1997年の創業以来、プリペイド式電子マネー「ビットキャッシュ」の発行と電子決済業務を行ってきたビットキャッシュ株式会社。年間総販売額500億円以上、プリペイド式電子マネーのパイオニアとして歩んできた。今回は、同社のセキュリティ対策を推進してきた情報システム部の皆様にセキュリティ担当として何を大切にし、どのような対策を行ってきたかをお伺いした。
【お話をお伺いした方】
(写真左から)
・運用課 課長 水越 裕子 氏
・運用課 宮崎 めぐみ 氏
・部 長 鈴木 智也 氏
1997年の創業以来、プリペイド式電子マネー「ビットキャッシュ」を発行・運営してきた同社。現在では年間総販売額500億円以上、全国のコンビニ・スーパー、ネットカフェ60,000店舗以上で購入可能と、まさに全国津々浦々、いつでもどこでも決済可能な手段として、ますます重要度を増している同社だが、そのセキュリティ対策を一手に担う情報システム部のメンバーが大切にしているものは何だろうか。同社がパイオニアともいえるプリペイド式の電子マネーは、クレジットカード決済やオンラインバンキングなどと異なり、匿名利用が可能という特徴がある。「クレジットカードやオンラインバンキングでは個人の本人確認という点に重点を置かれていると思いますが、プリペイド式電子マネーの場合は、力点をかける部分がちょっと異なります。カード会社や銀行のセキュリティ対策と同じようにすれば安全、というわけでないのが苦労する点です」と情報システム部の責任者である鈴木氏は語る。「万全の対策はいわば必要条件。最低限の条件です。だからと言って声高にセキュリティというのも違う気はする」。
一方、運用課の水越氏は「当然ながら、顧客のお金をお預かりしているということをいつでも念頭に置いています。当社のサービスはどなたでも気軽にご利用いただけるプリペイド式の電子マネーなので、あらゆる年齢層の方がご利用になると考えています。サービスを御利用になるお客様が、安心してお使いになれるようなサービスをご提供することを、まず第一に心がけています。」と話す。
「お客様の大事な資産情報、個人情報を流出させないことが最も大事な点で、そのために“万全な”セキュリティ対策が必要だと考えています」
誰でも、どこでも、いつでも使える安心感。セキュリティ対策をしている、と喧伝する必要はない。目に見える必要はない。むしろ気にならないほどの安心感を提供する、それがビットキャッシュの理想だ、とお二人の話から痛いほど感じられた。
プリペイド式の電子マネーは金融庁が管轄する「資金決済に関する法律」(資金決済法)に従って運営されている。当然、資金決済法の事務ガイドラインや金融庁の「金融分野におけるサイバーセキュリティ強化に向けた取組方針」に沿った対策を実施している。同社は以前よりサイバーセキュリティ対策について計画的に実施しており、システムのサーバー周りのセキュリティ対策に加え、今後、オフィス環境のセキュリティ対策を実施しようとしていた段階だという。外部からの攻撃対策に比べ、社内の業務用PCを狙った攻撃についてはまだまだ万全とはいえないと認識していたという
「指針の中で、サイバーセキュリティリスクとしてマルウェアがクローズアップされていたこともあり、マルウェア対策としてEDR(Endpoint Detection and Response)を導入しようと考えました」と鈴木氏。「ちょうど、コロナ禍によって当社のテレワーク化が加速し、現在ではほぼ100%、テレワーク勤務です。そこでEDRの導入優先度を上げたということもあります」。基本は完全テレワークで、必要な場合のみ出社というスタイルでは、自宅作業にまで管理の目が行き届かない。EDRを導入することで万が一の侵入や感染に備え、また不正な挙動を察知した後の侵入経路や動作の確認ができるという点にも期待するところがあったという。
運用課でEDR製品の導入に当たり複数社を比較検討。費用面、継続性、実績、負荷など様々な角度から検討した。その中で最重要視したのが実績面だという。それらをクリアして導入したのが、BBSecのエンドポイントセキュリティ、「EDR-MSS for VMware Carbon Black」だった。同社の宮崎氏は「EDR製品ではマルウェアの検知能力が重要ですが、Carbon Blackを使用しているため、検知能力・解析能力が高いというのが、採用の決め手でした。」と語る。Carbon BlackはEDRの草分け的存在であり、世界15,000以上の導入実績を誇る。さらにBBSecの運用支援(MSS)を組み合わせた EDR-MSS for VMware Carbon Blackは、ビットキャッシュ社の要望と合致していた。「もともと、EDRを導入したら終わりではなく、運用が非常に大事と考えていました。導入前の営業の時点でも、コミュニケーションを密にして不明点について直ぐに対応してもらえました。今後の運用を考えたときに、この”密な連携”も大きなポイントになりましたね。」と宮崎氏。実際、導入後は想定以上のアラートが上がったが、直ちに担当から連絡があり、詳細な情報提供があるのが助かるという。
