ネットセキュリティについて思うところ
こんにちは、もるP研究員です。
今ホットな7payの話題に絡めて、
開発の現場についてや、セキュリティについて思うところを書いていきます。
※ 7pay関係者ではありません
追記
何かしらの理由でここにやってきた方は、こちらをぜひ読んでもらいたい。
セブンペイの騒動の根本的原因がわかるのはこれからだと思いますが、システム開発って決して簡単ではないよということを書いてみました。
— 米村歩@日本一残業の少ないIT企業社長 (@yonemura2006) 2019年7月5日
7pay(セブンペイ)の騒動から考えるシステム開発で必要なあれこれ https://t.co/ORlfSaUMx2 @yonemura2006さんから
これ以降の私の駄文は消しても良いな。。
7payでの問題点
致命的なポイント
- 事前に問題に気がつき、リリース延期を提案できる人がいなかったこと
- 問題発覚後、なぜすぐに利用停止にしなかったのか
なぜ事前に気がつかなっかった
基本情報の試験にも出てくるような、危険な仕様でアプリがリリースされていることが、大問題です。
情報系のエンジニアであれば、一般常識といっても過言ではないレベルの内容になります。
実際、資格試験で問題の例題とされる程度の内容です。
「基本情報技術者平成28年春期」リンク先:基本情報技術者試験.com
実装を担当した人は、疑問に思ったはずです。きっと直属の上司にも伝えたはずです。
一体どこで、致命的な問題でないと判断されたのでしょうか。
以前ツイッターで見かけたネタツイートで以下のような内容がありました。(かなりうろ覚えです)
- 現場:やばいです。今すぐ対応を検討し仕様変更が必要です。
- マネージャー:ちょっと問題が発生してます。
- 役員:気になる点はありますが、滞りなく進んでます。
- 社長:OK。納期優先で続行してくれ。
まぁ情報をエスカレーションしていく内に、緊急度が下がっていたんだろうということは想像できます。
((今回実装で担当した人つらいだろうなぁ、、、))
なぜすぐにサービスを止めなかったのか
これも先ほどの話と同じだと思うんですよね。
外部専門家や、社内の詳しい人間が「止めた方が良いです」と上申したところで、湾曲されて最終決定者に話が伝わったんだと思います。
今回の件は、普通に考えれば気がつくでしょ。
メールアドレスと生年月日がわかればパスワードを簡単に変更できるとかやばすぎでしょ。
まぁ僕も内容を知るまでは、大げさに言ってる人たちがいるだけかと思って軽視してました。
常日頃思うこと..
セキュリティ意識低すぎやしませんか?
発注側や開発側などが主になのですが、利用ユーザ側もです。
発注/開発サイド
- 度重なる仕様変更
- 揺るがない納期
- カットされていく検証フェイズ
上記は炎上案件系のブログなどでよく出てくるワードです。
その他の参考として、AXIA社長:米村歩様のブログのリンク[システム開発のプロジェクトが炎上する理由]を貼らせていただきます。
おそらく今回の騒動もこれら要素があったのではないかと勝手に推測しています。
発注者も開発者も検収フェイズは、しっかり確保するべきだと僕は思います。
軽微な問題であればリリース後の修正で良いですが、致命的なものは検収で止めたいですよね。
ユーザ側
今回の件とは関係ありませんが、みなさんIDパスワード使い回していませんか?
いまでも50%以上の方が使い回しているとの調査結果(参考リンク:TrustLogin by GMO)もあるようです。
使い回しは本当にやめた方が良いです。
サービス提供者側を信用しすぎるのは危険です。
一般的にタブーとされている実装で、稼働しているサービスって意外と多かったりします。
個人的には独自開発って言葉を見ると疑ってます。ECサイトなんかもオープンソースのECCUBEをつかっているサイトの方がなんとなく安心します。
オープンソースは脆弱性がいっぱいだから危ない!みたいな風潮もありますが、きちんと管理されているのであればむしろ安全なんです。(そう管理されていれば)
独自開発ってのは、オープンソースと違い問題点が表に出にくいってだけですからね。
さいごに
ごめんなさい、走り書きでまとまりのない記事になりました。いずれ描き直したいな。
何が書きたかったかと言いますと、、、
あれ何書こうとしてた?