本アプリないしシステムの開発会社なのか。」 が注目されています。
セブン&アイホールディングスはユーザ企業であり、IT企業ではありません。
そのため、どこかの会社に開発を発注するわけです。
そして、この開発を発注するという文化は日本特有の業界構造で、いわゆるSIerとよばれるシステムインテグレータの人たちが担うわけです。
- 親会社が仕事を受けて
- 子会社に設計を任せ
- さらにその子会社が構築を行って
- さらに派遣の人が運用を行う
超ピラミッド構造を強いてシステム開発を行うそれがSIです。
もちろん、現場に近いほど給料は安く、過酷な労働現場です。
それはさておき、今回の件に関しても、このSIerが担ったわけです。
これほど社会的影響度の大きいシステムを担う会社は、就職人気ランキングでも上位にいるような超大手企業です。
そして、品質は高いはずのものだと考えられています。
なぜなら、品質管理や法務など、間接部門の人材もとても多く、事故を起こさないための大量の事務作業があります。
それらは、経営層や管理職が自信の身を守るために作られた仕組みと言っても過言でなく、万が一にでも問題が起きないように、誰でもできる仕事にまでブレイクダウンされています。
ちなみに、どこの会社かが気になる方は、下の記事を参考にしてみてください。
ただ、次の章で述べる通り、これは業界の問題であり、ここに上がっていない会社だから関係ないということではないということを気に留めておいてください。
SIerが抱える問題点
前の章で紹介した記事にある通り、7payは経営計画に基づき作られた構想の一部です。
そのための、ITシステムではあるものの、小売りが本業であるセブン&アイホールディングスにとっては経営計画の一部な訳です。
となると、IT人材を自社で抱え込まない限り、発注先のベンダーに詳しいことは任せざるを得ません。
ただし、これ程大きなシステムになると、先述の発注先も複数社にまたがり、かつ、その下にも多くの会社がぶら下がります。
今回の事件では、原因が未だ調査中です。
その理由として、先述の通り、関わる人が多すぎてシステムのどこを誰が作ったかわからないこと、知識のあるエンジニアが今回の問題点を事前に指摘できなかったことがあります。
これが、本当の問題点だと思っています。
前者に関しては、もしSIerに関しては丸投げてなく自社開発であれば、意思決定も責任の所在も明確にできるのではと思います。
今回のように記者会見後に叩かれることもなく。。
ただ後者はもう少し踏み込む必要がありそうです、なぜエンジニアがセキュリティ上の懸念を指摘できなかったか。
IT人材について
SIer において、知識のあるエンジニアはだんだん活躍しづらくなっているように思います。
先述の通り、何かあったら困る、管理層の絶対数が増えているため、エンジニアが手を動かす機会は奪われています。
また、働き方改革、予算削減、情報漏洩への懸念から、エンジニアが外に出る機会が奪われていることも事実です。
結果、SIerに属する本当の意味でのエンジニアは言いなりにならざるを得ず、設計の段階で気付きがあっても
それを理解できる上がいないから伝わらない
伝えるための資料作りが必要
実績を伝えるためのエビデンスも必要
仮にそれらが揃っても、上の意思で決まった決定がすべて
こんな感じになってしまうのが関の山。
エンジニアにもプライベートがありますし、人間です。
知識のある管理職さえいれば、数秒で済む説明に対し、本来の何倍のも時間をかけて社内を説得するのに骨が折れてしまうのは当たり前ではないでしょうか。
優秀な人からインターネット系のベンチャーやユーザー企業に転職するケースも多いのはこんな背景もあるかと思います。
まとめ
僕自身、今回の事件をあまりネガティブに捉えないで欲しいと思っています。
最悪なのは、「キャッシュレス決済は怖いから使わない。」「新しいシステム開発はリスクだからもっと手順を複雑化しよう」などと後ろ向きに動くことです。
他国に目を向けると、あのFacebookですらバンバン個人情報を流出させますが、知らん顔ですぐに改善します。
そして、今では法定通貨建ての安全資産保有を裏付けできる暗号資産リブラも開発中です。
同じアジアでも、中国のBAT、マレーシアのGrabなんかはどんどん手を動かして技術を社会で実装し、改良を加えています。
時代は明らかに変化を求めており、たくさんの実証が行われています。
みんな世の中を良くしようと動いているからこそ、保身のためではなく、将来のためにみんなが動ける。 そういう日本の社会を作っていきたいですね。
