【お話をお伺いした方】
(写真左から)
・VJA 事務局長 中川 浩行 氏
・VJA 事務局 業務企画部 兼 業務改革推進室
佐藤 直 氏
・VJA 事務局 企画部 業務改革推進室長
遠藤 栄毅 氏
・VJA 事務局 企画部長 鰐部 厚志 氏
VJA株式会社様は、クレジットカードの雄VISA、Master両カードのメンバーシップラインセンスを有し、全国の銀行・金融機関系カード会社の協会組織としての事業を行うVJAを運営する企業である。VJAグループの取り組みとして、stera端末と呼ばれる、1台の端末でクレジットカード、電子マネー、海外の支付宝(Alipay)、微信支付(WeChat)を含むコード決済に対応できる機器を全国の加盟店に推進している。カード番号が漏えいしないように、電文を暗号化するなど安全性を高めた端末機だ。さらに、トランジット決済(タッチ決済による電車・バス等の交通利用)の普及促進にも力を入れている。外国人観光客が自分のクレジットカードで交通機関を利用できるとあって、インバウンド対策の切り札となる仕組みといえる。
VJAグループの会員向けのサービスとしては、カードを利用する時間だけロック解除できるなど、クレジットカードのセキュリティを自分でコントロールが可能なアプリ(Vpass)の推進にも力を入れている。
顧客の機微情報を取り扱うサービスを展開しているVJA様がBBSecのエンドポイントセキュリティEDR-MSS for VMware Carbon Blackを導入されたのは2021年。当時、セキュリティ担当の遠藤氏は、クレジットカード業界へのサイバー攻撃の増加に対し、従来のアンチウィルスに代わるセキュリティシステムを探していた。2020年夏頃からEmotetが流行し始め、一度は沈静化したものの、再度の流行を懸念していた。万が一にも社員がウィルスメールを開封したとしても水際で食い止めるようなセキュリティサービスを検討していたところ、BBSecから提案されたのがエンドポイントセキュリティ(EDR)である。
出典:マルウェアEmotetの感染再拡大に関する注意喚起 (jpcert.or.jp)
「今でこそ、エンドポイントセキュリティや水際対策という概念は受け入れられてきていますが、導入を検討していた2020年当時は、まだそれほど世の中に周知されてはいなかったので、上層部を説得するのに苦労しました。実際に偽のメールを開いてしまったことによる被害の事例等やBBSecから提供された資料を基に説明しました。」と語るのは遠藤氏だ。
一方、事務局長の中川氏は「我々はカード会社を束ねる協会組織なので、我々を踏み台にして、カード会社さんが被害に遭ってはならない、という思いが強かったですね。」と語る。
中川氏・鰐部氏には、協会組織として、クレジットカード業界全体の底上げという役割も念頭にあった。「協会の構成員には規模の大小があり、業界全体を俯瞰したときに、システム的な防御は個社で行うには限界があると考えました。そのため、将来的にはVJAが取りまとめて構成員に実施を働きかけることも視野に入れて検討しました」と中川氏は振り返る。導入サポートが充実していて、なおかつ柔軟に対応してくれるベンダを検討していたところ、BBSecが条件に合致した。
金融系のシステムはネットワーク環境のセキュリティが強固なため、EDRのインストールは他の業界に比べ手がかかることが多い。実際、VJA様の導入時にも設定上の確認事項が多く、BBSecのナレッジが役立った。また、実際に導入してみると、基本的な運用はBBSecが24時間/365日体制で行うため、ノイズの精査などが予想よりはるかに少なくて済んだのがメリットだ。導入時にシステムに合った形でチューニングをかけるものの、日々進化するセキュリティ対策にアラートの数は減らない。それは新たな脆弱性が対策対象であるという証しでもあるが、運用者にとっては負担が大きい。日々のアラートに対し、BBSec側で精査をかけることで、担当者が判断すべきアラートは5%程度に圧縮される。(*1) また、サーバ/ネットワークからエンドポイントまで、一貫したセキュリティポリシー、サービス品質が提供されるため、確実なセキュリティ運用が可能だ。
