VJA株式会社(以下、VJA)様は、全国の銀行・金融機関系カード会社で構成される協会組織として、クレジットカード業界を支える役割を担っている。BBSecとは、2021年のEDR導入以来、継続的にセキュリティ強化を進めてきた。一方で、少人数体制の中では、「現在の体制が十分か」「次に何を優先すべきか」を見極める難しさが残っていた。そこでVJAは、EDR導入による防御強化を土台に、金融庁ガイドラインを活用した第三者評価を通じて、未対応項目と優先順位を可視化。短期・中長期のロードマップを描き、次の強化フェーズへと踏み出した。
【お話をお伺いした方】
(写真左から)
・VJA 事務局 企画部 副部長
遠藤 栄毅 氏
・VJA 事務局 業務企画部 部長代理
佐藤 直 氏
VJAがクレジットカード業界へのサイバー攻撃増加を背景に、従来型アンチウイルスに代わる対策としてEDRを導入し、水際での防御強化を進めたのは2021年のことだった。当時は、まだそれほどエンドポイントセキュリティの考え方が普及していなかった中での導入には多くの苦労があった。
その防御強化を土台に、組織・体制・規程類も含めた全体最適へと取り組みを広げ、金融庁ガイドラインの改定を機に情報セキュリティリスクアセスメントを実施した。
その理由を企画部副部長の遠藤氏はこう語る。「果たして今のこの体制やシステムの防御面が十分なのか。まず自分たちが今どのくらいできているのかを知りたい、というのが出発点でした」。
同社の意識は、「EDRを入れて終わり」というような安易なセキュリティ対策ではなく、「防御の実装」から「経営関与・体制整備・優先順位付けを含む継続的な改善」へ進んでいた。2021年のEDR導入当時から社会情勢は大きく変化し、取引先からの確認事項も増加した。ランサムウェア被害の増加や地政学リスクといったセキュリティトレンドを踏まえ、VJAの役割意識も、従来の「業界全体の底上げ」から「社会インフラを支える主体として、自社の強化を確実に進める」方向へ、より具体的にシフトしていた。
VJAは、直接金融サービスを提供する事業者ではない一方、関係先の多くが金融機関である。そのため、自社のセキュリティ対策をどの基準で見直すべきかを考えたとき、金融庁ガイドラインを用いて現状把握を行うことが妥当だと判断した。狙いは、単にチェック項目を埋めることではない。第三者評価によって、現状の弱点を客観的に把握し、限られた人員・予算の中でも優先順位を付けて進められる土台をつくることにあった。
アセスメントの検討段階で浮かび上がったのは、「自己評価だけでは次の一手が決めにくい」という課題である。VJAは少人数で日々の業務を担っており、セキュリティの専任体制が厚いわけではない。加えて、金融庁ガイドラインは金融機関向けの要求水準を前提としているため、協会組織としての自社にどう当てはめるか、適用解釈が難しい論点が残りやすい。
アセスメントの結果は自分たちの想定していた結果と大きく違いはなかったという。つまり自己点検でも十分に実態を把握できていたが、具体的な対策の検討にリソースが避けないという問題があった。
特に、経営の関与、体制整備、規程類の整備、委託先管理、訓練の設計などは、「重要であることは分かるが、『何から着手し、どの粒度まで実装すべきか』を社内だけで判断しにくい領域だった。」と遠藤氏は言う。
実装を急ぐべき技術対策と、時間をかけて整備すべき組織対策をどう並べるか。その優先順位付けが、最大の悩みだったという。
今回の支援では、文書・自己評価レビュー、関係者インタビュー、ギャップ分析、優先度付き計画の提示を実施した。現状把握では、既存の規程類や運用実態を確認し、ヒアリングを通じて現場認識と管理状況を丁寧に照合。そのうえで金融庁ガイドラインに照らし合わせ、実装済みの内容と未整備の論点を切り分けた。
特に有効だったのは、「適用解釈が難しい項目について、「いま優先して着手すべき事項」と「中長期で整備すべき事項」を分けて提示できたことですね。委託先管理や訓練のように抽象的になりやすいテーマについても、制度設計にとどまらず、運用の粒度まで落として検討したことで、社内での合意形成を進めやすくなりました」と語るのは佐藤氏だ。
情報セキュリティリスクアセスメントに基づく改善計画策定と対策推進支援の一例
※掲載の図は現在提供中のリスク管理ポータル上で確認できるサンプル。リスク管理ポータルについては記事最後尾をご参照ください。
外部評価の大きな価値は、客観性にある。VJA自身でも「できていないところ」は把握していたが、それを第三者が評価結果として示すことで、経営層や関係者へ説明しやすくなった。専門部門とはいえ、自組織内の自己主張ではなく、独立した評価として共有できるため、優先順位の議論が進めやすくなったのである。
