![](http://oshiete.xgoo.jp/images/v2/pc/qa/question_title.png?c9bd177)
セブンイレブンの7ペイでシステム上のセキュリティミスが問題になっています。
なぜ「二段階承認の未導入」などというミスを犯したのでしょうか?
システム開発の際、レベルの低いSEとレベルの低いプログラマの組み合わせで
システム上の抜け穴やバグを防げなかった理由に
SE「なぜこんな単純なロジックの矛盾を見逃したんだ! 見落とした君が悪い!」
プログラマ「ええ、仕様書通りにプログラムを組むとエラーになることはわかってましたよ」
SE「ではなぜそれを直さなんだ?」
プログラマ「仕様書に書いてないことはコードにしません。
エラー回避の分岐処理が未記載でしたのでその通りにコーディングしました。
仕様書通りにコーディングして、エラーが出たら、それは仕様書が悪いんです。
これが我々プログラマの考え方ですが、何か?」
という間抜けはなしがありますが、こういうように
「重大な見落としがあるのは知っていたが、それを直すのは自分の仕事じゃないから」
ということで見逃してしまったのでしょうか。
A 回答 (7件)
- 最新から表示
- 回答順に表示
No.7
- 回答日時:
1.セキュリティを求められないシステムをベースに、それに手を入れることなく電子決済と結び付けてしまった。
最初はクーポンと会員を紐付けるだけのIDだったんだけど、バーコード決済に乗り遅れたくないがために、ID管理が雑なままにカード決済と紐付けてしまった。
雑なID管理だったので、総当たり戦を簡単に許容する仕様で、それを補完(二段階認証とか)する仕組みも無かった。
2.ターニングポイントは電子決済との結び付きをすると決めたとき。
他社がバーコード決済を続々と出していたので、遅れまいと焦った。
外注のソフト屋や社内のエンジニアは気付いていたはずだが、セキュリティを追加することを費用、納期要件が上回ってしまった(経営陣、管理職の責任)。
技術陣の声が届かなかったか、自分の分担だけやりゃいいと思っていたのか、進言したのに責任者は全く理解できていない、そのどれか。
>「重大な見落としがあるのは知っていたが、それを直すのは自分の仕事じゃないから」
セブンアンドアイの金融関連で、さすがにそれはないでしょう。直すのは自分じゃないにしても、仕様を補完してもらえるようにするよう、進言する義務はありますからね。もちろん、報告を受けた側は期日に影響を与えないように、仕様の穴を塞ぐ義務があります。プログラマが仕様を逸脱したコードを書けば、後々の責任は免れません。納期、予算の縛りもありますから、どこでどうリスクヘッジするかは基本的に依頼元の責任です。もちろん誰も気付けなかった考慮不足というものもあります。これに起因する損害の責を負うのは経営階層です。だって、「誰もわからない」のですからわかりようがないし、そこから帰結する結果は損失、それを担保できるのは経営側だけですからね。とはいえ、今回の例で言えば「誰もわからない」はありえません。そんな難しい仕様上の制限というものはありません。というか、少し考えればわかる筈。
ご回答ありがとうございます。
>総当たり戦を簡単に許容する仕様で、それを補完(二段階認証とか)する仕組みも無かった。
総当り攻撃を許すことがなんともおまぬけですよね。普通、真っ先に潰すアナだとおもうんですけどね。
ところで今日、セブンイレブンは沖縄初出店だそうです。
沖縄の人はこんなおまぬけなセブンイレブンを受け入れてくれるんでしょうか?
ご回答ありがとうございました。
No.6
- 回答日時:
責任者が、二段階認証について、理解が乏しいと思える対応をとっていた。
簡単に便利にってことで、二段階認証を廃止した可能性もありますね。
あと、責任者を含めての危機意識の欠如
開発を外部に委託しているけども、そのからの意見を受け付けない社内体制があったって可能性もありますし、あがってきても、それを上司が握りつぶす体質の可能性もありますね。
外部に委託しているなら、外部の業者は、指摘しているはずですからね。
再設定したパスワードを任意のところに送れるとか、生年月日未登録の場合は、2019年1月1日とか、設計上の重大な脆弱性をわざと作っていたとしか思えませんからね。
拡大させたのも、1日に分かっていて、クレジットカード等のチャージを3日まで停止しないで放置したものも被害を拡大させた原因ですからね。
ファミリーマートに対抗意識をつけて、7月に開始の可能性もありますね。
7月11日(セブンイレブンの日)に無理矢理にでも間に合わせようとしていたとも・・・
ご回答ありがとうございます
>簡単に便利にってことで、二段階認証を廃止した可能性もありますね。
簡単にしちゃったんですね。
>開発を外部に委託しているけども、そのからの意見を受け付けない社内体制があったって可能性もありますし、あがってきても、それを上司が握りつぶす体質の可能性もありますね。
誰も責任を取らない体質だったのでしょうか?