EDRの導入をしてもセキュリティ対策はまだまだ検討の余地が大きい、と語るのは業務企画部の佐藤氏だ。「怪しいメールは開かないよう社内に周知していても、事故がなければ気が緩んでしまうのが人間ですよね。だからこそ社内啓発には終わりがない」。クレジットカード業界ではオペレーターなど派遣社員が占める割合が少なくない。「派遣社員はIT業界からばかり来るわけではない。新人もいれば長い間別の業界で従事していた人もいる。そこにはどうしてもリテラシーの差があるので、セキュリティ教育は必須だと思っています」。そのため、VJA様では標的型メール訓練も実施している。日ごろのセキュリティ教育もあり、開封率は非常に低かったが、開封してしまった社員からは、システム担当へ開封した連絡があった。それこそが教育の成果だ、と鰐部氏は言う。怪しいメールを開封してしまったと正直に申告するには勇気がいる。普段から開封しないように教育されていればなおさらだ。だが、感染を疑われる状況で的確な対処ができるようにするのが教育の目的であり、成果である。
クレジットカード業界は金融機関やカード会社だけでなく、中小の加盟店も多い。協会に加盟している58のブラザーカンパニーとその下に数十万もの加盟店が存在している。それら加盟店すべてにサービスを提供しているからこそ、セキュリティ対策には非常に気を使っている。その一環として、VJA様では情報共有のためのセキュリティ掲示板的なツールを加盟店向けに展開しているという。そこにはさまざまな現場の悩みが寄せられ、セキュリティ対策の次の課題が集約されている、と鰐部氏は見ている。その課題の解消のために2023年にはE-learningを導入し、展開した。一般ユーザ向けに日常業務の中で留意するべきセキュリティ対策を解説する教育で、管理者は受講状況を確認することができる。iPhone・iPadにも対応しているため、受講者は隙間時間に受講することも可能だ。
VJA様にとって、BBSecをはじめとしたセキュリティベンダはどういう存在なのか、企画部長の鰐部氏に伺ってみた。
「何かあったときにわかりやすい“処方箋”を出してくれる存在、それがセキュリティの専門家、ベンダだと思います。セキュリティの技術的なところは専門家に任せておく。自分たちがすべきことはセキュリティ対策だけではなく、セキュリティを含めた“信頼”を維持すること。クレジットカード業界自体が常にサイバー攻撃のリスクに晒されているわけですから、お客様の不安を引き起こすようなことはあってはならない」と鰐部氏は語る。
そのためにも今後は協会加盟の個社をまとめてのセキュリティ対策を検討中だ。現在、鰐部氏が望むのは、セキュリティの健康診断結果のようなレポートだ。「自社のセキュリティに自信が持てない、不安があるというときに、健康診断のように結果を提示してくれるとありがたい。例えば、人間ドックで皆が数値を把握しているから、血圧の話ができる。セキュリティも同じで、傾向や危ないリストがあることで、共通の議論ができると思います」。
多くの加盟組織を抱えるVJA様が業界全体のセキュリティを考えるときに最も必要なのは、最低限の物差しだ。小規模の加盟店が気軽に利用できる状況を作り、協会全体のセキュリティを底上げすることが、次なる課題である。
BBSecは、信頼を維持する価値を追求し続けるVJA様に寄り添いながら、クレジットカード業界のセキュリティの底上げをサポートしていく。
<会社情報>
| 会社名: | VJA株式会社 |
| URL: | http://www.vja.gr.jp |
| 1980年、VISAジャパン株式会社として創業。改組を経て、2006年4月にVJAに名称変更。 2020年4月に旧オムニカード協会の業務を継承。全国の主な銀行・金融機関系カード会社で構成するVisa/Mastercardカード発行企業のアソシエーション。ブラザーカンパニー。都市銀行、信託銀行、地方銀行、信用金庫系、さらに外国銀行系各社が加盟している。 | |
<関連サービス>
| 本事例でご紹介したサービス: | EDR-MSS for VMware Carbon Black |
| セキュリティ教育: | 企業向けセキュリティ訓練 |
(*1) システムによってアラートの圧縮率は変わります。
※ 記載の情報は2023年10月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。