バーコード決済サービス「7pay」への不正アクセス事件が話題になっています。皆さんは、運営会社セブン・ペイの記者会見に何を感じたでしょうか?私はこの問題を、「セブン・ペイに限ったものではない」と思っています。
この記事は会員限定です。会員登録すると全てご覧いただけます。
大手コンビニエンスストア「セブン‐イレブン」で使えるバーコード決済サービス「7pay」への不正アクセス事件が大きく報道されています。運営会社のセブン・ペイが2019年7月4日に行った記者会見によれば、被害規模は「約900人、約5500万円」とのこと。
一部アカウントへの不正アクセス発生による チャージ機能の一時停止について | 7pay - セブン‐イレブンで使えるスマホ決済
本稿執筆時点では、不正アクセスの実態やサイバー犯罪者の正体、実際の被害規模ははっきりしていません。調査結果も明らかになっておらず、これについて触れるのは時期尚早かもしれません。しかし、今の時点でも本件から学ぶべきポイントは多くあります。
まず、本件において、7payのサービス運営会社であるセブン・ペイが「攻撃を受けた側」であることは間違いありません。しかし、セキュリティリスクを放置したままサービスをローンチしたのはセブン・ペイで、それによって金銭的な損害を受けたのは7payユーザーでした。
同サービスの「二段階認証」や「パスワードリセット」に関する仕様のリスクは、事前に十分予測できたはずです。「できるはずの対策を怠った」という意味では、サービス運営側にも問題があるといえるでしょう。
では、「できるはずの対策」については、どう考えるべきでしょうか。本当に難しいところですが、仮に、セキュリティ対策の最低ラインを「ここまでやれば、『企業が想定できる限りのサイバー攻撃への対策は、全てやり切った』といえるレベル」としてみます。この場合、おそらく日本においては、経済産業省の公開する「サイバーセキュリティ経営ガイドライン」に対応できているか否かが、一つの基準になるでしょう。
サイバーセキュリティ経営ガイドライン(METI/経済産業省)
経済産業省はサイバーセキュリティ経営ガイドラインで”経営者”に対し、認識するべき「3原則」として以下を挙げています。
経営者はこの3原則を認識した上で、サイバーセキュリティ対策を実施する上での責任者となるCISO(情報セキュリティ管理最高責任者)などに施策を指示せよ、というのが、同ガイドラインの概略です。
サイバーセキュリティ経営ガイドラインで重要なのは、経営者がCISOに指示するべき事項として「インシデント発生時の緊急対応体制の整備」が挙げられている点です。同ガイドラインでは、緊急時の速やかな情報収集と対応を可能にする体制を“平時”に整備しておくよう求めています。キーワードとしてインシデント対応の専門チーム「CSIRT(Computer Security Incident Response Team)」が重視されているのは、このためでしょう。
Copyright © ITmedia, Inc. All Rights Reserved.