楽天グループ株式会社様(以下、楽天グループ様)は、Eコマース、フィンテック、デジタルコンテンツ、通信などインターネット関連サービスを中心に70超のサービスを展開、世界約19億人のユーザーが利用する日本有数の企業だ。そのグループ事業のセキュリティを支える、テクノロジーマネジメントディビジョン 情報セキュリティ・プライバシーガバナンス部のお二人にグローバルカンパニーのセキュリティ事情について伺った。
【お話をお伺いした方】
(写真右から)
・執行役員 情報セキュリティ・プライバシーガバナンス部
ジェネラルマネージャー・グローバルプライバシーマネージャー
財津 健次 氏
・情報セキュリティ・プライバシーガバナンス部 国際規格・システム課
シニアマネージャー/PCI SSC諮問委員会 委員
毛 宇(マオ・ユー) 氏
| ご利用いただいたサービス | PCI DSS SAQ支援サービス |
|---|---|
| 課題 | PCI DSS内部監査における人材確保 |
| 解決 | BBSecのSAQ支援サービスを利用し、自社内部監査人とのハイブリッド監査を実施 |
楽天グループのサービスで共通のセキュリティ対策として、特に先進的な取り組みがフィッシングメール対策だという。BtoCのサービスが多い中、ユーザーがフィッシングメールに引っかかってしまうことを懸念し、いち早く対策に取り組んできた。2018年にはDMARC*1、2022年にはBIMI*2などの最新技術を活用してブランド保護を開始した。
「サービスをご利用のお客様にご負担をおかけすることなく、楽天グループ側でできる対策は何か、ということを考えました。メールに関しても『詐欺メールじゃないか』と不安になっているお客様に対して、一目でわかる仕組みを、ということでDMARCやBIMIを導入し、2025年現在では、ほぼ全ての主要サービスに実装しました。メールにブランドエンブレムが表示されるので、特に楽天イーグルスのファンの方には喜んでいただけているようです」と財津氏は語る。
DMARCの日本における普及率が2024年8月時点で35%であることを考えると、かなり早い導入であったといえる。
楽天グループ全体で70超のサービスを抱えているが、内部監査を含め、セキュリティ対策は自社内で実施してきた。特にPCI DSSの監査については、毛氏を中心にグループ内のセキュリティコントロールの要求事項を最小化するアーキテクチャー(SAQ A対応)の提案を各サービスのセキュリティ担当と何度も話し合いを重ねたという。「結局のところ、PCI DSSの内部監査項目を最適化するために現場が対応すべき理由と目的を共通化することが大事です。一方的に監査側が楽になるわけじゃない、日々必要な対応をしていれば、現場側も次年度から監査対応のためだけの余分な時間が無くなって、その分生産的な時間ができる、だからWin-Winなんだ、ということをいかに理解していただくかがカギだと思います」と毛氏の苦労を見てきた財津氏は語る。
しかし、内部監査人員の流動性やスキルギャップといった課題があり、またPCI DSS*3 v4の適用といった問題から、社内メンバーと外部のコンサルタントとのハイブリッド方式を採用したという。
「もともとは、グループ内のセキュリティを内製で実施しようと考えていましたが、そうはいってもやはり割ける人員には限りがあります。これは当社に限った話ではないとは思いますが、人を育てるのには時間がかかる。また、ちょうど2024年はPCI DSSv4が適用される年で、我々の知見だけではなく、外部の専門家の知見を取り入れたいと考えていたところでした」と財津氏。楽天グループのニーズとBBSecからの提案がタイミングよくかみ合った。
実際、ハイブリッド方式で内部監査を回していくと、そのフレキシブルさは想定以上だったという。
新バージョンの「PCI DSS v4.0」では、要件9を除くタイトルもわかりやすく変更されました。 (赤字・・・変更箇所)
新規要件も約60項目増え、要件の理解を高めるために、多くの要件に対し明確化が図られた上により厳格化されました。
| 要件1 ネットワークのセキュリティ制御を導入し維持する 要件2 すべてのシステムコンポーネントに安全な設定を適用する |
| 要件3 保存されたアカウントデータを保護する 要件4 オープンな公共ネットワークでの通信時に、強力な暗号化技術でカード会員データを保護する |
| 要件5 すべてのシステムとネットワークを悪意のあるソフトウェアから保護する 要件6 安全なシステムおよびソフトウェアを開発し維持する |
| 要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上の必要性に応じて制限する 要件8 ユーザーを識別し、システムコンポーネントへのアクセスを認証する 要件9 カード会員データへの物理的アクセスを制限する |
| 要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスを記録し監視する 要件11 システムおよびネットワークのセキュリティを定期的にテストする |
| 要件12 組織の方針とプログラムによって情報セキュリティをサポートする |
図2 PCI DSS v4.0の変更点
PCI DSSは、クレジットカード情報の保存・処理・伝送などを行う全ての事業者(クレジットカード加盟店・銀行・クレジットカード決済サービス企業等)が準拠する必要があるが、PCI DSSv4では要件のタイトルの変更や用語の定義、文章の修正が行われるなど大幅な改定になった。自社内のISA*4(PCI DSS内部セキュリティ評価人)だけで対応するよりもQSA*5(PCI SSC認定セキュリティ評価人)の知見を活用しようと思うのは当然の流れだったといえる。そんな中でBBSecを選んだ理由の一つが、当時PCI SSC*6に選出された諮問機関メンバーとしての知見だったという。
