東急カード株式会社(以下、東急カード)が「PCI DSS」準拠のプロジェクトに着手したのは2015年。カード会社の準拠期限である2018年3月より1年以上早い2016年内の準拠を決めた背景には、同社の情報セキュリティ強化に向けた積極的な姿勢があったと、プロセッシング企画部 副部長 上村聡氏は振り返ります。
「当社は鉄道会社を親会社に持つクレジットカード会社であるため、お客様の安心・安全を第一に考える企業姿勢があります。そのため情報セキュリティの強化については、経営陣の理解も深く、PCIDSS準拠については可能な限り早く行うべしという指示を仰ぎました。
当時はPCIDSS準拠に必要なツール等の情報取集やシステムベンダー探しは非常に苦労をしましたが、安心・安全をいち早く実現するための取組にチャレンジすることになりました」。
PCI DSSに求められる6つの項目、12の要件の中でも、とりわけ「強力なアクセス制御手法の導入」は同社にとって重要な課題の一つでした。それまで同社では特権IDの使用は、権限者が直接個々のシステムにアクセスする「手作業」で行っていました。しかしPCI DSSでは全ユーザーに一意のIDを割り振り、すべてのデータアクセスを自動的に制限・識別・認証する仕組みが要求されます。プロセッシング企画部 情報システム課 係長 伊藤淳氏は、「それを従来の人海戦術で行うのは不可能です。そこでアクセス制御とログ取得をフルにカバーできるソリューションを、新たに導入しようと決めたのです」と語ります。

プロセッシング企画部
副部長
上村 聡氏
「PCI DSS準拠の取得を契機に、SecureCube Access Checkというツールの機能を活用してきた経験から、真剣に取り組めばここまで徹底できることがわかりました。それがスタッフ一人ひとりの肌感覚として身についたことが、単純な作業改善にとどまらない意識全体の底上げにつながっています」