ゆうちょ銀行「mijica」大量の“不正”アクセス検知仕組みなし
コメント
注目のコメント
この問題に限らずですが、システムの受託開発ってだいたいのケースで運用が抜けるんですよね。ご自分の会社を思い浮かべた時に、開発費は積んでも運用費って積んでます?実は積んでないケースがとっっっっても多いんですよ。個人的には何がしたいの?って思うんですが、そうなると開発会社の目指すゴールは納品で、発注側はそのシステムを長期運用して利益を出していくという事になりますよね。
必然的に開発側は運用上の機能なんて知ったこっちゃない!売上は固定なんだから余計な機能は作らずなる早で納品する!というのが開発側のベストプラクティスになります。
そもそもシステムの発注側と受注側の目指すゴールが違うんで最初から同じ方向向いてないんですよ。だからwebサービスを展開してる最近の会社は内製する会社が多いんだと思います。委託してわかりやすく痛い目を見たと言ってる会社さんいっぱいありますよね。南場さんの不格好経営とかすごく刺さります。
開発を外部委託してる場合、基本的な運用ツールが欠けてるとか普通にいっぱいあって、この構造はそのサービスが長期的にいかに成功してもシステム開発者は全く潤わない構造でもあり、個人的には大嫌いです。
ただ、上手く行ってる関係もあります。先日の東証と富士通さんの関係はその1つかと思います。開発から運用まで全部請負う事でサービス提供元も開発元もどちらかに責任を押し付ける事なく、双方が当事者意識を持って同じゴールを目指せる事はとても大切なモデルだと思います。カード利用の不正検知はあるとは思いますが、会員サービスへの不正アクセス検知はなかったのでしょう。セキュリティについては、十分すぎるくらいの対応が必要ですね。
顧客データを守る、金融サービスで顧客を安全に守ること。金融に携わる人すべてに問われる姿勢です。おそらく不正検知の仕組みがなかったというよりは、不正検知の仕組みそのものはあったが、今回のようなケースの検知に最適化されてなかったというのが正しい表現ではないでしょうか。