>再設定したパスワードを任意のところに送れるとか、生年月日未登録の場合は、2019年1月1日とか、設計上の重大な脆弱性をわざと作っていたとしか思えませんからね。
これ、バカな設定ですよね。
パスワードリマインドの送信先を、もともと本人確認のために設定していたメールアドレスとは別のメルアドに設定できるのであれば、容易に他人が勝手にパスワード変更することが可能になってしまいます。この間違いになぜ誰も気づかなかったのだろうか、とおもいます。
昔、軍需工場では戦争に対する良心の呵責を生じさせないために工程を細分化して
「まさか自分が作っている機械や部品が大量殺人兵器だなんてちっともおもわない」
という状態にしていたそうですが、もしかして7Payのコンピュータシステム構築も細分化して
「まさかこれを全部組み立てると、初心者でも容易に乗っ取りが可能な、超オバカなセキュリティホールが残った状態になる」
なんておもわないようになっちゃったのかも知れませんね。
>ファミリーマートに対抗意識をつけて、7月に開始の可能性もありますね。
7月11日(セブンイレブンの日)に無理矢理にでも間に合わせようとしていたとも・・・
まあ、あの記者会見をしていたオヤジたちの顔ぶれをみると、そういう駄洒落で目標設定をしていた可能性がなきにしもあらず、という感じが・・・
ご回答ありがとうございました
No.4
- 回答日時:
ご回答ありがとうございます
ご提示のサイト拝見しましたが、
「簡単に乗っ取りが行なえるシステムだった」
旨の記述がありました。
これが本当ならもともとセキュリティホールとかシステムの脆弱性とか抜け道については
一切無頓着でシステム設計しているのでは? とも思えますね。
どこのIT会社に発注したんでしょうね?
ご回答ありがとうございました
No.3
- 回答日時:
リスク管理で、もし~の場合は大丈夫? って事をテストで実証するとおもうが、今回のケースをテスト項目として上げてなかったんでしょうね
ご回答ありがとうございます
>今回のケースをテスト項目として上げてなかったんでしょうね
おっしゃるとおり、テスト項目が足りなかったのでしょうね。
コンピュータのプログラム構築に限らず、分担して物事を運営していると
「万一、間違った指令が届いた場合、どのようにして進行停止、回避、差し戻し、通常復旧を行なうか?」
というチェックが抜け落ちて
「私の分担項目まで回ってきた命令を内容にはミスはないはず。
だから私の工程はノーミス前提で運用を行なうし、トラブル回避、エラー回避については一切処理を考えない」
という運用の仕方をする場合がありますが、これはとんでもないことですね。
ご回答ありがとうございました
No.2
- 回答日時:
> なぜ「二段階承認の未導入」などというミスを犯したのでしょうか?
記者会見で責任者の態度は、「二段階承認?何それ?」と言う感じでした。
責任者さえ知らなかった、という事のようです。
> という間抜けはなしがありますが、
この方は、ただのコーディング担当であり、プログラム設計者ではありません。
コーディング担当には、仕様書に反するコーディングをする権利はありません。
コーディング担当は、プrグラマーの中では最下位技術者なのです。
ご回答ありがとうございます
>記者会見で責任者の態度は、「二段階承認?何それ?」と言う感じでした。
責任者さえ知らなかった、という事のようです。
まあ、経営陣の中の最高責任者が必ずしも現場レベルの経験があるとは限りませんから、詳細な技術の細かいテクニックまで知っている必要はありませんが、せめて
「今回のセキュリティミスは何が原因だったのか?」
に対する概要とそれに対する想定問答は頭に叩き込んでから記者会見に臨んでほしかったですね。
>コーディング担当には、仕様書に反するコーディングをする権利はありません。
おっしゃるとおりですね、コーディング担当はいわれるままにコードを組めばよい、という立場かもしれませんね。
質問文に記載した例題はあくまで
「上からの指令に重大なミス、間違いが含まれていることははっきりと認識しているが、それを咎めるのは私の仕事ではない、ミスを内包した指示を出した側が悪い、という気分が蔓延していたのではないか?
