7Payの不正クレジット使用に関するメモ SIerが抱える構造的な欠陥
余りにも使う引用なのでNoteに書きます。
セブンペイ、一番あり得ないのは 社長が「セキュリティインシデント発生時の計画」がないまま記者会見に参加したこと。 これが経営者として致命的すぎる。 本来は監査部門が経営者から独立して、経営者にセキュリティ規約を守らせないといけない。 監査部門は何をやっていたのか
正にコレ。 こうならないためのインシデント対応計画なんだよ。 どう見ても策定してない
完全にしどろもどろ。 対応計画がないのがバレッバレ
同じ不祥事でも 例えば車のリコールだったら 「弊社の丸々という部品に問題がありました」って発表するでしょ。 何故それが出来るかと言うと、事件が発生したときのマニュアルが設定してあるから セブンペイは何も決めてなかった
セブンペイについてもうちょっと書くと、これはセブンペイの問題だけじゃなくて、 SIerと仕事をする全ての企業が抱えるリスク
今回のインシデント。 余りにも初歩的な業務フローミス(仕様のミス)であるんだけど、 その後の対応もあり得ないレベルで失策。
まず、「監査部門からセキュリティについては問題なし」と念押しした。 そして「これからに関しては調査中」と繰り返した 一番あり得ない。
まず、インシデントが起こったとき、まず初めにするべきは影響範囲の調査と、セキュリティ計画に乗っ取ったインシデント対応。 会見では「計画のけの字」も聞かなかったぜ
まず、セブン&アイ・ホールディングスほどのユーザー企業なら、セキュリティ計画を実施してない訳がない。 社長は、敢えてか知らないけど、自社のセキュリティ計画すらガン無視して記者会見した
ガン無視したならまだいい方で、コレほど巨大なIT企業に関わらず、インシデント発生時の計画がなかった可能性がある。 ホントにあり得ない。
また、社長はセブンペイのシステムについてまるで知らなかった。 そして、セブンペイのシステムを作っているのは、NTTや日本オラクルなど、著名なIT企業などの、その「協力会社」だという。 セブンペイのシステムを作ったのがSIerゼネコンであることは明らかだ
勿論、SIerで実装をしているのは偽装請負や、派遣で雇われたプログラマーである。 コレほど単純なミスを、現場のプログラマーが知らなかったわけがない。 現場プログラマーの認識が監査部門に届いていなかったのは明白だ
正直、この機能を作って、「他のメールアドレス入れたらどうなるんだろう」と考えない訳がない SIerゼネコンのどこかで、この問題は「顧客が求めてるんだから実装するんだよ」になったのだ
余談だけど、SIerゼネコンは、去年も多重請負構造が原因のセキュリティ事故を起こしてる "国税庁 240万件マイナンバー流出事故" いい加減自社でプログラマー雇え
コレはSIerと仕事をする全ての会社が抱えるリスク。 間違いなくコレは認識しないといけない
じゃあ、外国のIT企業はどうしてるのかと言うと Amazonがセキュリティではないけど、インシデントを起こした事がある。
ある日Amazon Web Service の北米ヴァージニア州にあるデータセンターの重要な機能(S3ストレージ)が全てダウンした。 被害額は想像もつかない
Amazonはこの原因を調査し、 北米データセンターにあるエンジニアが、間違って、特権ユーザーで、一部のサーバーをシャットダウンするつもりが、重要なサブシステムまでシャットダウンしてしまった事が原因だとわかった
Amazonはコマンドを打つ際の規約を改訂し、二度とインシデントが起きないようにした。
ここで重要なのは、インシデント発生から原因特定、復旧まで4時間しか経ってないのである
勿論、Amazonは色んな企業に避難され、エンジニアも始末書を書くはめになったが、 AWS現在でも世界で一番儲けてるクラウドサービスである
ここで大事なのは、何故ここまで早い調査が出来たか、である。 勿論、エンジニアが「自分がやりました」と正直に答えたからだ
何故エンジニアが正直に答えられたか、 仕事を首にならないからである。 間違いは間違いなのだから、認めて、正しい仕事をすればいい
これが日本ではそうはいかない 日本のプログラマーはほとんど派遣か偽装請負であり、間違いを報告すると首になるのだ。 残業も増えるしな
セブンペイは原因は現在も調査中で、影響範囲も分からない、という。 実際に作った人が何処の誰だか分かってないのは明らかだ
これは「正直に報告する文化がない」SIerゼネコンの致命的な構造であり、 監査部門も社長に意見を具申できなかった、日本文化の問題だ
Amazonは大非難を受けながら、4時間でインシデントを解決した。 セブン&アイ・ホールディングスは、原因が分からないし、影響範囲も分からないそうだ。 そして、どこを止めればいいか分からないから、システムがはそのまま動き続けるそうだ
どんな日本企業でも、セブンペイになるリスクがある
SIerの間では伝説となっている、特許庁システム開発失敗事件
政府システム調達、失敗の本質
55億円無駄に、特許庁の失敗 https://tech.nikkeibp.co.jp/it/article/COLUMN/20121204/441882/?n_cid=nbpnxt_twbn
最近の国税庁マイナンバー流出インシデント。
マイナンバーを含む個人情報70万件が流出、国税局委託先業者が無断再委託 https://cybersecurity-jp.com/news/28943 @cyberhippoさんから
GAFAの一角であるAmazonのシステムインシデント。
Amazonは4時間で原因を突き止め、復旧、再発防止策を公開しました
AWS、S3の大惨事の原因を公開―ヒューマンエラーが発端だった
https://jp.techcrunch.com/2017/03/03/20170302aws-cloudsplains-what-happend-to-s3-storage-on-monday/
_日系企業では珍しい、ソフトバンクの成功したインシデント対応。
_去年起こった通信障害の復旧です。
原因は、機器に内蔵されているSSL証明書の期限切れでした。
(実際に障害調査と復旧をしたのはエリクソン、というスウェーデン企業ですけどね)
_ソフトバンク、通信障害の原因特定に2時間15分、脆弱性を露呈 - BCN+R https://www.bcnretail.com/market/detail/20181220_98216.html