導入の背景や課題
決済事業者として安心・安全を追求しつつサービスを提供
東急カード株式会社 DX推進部システム管理課課長 伊藤淳氏
東急グループにおいて決済事業を提供している東急カードは、東急グループ各社とお客様をつなぐ存在です。長年にわたって提供してきたクレジットカード決済に加え、近年は市場のニーズに合わせてスマートフォンを用いたQR決済やタッチ決済など新たな決済手段にも対応し、「TOKYU POINT」をはじめとした東急グループの持つ資産を活かしてさまざまなサービスを提供しています。
クレジットカード情報を扱うことに加え、グループ全体の決済事業を牽引していく立場ということもあって、いかに高いセキュリティ水準を担保していくかは常に私たちの命題であり続けてきました。また世間のセキュリティ意識が年々高まっていることも踏まえ、日頃から情報を収集し、私どもの体制に反映させています。
DX推進部システム管理課は、事業を支える各システム・サーバの導入や保守・更新など、インフラ環境の整備を担っています。何か一つのきっかけが大きな事故につながり、会社全体、グループ全体の信頼を損ないかねません。そうした事態が起こらないよう、情報漏洩対策をはじめ、常に安心・安全を意識して取り組んでいます。同時に、いかに業務負荷やミスを減らせるかについても意識しながら、最適なポイントを模索してソリューションを選んできました。
選定のポイント
早期に取り組んだPCI DSS準拠、SecureCube Access Checkで強力なアクセス制御を実現
東急カード株式会社 DX推進部システム管理課 鈴木達士氏
クレジットカード業界のセキュリティ基準「PCI DSS」については、経営層からも可能な限り早期に対応するよう指示があり、業界に先駆け、2015年度から対応に向けた準備を進めました。
PCI DSSでは6つの項目・12の要件が定義されていますが、とりわけ課題となったのが「強力なアクセス制御手法の導入」でした。以前は、決済用システムをはじめとする約20〜30のシステムに対する管理者アクセスは、アカウントとパスワードのみで制御していました。ログを見ても誰が実際に作業したのか個人の特定が難しかった上に、適切な目的でアクセスしているかのチェックも困難でした。
しかしPCI DSSでは全ユーザーに一意のIDを割り振り、すべてのデータアクセスを自動的に制限・識別・認証する仕組みが要求されます。そこで、以前の手作業によるアクセス管理に代えて、より厳格にアクセス制御とログ取得が行えるソリューションを新たに導入することを決定し、「SecureCube Access Check」を導入しました。ゲートウェイ型で他のシステムに影響を与えず導入できる上に、申請・承認フローを活用し、適切な作業内容であることを確認した上で作業に取りかかることができ、悪意ある利用、不正な利用を防ぐことができる最適解だと判断しました。
スムーズに導入ができた上に、7年以上にわたって安定して利用できています。特に設定管理画面の見やすさや操作感が優れており、非常に使いやすいと感じています。
当初の目的としていた管理者アクセスの制御に加え、一部の一般ユーザーによるアクセスについても、誰がいつどのような操作を行ったかを確認するためにSecureCube Access Checkを活用していますが、システムに詳しいわけではない従業員でも特に戸惑うことなく利用できています。
PCI DSS v4.0対応のポイント
PCI DSS v4.0で求められた多要素認証にもスムーズに対応
導入後もパートナー企業との定例会を通して普段から業界の動向を収集していましたが、その中で、フィッシング詐欺やサイバー攻撃の増加を背景にPCI DSSがv4.0へと改訂することを知りました。その中で要件8の「カード会員データ環境(CDE)への全てのアクセスに多要素認証を実装する」という項目が追加され、ここが新たに課題となると考えました。
どのような手段がよいかと考えたとき、新たに別の仕組みを構築するよりも、すでに利用しているSecureCube Access Checkをベースにオプションを追加する方法が、最も効率的かつスムーズに導入できるだろうと真っ先に思いつきました。デモを拝見し、PCI DSS v4.0の要件を実際に満たせることを確認した上で導入を決定しました。これまでの信頼に応えていただく形で、非常にスムーズに対応できたと考えています。
社用スマートフォンを配布済みだったこともあり、認証トークンはGoogle Authenticatorを採用しています。ユーザー向け操作手順書の作成に必要な情報も適切に提供いただき、移行に当たっての説明や展開も混乱なく順調に進みました。利用者からは、初めて利用する際のGoogle Authenticatorとの紐づけ作業が簡単で分かりやすいとのコメントがありました。
また、以前から利用してきたSecureCube Access Checkの管理画面をそのまま活用できていることもありがたいです。新規の学習コストがかからず、引き続き使いやすいGUIで運用負荷の削減につながっています。加えて、万一トラブルが発生した際にスピーディに動いていただけるサポート体制を取ってもらっています。
重要なシステムには、すべてSecureCube Access Checkの経由を必須としており、かつ社内からしかアクセスできない仕組みになっております。多要素認証を導入することで、IDやパスワードの漏洩に起因する第三者による不正アクセスを、より強固に防げるようになりました。また今までと同様に、ワークフロー機能により「誰がアクセスしているのか」「本当に目的に沿ったアクセスか」を確認した上で許可することができ、申請に紐づく形でログが保存されるため、「どの申請に対してどのような作業が行われたのか」を容易に確認することができます。
今後の展望
日頃からの情報交換を通して、継続的によりよい施策を模索
東急カードはグループの中で唯一クレジットカード番号を管理している企業です。我々が決済機能を提供することで、グループ内の他の企業は非保持化が推進できています。
今後もこの役割を果たし、安全性に加え、可用性の観点でも安定した稼働を維持し、グループ全体での価値最大化に貢献していきたいと考えています。同時に、新たな決済手段に乗り遅れることなく新たなサービスを創出し、カードホルダーのお客様に対して、より利便性の高い施策を素早く提供していきたいと考えています。
そのために当社も積極的に情報収集を行っておりますが、個人や個社単位での情報収集はどうしても限界があります。今後もパートナー企業やNRIセキュアとさまざまな機会を捉えて密にコミュニケーションを取り、最新の市場動向や他社の取り組み状況などの情報を、パートナー企業やNRIセキュアから提供いただけることを期待しています。
※本文中の組織名、職名、概要図は2024年11月時点のものです。
過去の記事はこちら
