東急カード株式会社 様

PCI DSSの求める強力なアクセス制御を実現
作業承認のワークフロー構築などを通じて社内のセキュリティ意識も向上

東急グループ最大の顧客基盤を活かして、全国にクレジットカード事業を展開する東急カード株式会社。同社では2015年、よりセキュアなカード利用環境の確立のため、クレジットカード情報保護に関するセキュリティ基準「PCI DSS」準拠に向けた取り組みを開始。そのID管理ツールにNRIセキュアの特権ID管理ソリューション「SecureCube Access Check」を導入し、セキュリティ管理体制のさらなる強化とセキュリティ意識の向上を実現しています。

POINT

ここがポイント

PCI DSSに求められる要件の中も、とりわけ「強力なアクセス制御手法の導入」に対応

ゲートウェイ型のため、他システムへ影響を与えることなく、低コスト・短期間で導入完了

厳格なアクセス制御に加えて、作業承認のワークフローなどにより社内のセキュリティ意識も向上

導入の背景業界に先駆けてPCI DSS準拠に取り組むためアクセス制御ツールの導入を決定

東急カード株式会社（以下、東急カード）が「PCI DSS」準拠のプロジェクトに着手したのは2015年。カード会社の準拠期限である2018年3月より1年以上早い2016年内の準拠を決めた背景には、同社の情報セキュリティ強化に向けた積極的な姿勢があったと、プロセッシング企画部副部長上村聡氏は振り返ります。

「当社は鉄道会社を親会社に持つクレジットカード会社であるため、お客様の安心・安全を第一に考える企業姿勢があります。そのため情報セキュリティの強化については、経営陣の理解も深く、PCIDSS準拠については可能な限り早く行うべしという指示を仰ぎました。
　　
当時はPCIDSS準拠に必要なツール等の情報取集やシステムベンダー探しは非常に苦労をしましたが、安心・安全をいち早く実現するための取組にチャレンジすることになりました」。

PCI DSSに求められる6つの項目、12の要件の中でも、とりわけ「強力なアクセス制御手法の導入」は同社にとって重要な課題の一つでした。それまで同社では特権IDの使用は、権限者が直接個々のシステムにアクセスする「手作業」で行っていました。しかしPCI DSSでは全ユーザーに一意のIDを割り振り、すべてのデータアクセスを自動的に制限・識別・認証する仕組みが要求されます。プロセッシング企画部情報システム課係長伊藤淳氏は、「それを従来の人海戦術で行うのは不可能です。そこでアクセス制御とログ取得をフルにカバーできるソリューションを、新たに導入しようと決めたのです」と語ります。

プロセッシング企画部
副部長
上村　聡氏

「PCI DSS準拠の取得を契機に、SecureCube Access Checkというツールの機能を活用してきた経験から、真剣に取り組めばここまで徹底できることがわかりました。それがスタッフ一人ひとりの肌感覚として身についたことが、単純な作業改善にとどまらない意識全体の底上げにつながっています」

「ゲートウェイ型」ならではの導入・運用の容易さでNRIセキュアの採用を決定

さっそく東急カードでは、取引実績のあるシステムベンダー3社にソリューション提案を要請。パスワードを一時的に払い出す方式のものなど、3つの国産製品が候補として挙がりましたが性能や費用、導入実績の面から比較検討した結果、「SecureCube Access Check」が総合的に優れているとして採用を決めました。

中でも採用の決め手となったのは、導入・運用が容易な「ゲートウェイ型」ソリューションである点です。ゲートウェイ型は独立して稼働するため、他のシステムへの影響を考慮する必要がなく、低コスト・短期間で導入できるのが大きな特長です。特に今回は2016年10月のPCI DSSの審査開始までに導入を完了する厳しい制約があったため、この特長が重要な選択ポイントになりました。

「もし、これがエージェントを配置するようなタイプだと、他のシステムへの影響を考慮した対応に時間も費用もかさんできます。その点ゲートウェイ型は、そのツールの導入だけに集中でき、他のシステムに手を加えることなく必要なスキームを作成できる。そうした特性には非常に魅力を感じていました」（伊藤氏）。

