全2768文字
PR

 問題発生後から指摘されていたように、初回登録時にSMS(ショート・メッセージ・サービス)認証を導入する選択肢もあった。SMS認証はSIMカードにひも付いた電話番号宛にショートメッセージを送って認証するもので、端末認証を補完するとともに、本人確認にもつながるため犯罪行為を防ぎやすい。機種変更の際にのみSMS認証を採用する選択肢もあっただろう。

 だがセブン&アイHDはそうしなかった。セブン-イレブンアプリにおける端末認証の仕様を変えることなく、同アプリに7payの機能を付加する道を選んだ。

 セブン&アイHD自身は7payに何らかの不正利用が発生すると想定しており、利用状況をモニタリングして防ぐ算段だった。当初は7payが使える店舗をセブン-イレブンに限定していたため、加盟店側の不備による不正利用は起こりにくいとの読みもあったという。

 ただ、モニタリングで不正利用を早期発見できたとしても、対処するための有効なコンティンジェンシープラン(緊急時対応計画)は無かったようだ。万一の不正利用やサイバー攻撃に備えて、「セブン-イレブンアプリを修正してSMS認証を実装する」「7payの単体アプリを前倒しで配布する」などの準備を進めていれば、7payはサービス廃止に至らなかった可能性がある。

ファミマとセブン、明暗を分けた「決済優先」の判断

 7payと同じ2019年7月1日に決済サービスを始めたファミリーマートは、販促アプリ「ファミリーマートアプリ」を決済アプリ「ファミペイアプリ」としてリニューアルし、初回登録時にSMS認証を求める仕様とした。アプリの仕様を決めるうえで「販促」ではなく「決済」を優先したわけだ。

 これに対し、セブン&アイHDはセブン-イレブンアプリの1機能として7payを導入する意思決定をどのように下したのか。その後の開発で、セブン-イレブンアプリと7payの開発チームは十分に意思疎通を図れていたのか。アプリやサービスの枠を越えて最適な認証を設計する権限がセキュリティーチームにどう与えられていたのか。今後検証すべき論点になりそうだ。

 7payを廃止したことで、セブン&アイHDは7iDに関わるセキュリティーをゼロベースで設計し直す猶予期間を得られた格好だ。EC(電子商取引)、販促、決済の各サービスを整理し、用途とリスクに合った認証システムを実現する最後のチャンスをセブン&アイHDは生かせるか。