「『モニタリングすれば守れる』というのは無理があるでしょう」
「ガバナンス」の問題については1日の会見で言及があった。セブン&アイHDは弁護士を中心とする検証チームを設置し、「不正アクセス発生に至ったガバナンス上の背景を客観的に検証し、原因究明と再発防止策の策定を行う」と発表。後藤克弘副社長は次のように話した。
「グループとして様々な業態を抱える中で、システムは個別に開発されています。個別最適でセキュリティも含めて検討し、つくり上げていく体制でした。しかし、グループを横串にして、あるべきセキュリティはどうかというリーディング、ガバナンスが欠けていたと思っております」
同社の判断の甘さは、会見で7payに「2要素(2段階)認証」を導入しなかった理由について答えたこの場面にも表れていた。
「我々の検討過程においては、(7payの)利用開始後、その状況をモニタリングし、怪しい取引は決済をストップするといったモニタリング体制の強化によって守れると判断したのが、この(2要素認証の)導入を見送った一番の背景です」
こうした発言に上原氏は「『モニタリングすれば守れる』というのは無理があったのでしょう。パスワードリスト型攻撃はそれこそログのモニタリングで発見できますが、今回の件はその前に利用者からの多数の被害申告で事故に気づいたように見えます」とし、「そもそも備えがなっていない。本当にモニタリングで十分だと思っていたのならば、もし事故が起きた場合はどうすべきかを最初から考えて体制を作るべきです」と指摘する。
また、「少額決済なので被害が出たとしてもそれほど大きくならないだろうと踏んだことで『モニタリングのほうが安いだろう』と甘く考えていた節があるのではないでしょうか。実際、今回の被害額は1億円にも達していない(編注:7月31日時点で判明しているのは808人、約3800万円)ので、全額保障してもシステムのセキュリティ強化より安く済んでいるかもしれない。ただ7payのシステムを捨てることになって結果的に高くついているでしょうが」とも推量した。