東急カード株式会社（以下、東急カード）が「PCI DSS」準拠のプロジェクトに着手したのは2015年。カード会社の準拠期限である2018年3月より1年以上早い2016年内の準拠を決めた背景には、同社の情報セキュリティ強化に向けた積極的な姿勢があったと、プロセッシング企画部 副部長 上村聡氏は振り返ります。

「当社は鉄道会社を親会社に持つクレジットカード会社であるため、お客様の安心・安全を第一に考える企業姿勢があります。そのため情報セキュリティの強化については、経営陣の理解も深く、PCIDSS準拠については可能な限り早く行うべしという指示を仰ぎました。
　　
当時はPCIDSS準拠に必要なツール等の情報取集やシステムベンダー探しは非常に苦労をしましたが、安心・安全をいち早く実現するための取組にチャレンジすることになりました」。

PCI DSSに求められる6つの項目、12の要件の中でも、とりわけ「強力なアクセス制御手法の導入」は同社にとって重要な課題の一つでした。それまで同社では特権IDの使用は、権限者が直接個々のシステムにアクセスする「手作業」で行っていました。しかしPCI DSSでは全ユーザーに一意のIDを割り振り、すべてのデータアクセスを自動的に制限・識別・認証する仕組みが要求されます。プロセッシング企画部 情報システム課 係長 伊藤淳氏は、「それを従来の人海戦術で行うのは不可能です。そこでアクセス制御とログ取得をフルにカバーできるソリューションを、新たに導入しようと決めたのです」と語ります。

さっそく東急カードでは、取引実績のあるシステムベンダー3社にソリューション提案を要請。パスワードを一時的に払い出す方式のものなど、3つの国産製品が候補として挙がりましたが性能や費用、導入実績の面から比較検討した結果、「SecureCube / Access Check」が総合的に優れているとして採用を決めました。

中でも採用の決め手となったのは、導入・運用が容易な「ゲートウェイ型」ソリューションである点です。ゲートウェイ型は独立して稼働するため、他のシステムへの影響を考慮する必要がなく、低コスト・短期間で導入できるのが大きな特長です。特に今回は2016年10月のPCI DSSの審査開始までに導入を完了する厳しい制約があったため、この特長が重要な選択ポイントになりました。

「もし、これがエージェントを配置するようなタイプだと、他のシステムへの影響を考慮した対応に時間も費用もかさんできます。その点ゲートウェイ型は、そのツールの導入だけに集中でき、他のシステムに手を加えることなく必要なスキームを作成できる。そうした特性には非常に魅力を感じていました」（伊藤氏）。

また導入後の運用を考えると国産製品の安心感や、NRIセキュアがこの分野の第一人者であることも、安心して導入できる要素になりました。

2016年5月には正式に採用が決定し、6月から開発がスタート。開発期間わずか3か月足らずという超特急のスケジュールでしたが、プロジェクトチーム1人ひとりの奮闘の甲斐もあって、8月には予定通り利用開始となりました。

SecureCube / Access Check の導入から約3年を経過。現在は導入前の人手による管理とはまったくレベルの異なる、厳格なアクセス制御の仕組みが社内に確立されています。伊藤氏はその好例として、作業の申請から承認のワークフローを挙げます。

「導入前はシステムにアクセスしてどんな作業を行うかは、特権 IDを持つ担当者各人に委ねられていました。しかし現在は、まず作業の内容を申請し、上長の承認を経て初めて作業を実行できる流れになっています」。

この結果、重要な顧客データなどを扱う作業を行う際の、組織として標準化された考え方と手順、そして責任感が共有できるようになりました。業務面の改善や効率化にも増して、情報セキュリティの意識そのものが格段に向上した点が、何より大きな成果だと伊藤氏は語ります。
こうした社内の変化に対して上村氏は、「もう導入前には戻れない。ここまで厳格に管理できるのが、当たり前となっています」と評価します。

「約3年間、SecureCube / Access Checkの機能を活用してきた実地経験から、真剣に取り組めばここまで徹底できることがわかりました。それがスタッフ一人ひとりの肌感覚として身についたことが、単純な作業改善にとどまらない意識全体の底上げにつながりました」。

もちろん対外的に、東急カードがどんな体制でアクセス制御を行っているか。たとえインシデントが発生しても、どのように対処可能かを具体的に説明できるようになり、カード会社としての社会的責務を果たす上で大いに貢献しています。