また上役は上役で、下の者は俺様のミスをフォローバックアップするのが当然であって、ミスを知りえながら放置することは部下にあるまじき行為である、と過信していたのではないか?」
ということの提示として記述したものであります。
すこし言葉足らずなところがありましたね。
ご回答ありがとうございました
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(プログラミング・Web制作) 論理的思考の身につけ方 プログラマ2年目です。 私は(基礎があった上で)感覚的にコードを書いています 5 2022/06/16 20:45
- IT・エンジニアリング 不具合の現状認識をしないプログラマって信用できる人? できない人? 8 2023/07/28 09:09
- IT・エンジニアリング SEとWebエンジニアの業務内容の違いについて 3 2023/06/22 23:23
- 大学受験 専門学校の志望理由書について自信が全く無くて…添削してください。 「 私は将来、IT企業の第一線で活 3 2022/10/11 01:12
- 教育・学術・研究 情報系の学部で卒業研究中の大学四回生です。 現在、卒業研究中なのですが不安に感じることがあるので質問 2 2022/09/09 00:19
- C言語・C++・C# C#の基本文法が詳しく書かれている教科書的な本ありますか 2 2023/02/11 03:48
- その他(恋愛相談) 仕事辛いっす。涙。 ガテン仕事が嫌でコンピュータ勉強して、システム運用の仕事ついたんすけど、ミスった 6 2022/11/09 10:46
- 会社・職場 社会人4年目 仕事ができない どうすればいい? タイトルの通り全く仕事が出来ず、今後どうしようか等悩 7 2022/06/25 18:49
- 法学 刑法と社会について 2 2022/07/31 01:38
- その他(IT・Webサービス) 調査サイト「美トリ」で報酬が支払われません。 調査サイト「美トリ」で覆面調査の仕事を行いました。 サ 1 2023/02/24 19:04
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
コンドームが見当たらないです。
-
19歳です。 コンビニやスーパー...
-
コンビニですが、タバコ一箱600...
-
時間の記述の方法
-
朝コンビニで買い物したのです...
-
彼氏、彼女の家にいって、うん...
-
マクドナルドの給料について質問
-
梅田駅に迎えに行くんですか 車...
-
恋愛相談 コンビニ 常連客 おじ...
-
コンビニのコピー機に免許証を...
-
薬局やドンキーでオナホ、ロー...
-
ワセリンはコンビニに売ってい...
-
コンビニの冷やし中華の消費期...
-
コンビニにカップ麺持って行っ...
-
コンビニで店員さんのミスでお...
-
カップラーメンの残り汁の処分...
-
下の名前を聞かれた時のお断り...
-
「○○が通ります」とか「○○が来...
-
コンビニで手ぬぐい売っていま...
-
コンビニの弁当はお昼まで大丈...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
コンドームが見当たらないです。
-
19歳です。 コンビニやスーパー...
-
コンビニですが、タバコ一箱600...
-
ワセリンはコンビニに売ってい...
-
彼氏、彼女の家にいって、うん...
-
薬局やドンキーでオナホ、ロー...
-
コンビニに車停めてケータイい...
-
梅田駅に迎えに行くんですか 車...
-
時間の記述の方法
-
朝コンビニで買い物したのです...
-
コンビニで店員さんのミスでお...
-
コンビニのコピー機に免許証を...
-
自動車税の一番お得な払い方(...
-
恋愛相談 コンビニ 常連客 おじ...
-
コンビニの冷やし中華の消費期...
-
通帳に記載されるATM機の番号?
-
コンビニのマルチコピー機は、U...
-
電車でカップラーメン食べてる...
-
コンビニ支払い時の収入印紙代...
-
ローソン店名にあるH
おすすめ情報