情報技術が分かっていないトップに、下からの意見がくみ上げられない社内の空気。
「さすがに現場の技術者は、この仕様のやばさを理解していたはず」「上司に握りつぶされた」「言っても理解されなかった」「言えない空気が現場にあった」そうした数々の推測がネットに上がっていた。
開発は、外部の業者に出しているはずだ。そこからの意見を受け付けない社内体制があったのではないか。
また、開発体制自体に無理があったのではないかという指摘もあった。
「7/11のセブンイレブンの日に、無理やり間に合わせようとした」「もともとあった、セブンイレブンの各種機能との連携に無理があった」
そうした中でも納得度が高かったのは、
『セブンペイ、抱えていた「不発弾」の代償』(日経ビジネス)という記事だ。
元々、セブンイレブンが使っていた会員システム「7iD」は、割引クーポンぐらいしか盗むものがなく、攻撃対象になっていなかった。その低セキュリティだった共通基盤に決済機能を載せたために、誰でも振れる打ち出の小づちが誕生してしまった。
お金を扱うネットサービスは攻撃対象になりやすい。守る側は、あらゆることを想定して守らなければならないが、攻める側は、たったひとつの穴を見つけるだけでよい。防御側と攻撃側の労力は非対称だ。
ただ、今回の件では、あまりにも大きな穴があいていた。あるいはセブン・ペイの一存では、親会社の共通基盤の穴は黙殺せざるを得なかったのかもしれない。
今回の件は、単なるセキュリティ的な問題ではなく、大企業の経営陣の情報技術への感度の低さの問題に見える。
IT系企業では昨今「心理的安全性」という言葉が注目されている。この言葉は、アメリカの Google が、2015年に発表したレポートにある。チームを成功へと導く5つの鍵の1つ、そして全ての土台になるものだ(
Google re:Work)。
昔からある日本語で置き換えるなら、社内の風通しのよさといったところか。上下の別なく意見を言え、それで咎められず、社内での立場も悪くならない。チームを成功に導くには、そうした環境が必要だというものだ。
Google にならえとは言わないが、ITを使いこなすにはITで成功している会社の成功要因を取り入れる必要があるのではないか。少なくとも、素人目に見ても大きな穴があるシステムに、誰も意見を言えないような社内の空気があるなら、そこが大きな脆弱性ではないかと感じる。
◆シリーズ連載:ゲーム開発者が見たギークニュース
<文/柳井政和>