なぜ致命的欠陥の放置が起こるのか

publicdomainq-0011489sio.jpg
ごきげんよう。

某大手にシステム開発を依頼したら納品されたシステムが「ユーザーIDが正しければパスワードが何でもログインできる」だった時の話

某大手にシステム開発を依頼したら納品されたシステムが「ユーザーIDが正しければパスワードが何でもログインできる」だった時の話


でっかいシステムでも致命的な欠陥あり。通常であれば確認必須な所が抜けるとどうなるかという分かりやすい案件かもしれない。

思い出される7Pay

致命的欠陥で思い出されるのは7Payだろう。
【7pay への不正アクセスによる現時点での被害者数・金額】※株式会社セブン・ペイ認定
807 人/38,605,335 円 ※2019 年 7 月 29 日(月)17:00 現在

実害が出てしまっているという点で7pay は一線を越えている。共通するのは他者の成り済ましが可能であるという致命的欠陥があるという点だ。

なぜ致命的欠陥の放置が起こるのか

設計が間違っている。確認が漏れている。問題が認識されていない。何れかだろう。7Payは設計が間違っている上、問題が認識されていない。「ユーザーIDが正しければパスワードが何でもログインできる」は確認が漏れている。逆に言えばこの3点を抑えておけば致命的欠陥を避けやすいとも言える。

様子見は重要

致命的欠陥を抱えるシステムを避けるには様子見が重要となる。リリース直後のシステムについては、時間を置いて尊い犠牲を経て、安全を確認すべきだ。7Payは早い段階で致命的欠陥を指摘されている。様子見をする余裕を持とう。

この記事へのコメント


人気ブログランキングへ