KOBITブログ

7pay不正利用によるサービス停止から、デジタル時代の企業が学ぶべき教訓

この記事は約 5分 で読めます。


他社で決済サービスの不正利用があったにも関わらず、十分な対策が施されなかった点が批判された7pay

セブン&アイ・ホールディングスの決済サービス「7pay」はサービス開始から、わずか4日でサービス停止になり、さらに、3か月後にはサービス終了という結末を迎え、大きな騒動となりました。総額数千万円とも言われる不正利用により、多数の被害者が報じられています。不正利用という犯行は許されるものではありませんが、7payの対応も十分ではなく、批判が寄せられてきました。

7payの導入は、キャッシュレス決済に関する競争激化が背景にあったと言われています。大々的なポイント還元キャンペーンによって話題を呼んだPayPayやLINE Payに加え、大手コンビニのファミペイ等、決済サービスが乱立している現状です。この競争に乗り遅れないため、セブン&アイ・ホールディングスが導入を急ぎ、リスク管理がなされていなかったと指摘されています。

PayPayでも不正利用が行われていたにも関わらず、セキュリティ対策を十分に施していなかったのは、現状認識が甘かったとの指摘が避けられません。金融サービスを提供する企業として、消費者の資産保護は最優先で考えるべきものです。7payによる混乱は、フランチャイズ店として登録しているコンビニ・オーナーにも打撃を与えています。単なるセキュリティ問題にとどまらず、経営管理及びガバナンスに関わる大きな問題と言えます。

キャッシュレス決済、及びWebアプリケーションとして基本的なセキュリティ対策が実施されず

不正利用された際に用いられた直接的な手口は明確に発表されていませんが、セキュリティ面にみられるいくつかの問題はメディアで報じられています。例えば、パスワードの再設定を行う際に、登録時とは異なるメールアドレスを入力できるため、第三者によってパスワードを再設定されるリスクがあるという問題がありました。

最近はリスクの高いアカウントでは、複数の手段によって認証する方法が一般的です。パスワードに加えて、携帯電話に一時的なアクセスコードを送信して認証するといった二段階認証は多くのサービスで用いられています。「知っているもの(例:パスワード)」「持っているもの(例:携帯電話、トークン)」「本人自身(例:指紋、虹彩)」といった要素から二つ以上を使用する方法が推奨されています。7payには、このような手法が用いられてなかっただけでなく、基本的なセキュリティ対策である二段階認証を経営者が知らなかった点も批判を呼びました。

経済産業省や総務省が主導したキャッシュレス推進協議会は「コード決済に関する統一技術仕様ガイドライン」を作成し、遵守するべきセキュリティ対策が規定されていました。しかし、7payでは、ガイドラインで定められている「利用者のモバイルデバイスとコード決済アプリを紐づけて管理する」という対策が実装されていません。また、前述のパスワード再設定の問題については、OWASPアプリケーションセキュリティ検証標準で規定されるWebアプリケーションがとるべき標準的なセキュリティ対策すら遵守していません。

情報システムの品質・リスク管理の観点から経営層に意見できる人材が必要

デジタル・トランスフォーメーションが進み、あらゆる業務をソフトウェアが司る中、経営層で情報システム部門を統括する人材がいないことは大きなリスクを招きます。7payのように社長がセキュリティ対策について詳しくない場合は特に、第三者のシステム開発会社に丸投げするのではなく、発注者として責任をとれる情報システム責任者が求められます。

ビジネス面の要求ばかり優先していると、システムの完成度が低くても、リリースするという判断になりかねません。導入店舗を絞ったパイロット版として開始したり、最低限の機能のみから始めて反復的に完成度を高めるアジャイル開発と取り入れたりと、リスクを軽減する手法はいくつかあります。全ての機能を一度に導入した場合、7payのように甚大な被害を生む可能性があるからです。情報システムの専門家が経営層に意見できるようなガバナンス体制が求められています。

まとめ

セブン&アイ・ホールディングスの決済サービス「7pay」が、不正利用から復旧する目途が立たず、サービス停止に追い込まれました。基本的なセキュリティ対策やリスク管理が施されていなかったため、多くの批判が寄せられています。ビジネス面の要求に対し、情報システムの観点から品質・リスク管理が行える経営人材が求められています。


CATEGORY:
まずは無料ユーザー登録。
すぐに始められます。