また導入後の運用を考えると国産製品の安心感や、NRIセキュアがこの分野の第一人者であることも、安心して導入できる要素になりました。

2016年5月には正式に採用が決定し、6月から開発がスタート。開発期間わずか3か月足らずという超特急のスケジュールでしたが、プロジェクトチーム1人ひとりの奮闘の甲斐もあって、8月には予定通り利用開始となりました。

プロセッシング企画部
情報システム課
係長
PCI 内部セキュリティ評価人（ISA）
伊藤淳氏

「ゲートウェイ型ソリューションは他のシステムへの影響がないので、短期間・低コストで導入できる点が大きな特長です。特に今回は約3か月という厳しいスケジュールの中でも、他のシステムに手を加えることなく必要十分なスキームを作成できる点に、大きな魅力を感じて採用を決めました」

システムの構成イメージ

case_tokyucard_fig

導入の効果厳格なアクセス制御の仕組みを確立し、組織全体のセキュリティ意識も大きく向上

SecureCube Access Check の導入から約3年を経過。現在は導入前の人手による管理とはまったくレベルの異なる、厳格なアクセス制御の仕組みが社内に確立されています。伊藤氏はその好例として、作業の申請から承認のワークフローを挙げます。

「導入前はシステムにアクセスしてどんな作業を行うかは、特権 IDを持つ担当者各人に委ねられていました。しかし現在は、まず作業の内容を申請し、上長の承認を経て初めて作業を実行できる流れになっています」。

この結果、重要な顧客データなどを扱う作業を行う際の、組織として標準化された考え方と手順、そして責任感が共有できるようになりました。業務面の改善や効率化にも増して、情報セキュリティの意識そのものが格段に向上した点が、何より大きな成果だと伊藤氏は語ります。
こうした社内の変化に対して上村氏は、「もう導入前には戻れない。ここまで厳格に管理できるのが、当たり前となっています」と評価します。

「約3年間、SecureCube Access Checkの機能を活用してきた実地経験から、真剣に取り組めばここまで徹底できることがわかりました。それがスタッフ一人ひとりの肌感覚として身についたことが、単純な作業改善にとどまらない意識全体の底上げにつながりました」。

もちろん対外的に、東急カードがどんな体制でアクセス制御を行っているか。たとえインシデントが発生しても、どのように対処可能かを具体的に説明できるようになり、カード会社としての社会的責務を果たす上で大いに貢献しています。

今後の展望さらなるセキュリティ体制の強化に向け、システム更改に前向きに取り組む

PCI DSS準拠のプロジェクトではSecureCube Access Check を始め、各要件に対応した数多くのソリューションがほぼ一斉に導入されました。これらが次々に償却時期を迎える2020年度が、今後の重要なシステム課題になってくると東急カードでは考えています。

「バージョンアップなどへの対応が一気にやって来るのは大変ですが、これまで何のトラブルもなく運用してきた実績を元に、前向きに取り組んでいきたいと思っています。次の時代のセキュリティを先取りできる体制を構築するためにも、NRIセキュアには最新の情報やシステム提案を期待しています」（上村氏）。

SecureCube Access Checkの最新版であるバージョン5についても、新たに追加された機能を今後の自社要件にどう活用するか、NRIセキュアからの提案をもとに検討していきたいと語る上村氏。東急カードはお客様が安心・安全にカードをご利用いただけるよう最新のセキュリティ情報を幅広く収集し、積極的にセキュリティ対策に取り組んでいます。

導入いただいたサービス・製品はこちら

会社概要

東急カード株式会社

1983年設立。東急グループで唯一の決済事業者として、グループ最大の顧客基盤を活かし、「東急沿線で一番便利」なカードを目指している。事業展開にあたっては、ステークホルダーが求めるサービス品質を追求。スピードと正確性にこだわった商品やサービスを通じた価値の提供をモットーにしている。さらにセキュリティ面では、法令の遵守はもちろん、お客様から預かった各種の重要情報の保護体制や、大規模災害発生時におけるリスク管理体制の整備を継続強化し、常にお客様に安心して利用いただける環境整備に注力している。
https://www.topcard.co.jp/

※本文中の組織名、職名、概要図は公開当時のものです。（2020年）

CASE STUDY