鳴り物入りで導入されるもすぐに大規模な不正アクセスが発生、セブンイレブンという企業自体のITリテラシーを疑われる事態にまで発展してしまった、セブンペイ問題。なぜこんなことになってしまったのでしょうか。世界的エンジニアでアメリカ在住の中島聡さんは今回、自身のメルマガ『週刊 Life is beautiful』で、いびつで時代遅れな開発体制を持つ日本ITゼネコンと、そんな組織にセブンイレブンが開発を委託したところに根本の原因があると指摘しています。
※ 本記事は有料メルマガ『週刊 Life is beautiful』2019年7月16日号の一部抜粋です。ご興味をお持ちの方はぜひこの機会に初月無料のお試し購読をどうぞ。
プロフィール:中島聡(なかじま・さとし)
ブロガー/起業家/ソフトウェア・エンジニア、工学修士(早稲田大学)/MBA(ワシントン大学)。NTT通信研究所/マイクロソフト日本法人/マイクロソフト本社勤務後、ソフトウェアベンチャーUIEvolution Inc.を米国シアトルで起業。現在は neu.Pen LLCでiPhone/iPadアプリの開発。
7pay事件
最近、セブン・イレブンが導入した 7pay というペイメント・システムの脆弱性をついた犯罪が起こるという事件がありました。誕生日と電話番号さえ分かれば、パスワードをリセット出来てしまうという、ごく初期的な設計上のミスがあったため生じた事件ですが、「なぜこんなことが起こったのか」の根本原因をさぐり出し、そこから直す必要があると感じています。
私は、以前から繰り返し指摘していますが、日本のコードを書かない上流のエンジニアが設計し、コーディングは下請けに任せる、という開発手法(ウォーターフォール)そのものに大きな問題があると考えています。
ソフトウェアの設計は、ただでさえ難しいのに、コードを書かずに設計することは私から見れば「どう考えても不合理」な方法です。どんなに丁寧に初期設計をしても、実際にコードを書き始めると、様々な問題点が見つかり、設計を変更せざるを得ないケースがほとんどです。
理由は、
- 当初の設計通りに作るとコードが煩雑になって読みにくくなることが判明する
- コードを書いているうちにより良い設計を思いつく
- コードを書いているうちに設計に欠陥があることに気がつく
- プログラムが動くようになってからリファクタリング(メンテナンスしやすくするために、コードを書き直すこと)を始めた時点で、設計変更を伴うリファクタリングが必要になる
など、様々なものがありますが、これまで私が関わったプロジェクト全てにおいて、「コーディング中の設計変更」は日常茶飯事だし、それなしには良いソフトウェアは作れないと私は考えています。
仕様書を書いて、それに基づいてコードを書くというウォーターフォール型の開発手法の1番の問題点は、この手の設計変更がとても難しい点にあります。
そもそも、上流にいる人たちは仕様書作りに莫大な時間を割きます。そのため、設計変更のたびに仕様書を書き換えていては、そこのコストが馬鹿にならないし、仕様書とコードの不一致もどうしても生じてしまいます。
さらに問題なのは、仕様書を書く人が雇用する側で、コードを書く下請けの人が雇用される側、という上下関係であり、さらに、下流でコードを書くエンジニアの多くが、大学でコンピュータ・サイエンスをちゃんと勉強した人たちではないという現状があります。
こんな状態では、そもそもコーディング中に設計に問題があることを見つけることが出来る人も少ないし、たとえ見つけたとしても、これだけはっきりと上下関係がある環境で、上流から渡された仕様書に文句をつけるのは簡単ではありません。
7pay事件の根本の問題は、こんないびつで時代遅れな開発体制を持っているITゼネコンに、セブン・イレブンが開発を委託していることにあり、そこから根本的に直さない限りは、この手の問題は決して無くなりません。
image by: NYC Russ / Shutterstock.com
※ 本記事は有料メルマガ『週刊 Life is beautiful』2019年7月16日号の一部抜粋です。