「いくつかの企業様を検討しましたが、BBSecは日本で初めてPCI SSCの諮問機関メンバーに選出された企業であるので、実績があり、信頼性が高いと考えました。また、楽天グループはグローバル展開しており、英語対応が可能であることも選定要因として大きかったといえます」と財津氏。
一方、ISAの内部監査だけでSAQを完成させず、外部QSAによるSAQ作成支援をハイブリッドで組み合わせることで、監査独立性をより確かなものにできる点を評価するというのが、毛氏だ。開発自体を外部コンサルタントに委託した場合も、実装するのは自社であることを考えれば、監査も第三者の目を入れたほうが間違いない。しかし、年間関係するすべてのシステムの監査を実施するとなると、その全てを外部監査とするのも難しい。その点、ISAとQSAのハイブリッド監査であれば、柔軟な対応が可能だ。「先ほども申し上げた通り、ISAの育成には時間がかかる。特に実務経験を積ませることが大事ですが、QSAと一緒に監査することで得られるものは大きい。BBSecの監査人は厳しいことも言ってくれる。そういった経験も人材育成には必要です」と毛氏。「さらに、監査するシステムの特性によって監査人を選定してもらえることもメリットではないかと思います。各分野のエキスパートQSAと当社ISAとの組み合わせを考えたときに、補完できるようなQSAをお願いできるのはありがたいですね。」
ここまでお話を伺ってきた財津氏と毛氏が所属するテクノロジーマネジメントディビジョンは楽天グループ全体の情報セキュリティをコントロールする部署である。グループ全体の足並みを揃えるために、各グループ会社のCISOを年に1回招集してグローバルCISOサミットを開催し、各セキュリティコミュニティの求心力を高める工夫をしているという。「オンラインのコミュニティを作るだけでは、足並みを揃えるのはなかなか難しい」と語るのは財津氏。ITやセキュリティといった分野であっても、“ヒト対ヒト”のコミュニケーションは不可欠であるという。グローバルCISOサミットではガバナンスやグループ全体のIT実装など、広く意見を聴収して、本社が進めていることを“自分事”として取り組んでもらうようにしているという。
「楽天市場」に出店している店舗は従業員数名規模の店舗もあるため、基礎的なセキュリティ教育コンテンツを提供し、楽天グループの社員教育と同様の研修を実施している。今後、力を入れていきたいのは店舗出店者の皆様や、店舗にツールを提供しているパートナー企業様のセキュリティ教育であるという。
楽天グループの展開する70以上のサービスで形成される独自の「楽天エコシステム(経済圏)」において、巨大なグローバルサプライチェーン全体のセキュリティ強化が課題であることでBBSecと意見が一致した。楽天経済圏を支えるサプライチェーンのセキュリティの底あげに、BBSecは今後とも継続的にご支援させていただく。
<会社情報>
| 会社名: | 楽天グループ株式会社 |
| URL: | https://corp.rakuten.co.jp/ |
| 1997年創業。「イノベーションを通じて、人々と社会をエンパワーメントする」ことをミッションとし、世界30カ国・地域に70超のサービスを展開。世界約19億のユーザーを抱えるグローバルイノベーションカンパニー。 | |
*1 DMARC(Domain-based Message Authentication Reporting and Conformance)は、2012年2月に発表された送信ドメイン認証技術で、送信元のドメインを検証し、正当なメールかどうかを確認する。これにより、フィッシング詐欺やスパムメールのリスクを減らすことができる。2024年8月時点で、「.jp」ドメインの約35%が導入。
*2 BIMI(Brand Indicators for Message Identification)は、メールの送信者が正当であることを示すために、メールの受信トレイにブランドのロゴを表示する仕組み。これにより、受信者はメールの信頼性を視覚的に確認可能であり、ブランドの認知度とメールの開封率が向上にも役立つ。
*3 Payment Card Industry Data Security Standard の略。PCI SSCによって策定されたカード会員情報の機密性を担保するためのセキュリティ標準。
*4 ISA (Internal Security Assessor)は、PCI SSCから認定された自組織のPCI監査を行える資格。
*5 Qualified Security Assessor の略。 PCI SSC から認定された PCI DSS への準拠状況を評価する資格。
*6 PCI SSC(Payment Card Industry Security Standards Council)は、国際的なカードブランド5社により共同で設立された、PCI DSS※1をはじめとするクレジットカードのセキュリティ基準の運用・管理を行う機関。GEARは、主要なPCI 評価企業で構成される諮問委員会という位置付け。BBSecは2020年8月、日本企業として初めてGEARに選出されたのち、2022年に2期連続で選出された。
※ 記載の情報は2025年1月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。