「7pay」社長の驚愕発言が、笑いごとでは済まないほんとうの理由

「二段階認証知りません」より怖いこと
西田 宗千佳 プロフィール

今すぐ「二要素認証」の設定を!

俗にいう「二段階認証」がいかに重要で、セキュリティを守るための基本的な要素となっているかを、みなさんもおわかりいただけたのではないだろうか。

そのため、ほとんどの大手ウェブサービスは現在、「二要素認証」を採用している。Google、Amazon、Facebook、アップル、マイクロソフトはもちろん、ヤフー・ジャパンも導入済みだ。PayPayやLINE Pay、メルペイなどの各種バーコード決済でも、二要素認証が使われている。

企業によって「二要素認証」「2ファクタ認証」「2段階認証」と呼び方が違うが、基本的には同じ考え方に基づくものと思って差し支えない。

以下に、主要なサービスの二要素認証の設定に関するヘルプページのリンクをご紹介しておく。自分が使っているサービスやスマホで設定していない方は、この機会に設定することを強くお勧めする。

・Google:2段階認証の説明ページ
https://www.google.co.jp/intl/ja/landing/2step/
・アップル:2ファクタ認証の説明ページ
https://support.apple.com/ja-jp/HT204915
・Amazon:2段階認証の説明ページ
https://www.amazon.co.jp/gp/help/customer/display.html?nodeId=202073820
・マイクロソフト:2段階認証の説明ページ
https://support.microsoft.com/ja-jp/help/12408/microsoft-account-how-to-use-two-step-verification
・Facebook:二段階認証の説明ページ
https://www.facebook.com/help/148233965247823
・Twitter:ログイン認証の説明ページ
https://help.twitter.com/ja/managing-your-account/two-factor-authentication

7pay問題の「深層」とは?

7月5日、経済産業省は決済事業者等に対し、不正利用の防止のためのガイドライン徹底とセキュリティ向上を求めた。10月1日には、消費税率引上げにともなって「キャッシュレス・消費者還元事業」を開始するが、その対象事業者には、「キャッシュレス推進協議会が策定した不正利用防止のための各種ガイドライン」の遵守を求める。

これは、実質的に7payを名指しした是正勧告であり、7payはこれを受け、近日中にサービスに「二段階認証」を搭載する、と発表している。

だが──、である。

筆者は、二段階認証の搭載で問題が解決するとは思っていない。大きな問題は、もっと“深いところ”に内在しているからだ。

7月4日の会見で7pay側は、「セキュリティについては事前のテストで問題がないことを確かめた」とコメントしている。

とんでもない話だ。

パスワードリセットの問題や、二段階認証が搭載されていなかったことは、「セキュリティ上の問題」以外の何物でもない。

 

「経営課題としてのテクノロジー」を軽視したツケ

ポイントは、「彼らが定めた仕様上は問題がなかった」ことで、自らが被害者であるかのような回答をしている姿勢そのものにある。現実に、彼らが行った「テスト」の外側に、これだけの問題があったのだ。

7payがシステムを構築するうえでのセキュリティの考え方に、現実に存在するリスクとの大きな認識の隔たりがあったのは明白だ。しかもその隔たりは、この種のシステムを構築する事業者であれば、いまや当然のように知っているべき事柄ばかりである。

おそらく、現場の開発者・技術者は、このことに気づいていたはずだ。だが、おそらくはそれを上層部に進言して改善するしくみがなかったか、あるいは、報告された技術的な問題点の重要性を判断する能力を経営側が備えていなかったかのいずれかだろう。

経営トップ自身が判断できないのであれば、技術的側面に責任を担う立場、たとえばCTO(最高技術責任者)のような役職を置き、適切な助言を求めるべきなのだ。

【写真】術的な問題を解決するシステムがなかったのだろうか?
 

技術的な問題を解決するシステムがなかったのだろうか? photo i Stock

あらゆるビジネスにおいて、「テクノロジーへの理解と判断」は、経営に大きな影響を及ぼす。モバイル決済のような厳重なセキュリティが求められるサービスならば、テクノロジーに対する判断の重要性は、より高い。

この重要な部分における優先度の設計がいいかげんな企業が、日本のトップブランドの流通で決済ビジネスに乗り出したことが衝撃であり、二段階認証の質問に答えられなかったことの本質はそこにある。

監督官庁からの指導に基づいて二段階認証を実装すれば万事解決、という簡単な話ではないのだ。

「技術的にも信頼できる裏付けをもった経営体制」を示せないかぎり、7payの問題は本質的に解決しない。

そして、同様の問題を抱える企業は、7pay以外にも、日本にはまだまだ多く存在することだろう。ことは、セキュリティ対策だけではない。他の企業に対する競争力についても、結局は同じ「技術的課題への取り組み」度合いが問題になる。

7payが示した課題は、日本の企業が抱える経営課題そのものの写し絵なのである。

【写真】技術的にも信頼できる裏付けもった経営体制
  セキュリティ対策だけにあらず! 「技術的にも信頼できる裏付けをもった経営体制」を示すことが必要だ photo by iStock