【7pay問題】テスト結果に不備はなかったと答える理由とは?結果より前に確認すべき事

7payの問題が起きてから様様な意見が飛び交い、近年稀に見る酷さのシステム開発だったと言われています。

加えてスケジュール変更や仕様変更が多く炎上案件だったとも言われており、更なる波紋を呼んでいます。

まあそもそもスケジュール変更なんてシステム開発においてはつきものですし、仕様変更もある程度は仕方ない面があり、どの程度の変更だったのかは文面から読み取れないので、ここでは議論しません。

ただ一つ言える事は、今回の2段階認証の実装なし問題やパスワード再設定機能の脆弱性ははじめから仕様として加わっているべき機能のため、仕様変更は何の言い訳にもなりません。

まともなシステム開発をしてたら、そもそも仕様として議論されて組み込まれるべき機能です。

それが決済機能を持つなら尚更。

本日は会見の日から話題となっていた不備についてエンジニアとしての視点からお話したいと思います。

テスト不備はなかったと答える理由

テスト時点で気づかなかったのか?

という話が出ていますが、

気づかなかった。

が答えです。

というのも、テストの項目は設計書をベースに作られるので、設計書にない項目をテストすることはできません。

よって、テスト自体は正常に終了しているし、問題ないと報告が上がったはずです。

テスト項目を作った時点で確認すべき観点が漏れている状況だと容易に想像がつきます。

テストだけでなくプロジェクト全体として、
本番稼働まで正常に終わらせたというのが問題が発生する前の状態でしょう。

よって、テスト自体は正常に終了しているし、
結果は嘘偽りなく正常だったと言えます。

プロジェクトは正常に進んだが第3者からは異常に見える矛盾

7payの問題はプロジェクトは円滑に進み本番稼働までこぎつけたものの、そもそも設計時点から明確に抜けていた観点があることを示しています。

仕様変更があったと言うものの、もともと決済アプリを作る方向性は決まっていたわけで、その時点で2段階認証はあってしかるべき機能というのは上述した通りです。

よって、今回のプロジェクトは決済アプリを作る上で気をつけるべき設計観点が完全に抜け落ちていた事によるもの。

プロジェクト参画メンバーや企業に知見がなかったと見るのが正しい見方でしょう。

そうなってくると今後の7payの開発は既存のメンバーでは完結しないという事になります。

その結果、第3者としてセキュリティの知見があるメンバーを集めたセキュリティ対策プロジェクトを立ち上げたものと考えられますが、プロジェクトリーダーにセキュリティの知見がないであろう事を世間は気にしていますので、次回7payを再リリースする際には世間が納得いく説明ができるようになっていないと厳しいという状況に追い込まれていますね。

7payプロジェクトの問題点とは?

7payのプロジェクトに限らずですが、閉じた世界でプロジェクト進捗をしている場合、プロジェクト内の人間の中に知見がなかった場合、そのまま問題点が発覚せずに進む場合があります。

例えば、今回の場合はセキュリティ設計を行った際にあらゆる設計が抜け落ちている事に

気づけなかったもしくは意図的にスルーしたという事になります。

もしくは設計書はあったが実装がされないままにプロジェクトが進捗したという事も考えられなくはないですが、あまりこのケースはないように思います。

と言うのも、設計がなされているものがちゃんと実装されているのがテストになりますので、

「テストに問題がなかった」

と言っている以上、設計時点で考慮されなかったと考えるべきだからです。

で、ここからが本題。

そもそもプロジェクト内で観点漏れしてないか?

とか

設計に不足はないか?

とか、そういったチェックをできる人がいなかったのか?

という話です。

それもプロジェクト内ではなくプロジェクト外の第3者のチェック。

今回の7payのような決済アプリの場合、お客さんの資産を曲がりなりにも預かるわけで、金融庁なんかも設計指針を出してたりしますが、それでも現場の知見というのは必要になるわけです。

そういった場合に従来のプロジェクト進捗方法では、問題があったときに気づかないという問題が発生します。

(もしかしたら問題と気づきつつもリリースを優先した可能性もありますが、、、)

今回、多くの仕様変更があったとかスケジュール変更があったとかの問題が指摘されてますが、どちらかと言うと問題があることを指摘できなかった体制もしくは問題があったと認識させなかった体制が問題でしょう。

第三者機関を入れた事により是正されれば良いのですが、7payの形式的なチェックだけで終わってしまうと根本的な解決にはなりませんね。

まとめ

セキュリティ云々よりも体制の問題であることは明らかな今回の7pay問題。

真の意味でユーザーファーストと利便性を追求できる体制への刷新が求められます。

今後の動向に注意しつつ7payとキャッシュレス決済の今後を見守っていきましょう。

スポンサーリンク