「二段階認証を知らない？」　セブン・ペイのセキュリティ意識の低さに呆れ声

■「二段階認証を知らない？」　セブン・ペイのセキュリティ意識の低さに呆れ声
(BIGLOBEニュース - 07月04日 19:54)
https://news.mixi.jp/view_news.pl?media_id=258&from=diary&id=5692409

>>>>>
スマートフォン決済サービス「7pay」で不正利用が発覚したことを受け、運営するセブン・ペイは4日、記者会見を開いた。しかし、会見に臨んだ小林強社長が記者からの技術的な質問に曖昧な受け答えをしたことで、ネットでは同社のセキュリティ意識について不安視する声があがっている。


1日にサービスを開始したばかりの「7pay」だが、3日頃から登録したクレジットカードから不正にチャージされ、見に覚えのない高額決済があったという被害報告が相次いだ。セブン・ペイによると、4日6時時点で約900人に不正アクセスされた疑いがあり、被害額は約5500万円に上るという。セブン・ペイは記者会見を開き、「7pay」への全てのチャージと新規登録を停止するなどの対策を説明した。


しかし、記者会見に臨んだ小林強社長は、セキュリティを高めるための二段階認証を行っていない理由を問われると、「二段階認証…」と考えるようなそぶり。記者が二段階認証について説明をすると、「二段階うんぬんというのと同じ土俵で比べられるのか、違うあれかというのは、私自身が認識しておりません」などと答えた。


問題のセキュリティについて曖昧な回答を行ったことで、Twitterでは「アドバイスできる専門的技術者がなぜ一人も同席していないんだろう」といった不安の声が多数。「決済サービス会社の社長が二段階認証を知らない、だと？」「何かを言っているが何も言っていないスキルが高すぎ」「セキュリティ意識が低すぎ」などの呆れ声も寄せられている。
>>>>>

当然だが、社長に求められる事は、ビジネスの経営であって、極論を言えば、商品の事をなにひとつ知らなくても務まる。それは物理学のことを何一つ知らなくても、プロ野球選手になれるのと全く同じだ。

だが、もちろん、知っておいた方がいい。専門家とまではいかなくても、ある程度、スムーズに専門家と会話できるくらいがいい。専門家と話をするにも前提となる求められる知識がある。

そこで現在の大学などの課題が、一般知識と先端学問との間にある深い溝である。ファラデーの時代は、それでも市井の人に大学が教授する事があった。彼が残したロウソクの科学は２０世紀になってもなお、子供たちを学問の道へと推し進めている。

どのような子供も、知識のない状態で生まれてきた。だから技術が発展するにしたがって必要となる知識量は増加する。この増加曲線は２０世紀で極端に増加した。

人間の脳に納められる量がある程度決まっているとすれば、当然だが、底辺を短くして高さを長くする同じ面積の長方形とするしかない。だから最先端にいる人は、それなりに他の分野のことを知らないのである。

この場合の知らないとは知識０ではなくて、ざっくりとは知っているが細かい所までは知らないという話である。

政治家や経営者にも、様々なタイプの人がいる。最先端の科学をビジネスに活用するために企業を起こした人、自分の政治理論を試したくて政治家になった人、現場から叩きあげてその道が好きで経営者にまでなった人、おじいさんの信号を渡るのに手を貸したら、莫大な遺産が手に入って知らない間に経営者になった人、安田財閥の一人息子として生まれ、日本中を放浪している人。

専門家とは、他の専門を知らない人という意味である。そういう意味では誰もが専門家である。自分は自分の専門分野でさえよく知らないと言う人は、結構信用していい。ソクラテス的だからである。自分は専門家である、という人は少し怪しい。

その道を究めれば究めるほど、自分に出来る事より出来ない事の方が多い事に気付く。どれだけ高い山であるかと見上げれば思い、この辺りにはまだ誰もいないなと下を見ては慄く。

他の人からみれば、なんと簡単にするんだろう、そんなもんでいいのか、と驚かれる。他の人を見れば、なんと難しい事をやっているのか、そんなやり方は自分じゃとてもできないと感嘆し、どんな人からでも学ぶ事はあると稲穂を垂れる。

他人から難しく見える事でも、当人からしたら簡単だったり、当人からしたら難しいと思うものに果敢に挑戦する人を見たりしている。

そう、自分が知らないという事を知る事は難しい。「二段階認証」などどんな生活をしていても知らない人が出会える言葉ではない。セキュリティを少し勉強するくらいでも、分野が異なれば知らないまま通り過ぎる可能性も高い。

もっといえば、そういう仕組みは知っていてもそういう名前だとは知らない事もある。探せばあるかもしれない、しかしないかも知れない。そういうものを見つけ出す事は本当は難しい。ある分野ならば軽くノーベル賞が取れる。

だから、僕はこの社長が知らなかった事は、この企業のセキュリティの高さを図る上で、なんの不安も覚えない。たとえ、この人が少々知っていた所で、安心の材料にさえならない。お前ら中国が雇ってるハッカーの数と研究費を知っているのかと言いたい。

例え知らなくても５秒も想像すれば、昨日の最先端でさえ危ういと気づくはずだ。

だから、この社長を軽々に非難している人の技術力をあまり信用しない。この問題は社長が技術を碌に知らないという点には１ｍｍもない。

なぜこの人は、のこのこセキュリティ問題の記者会見に出向いて行ったか。なぜ質疑応答に自ら答えようとしたのか。

記者会見の前に、「今回の騒動はすべて私の責任である。しかし、私は技術的に肝心な所は何も知らない。それについては、この人を信頼しているから、この人から聞いて欲しい。」

もし、そう言える人だったら、きっと、この問題は起きなかったと思う。だが、僕たちは知っている。この世界はセキュリティという言葉さえ知らない人がたくさんいる。そして、セキュリティという言葉を知っていても、それは国によって守られているから平気だと理解している人もいる。

東京の街を歩く。どこかに不発弾があることは確かだ。だけど誰も気にしない。沖縄の海で遊ぶ。どこかに不発弾が埋まっているのは確かだが、誰も気にしない。例え爆発して数十人が死ぬにしても、どれだけの確率かと考える。

セブンイレブンの人たちがまさか自分たちが標的にされるとは思わなかった、そんな考え方をしているわけではあるまい。だが、いろいろな人の話を聞くにつけ、お粗末であったそうである。

このお粗末さを最初に見つけたのが、悪用した人たちであることも事実だ、この問題の前に欠陥に気付き、社長などに進言した人以外は、誰も攻める資格を持つまい。詐欺集団こそ、あっぱれだ。

日本はIT社会への対応に失敗した。社会として対応できなかった。それが今、目の前で起きている事である。その原因が世代間格差にあるのか、もっと他の社会的要請にあるのか、構造的な問題か、少なくとも利潤を追求する手段としてのIT活用に失敗した。コンピュータを社会の基盤にするより、非正規雇用や外国人を雇う方が手っ取り早くうま味もある。そういう方向に舵を切った（小泉改革で）のだから、仕方がない。

そしてその後の顛末を見る限り、優秀な技術者がないがしろにされているか、または、優秀な技術者がいない事は明らかだ。このシステム構築したのがNECや富士通じゃなければいいんだが。