導入当初はチューニング期間ということで検証期間を設けていたが、アラートとして、「こんなものも検出されるのか」という驚きもあったという。「例えば、二重拡張子を使用しているファイルがアラートとして検出されたことがあります。運用側では、アラートが検出された業務部門の担当者にファイルの利用方法等のヒヤリングを行い、結果として、そのファイル自体は特に問題ない、ということになりました。ただ、二重拡張子のファイル自体は、すべて安全というわけではないので、アラートが検出された際には都度確認するという運用にしています。今回、CarbonBlackを導入したことで、普段気づきにくい細かな業務運用に関しても確認することができ、よりセキュアな運用を行うことができていると思います。」と運用を担当する宮崎氏は語る。
運用面についてさらにお尋ねすると、運用責任者の鈴木氏からこんな答えが返ってきた。「そうはいっても、実際導入してみるとCarbon Blackから色々なアラートが上がってくる。それが本当に危ないものなのか、あるいはふるまい検知に引っ掛かりはするけれどもそれが正常な動作なのか、危険な兆候なのか判断するのは専門家じゃないと難しいところがあります。SOCサービス込みで導入したことで、アラートに対する専門家の判別が得られるというところが大きい。当社の運用課は3名という決して潤沢ではないリソースでセキュリティを守っているので、24時間365日対応できるものではない。そこがSOCを利用して最もよかった点ですね」。
EDRを導入したことで目に見える変化はあったのか、との問いに、「境界型のセキュリティ対策からゼロトラストセキュリティに移行しつつある、ということは経営層では認識してくれていると思っています」と水越氏。社内の体制がテレワークに移行したこともあり、ゼロトラストセキュリティは必要であると考えている。
サービス導入が直接のきっかけではないが、ランサムウェア教育で社員の意識に変化はあった。もともとISMS準拠企業として定期的なセキュリティ教育は実施していたが、EDR導入に先立って、「こうした理由で、このようなシステムを導入する」という説明会を実施した。ランサムウェアの脅威について認識してもらうために、運用課メンバーによる体験デモも実施した。ニュースになるようなランサムウェア被害は大手企業にしか起こらないわけではなく、自分たちにも起こりうるという意識づけに役立った。「サイバー攻撃はあるよね、でも英語メールを開かなければ大丈夫」といった一般社員の認識もこうした運用課の説明会を経て、「ランサムウェア攻撃は巧妙化しており、自分たちも被害にあう可能性は十分ある」という認識に変化した。今後も継続的なセキュリティ研修は必要と考えている。ただ、教育を実施したから100%安全ということはない。その補完手段としてエンドポイントセキュリティを導入した。と水越氏は語る。
新型コロナによる巣ごもりの需要でユーザーベースが拡大傾向にある。増加し続けるお客様に対し、安全安心をいかに提供していくか。万全のセキュリティ対策を実施しつつ、お客様のニーズに合ったサービスを提供していくというビットキャッシュ。プリペイド式の電子マネーサービスの雄としての同社の今後のさらなる発展に期待したい。
<会社情報>
| 会社名: | ビットキャッシュ株式会社 |
| URL: | https://bitcash.jp/ |
| 1997年創業。創業当時より、インターネット決済市場においてサーバー管理型のプリペイド式電子マネー「ビットキャッシュ」を展開し、加盟店とユーザーをつなぐ決済ソリューションを提供し続けている。累計加盟店数は10,000件以上、決済流通額は、プリペイド式電子マネー市場でTOPクラスのシェアを占める。 | |
※ 記載の情報は2021年2月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。