「結果を確認し、自分たちでも適正に客観視できていたことが確認できました。とはいえ、専門性を持った第三者の評価結果がこうだった、というのは経営層にも納得感を持ってもらいやすかったですね。経営層もセキュリティ対策については重要視していますし、今の状態で十分だとは思っていないのですが、ただ、自分たちだけで優先度を決定していくというのはなかなか難しいです。どう優先順位を付けて何からやっていくかを考えるうえでも専門家の目線は非常に有効でした」。と佐藤氏は振り返る。
また、結果を通じて「何が足りないか」だけでなく、「どこから着手すればよいか」が整理されたことで、少人数体制でも現実的な進め方を描きやすくなった。技術対策、組織対策、教育・訓練のどれも重要だが、すべてを同時に実行することは難しい。だからこそ、第三者評価に基づくロードマップが実効的な意思決定を支えている。
VJAの大きな特徴の一つが、セキュリティ教育の徹底である。以前にも、標的型メール訓練やE-learningを通じた継続的な啓発を紹介したが、当時から「セキュリティの最後の砦は『人』である」という考え方は変わっていない。毎月のようにグループ会社である三井住友カードから送られてくる事例を紹介し、全社員に繰り返しセキュリティ教育を実施した。
「いわば『セキュリティの刷り込み』ですね」と佐藤氏。同社は40名弱と比較的小規模で小回りが利く組織だ。だからこそ、注意喚起や事例共有を機動的に行い、異変があればすぐに手が挙がる組織文化を育ててきた。
この教育の積み重ねは、単なるセキュリティ教育の受講率や不審なメールの開封率の低さといった単純な指標だけでは測れない。「社員一人ひとりが社会で起きている事象を自分ごととして受け止め、少しでも違和感があれば反射的に報告する。その状態こそが成果であり、技術対策を補完する重要な防波堤になってます」と佐藤氏は続ける。「いままで大きなインシデントは起こっていない。起こっていないからこそ、普段は自分たちの仕事は他部署から目に見えませんし、表立って評価もされない。しかし、『インシデントゼロ』こそが自分たちの実績だと思っています」。そう語る佐藤氏から、BBSecのメール訓練や教育コンテンツについて「今後も機会があれば活用したい」と評価いただいたのも、その継続性に実感があるからだ。
「システムでがちがちにセキュリティをホールドすればいい、という意見もあるでしょうが、それでは柔軟性が不足し、結局は疲弊してしまいます。人的なセキュリティ対策も『ここまでやれば十分』というところはありませんが、繰り返し刷り込むことでセキュリティ意識が無意識に高くなることを実感しました。」と語るのは遠藤氏だ。「セキュリティ教育だけでは『意識が高まりました』、で終わってしまいます。セキュリティ対策はある種「反射」のようなものだと思っていまして、教育はもちろんで土台として必要ですが、『違和感』を感じたら『こういうことなんじゃないか』と気が付き、すぐに相談できる組織や風土を作り上げることが大事なのではないかと思います。報告を習慣化させる、間違った報告でも『違和感を感じて報告しようと思った』ことが重要だと考えています。」
今回の金融庁ガイドライン改定に従った全社のセキュリティ体制見直しにBBSecを選んだ理由の第一は、前回のEDR導入以来の継続的な支援実績だったという。VJAの環境や運用実態を理解していることに加え、日々のアラート対応でもレスポンスが早く、専門的な内容を分かりやすい言葉で説明してくれる点が信頼につながっていた。導入後も「入れて終わり」にせず、運用面まで伴走してきた経験が、今回の評価支援でも生きた。
コンサルタントによる質疑応答と情報提供の例(リスク管理ポータル上で確認できるサンプル)
第二に、単なる診断にとどまらず、未対応項目の抽出から短期・中長期のロードマップ策定まで一気通貫で支援できる点である。VJAが求めていたのは、できていない項目を列挙するレポートだけではない。限られたリソースの中で、「相手先に迷惑を掛けないために、どこを優先して強化すべきか」を整理する伴走型の支援だった。三井住友カードからの情報提供・支援も生かしつつ、BBSecが第三者の立場で整理することで、社内の推進体制強化にもつながった。
近年は、大手企業や社会インフラを狙う攻撃が相次ぎ、取引先からセキュリティ体制に関する確認を受ける機会も増えている。こうした環境変化の中で、VJAの役割意識にも変化が見られた。冒頭で述べたように、社会情勢は短期間に目まぐるしく変化している。EDR導入当時は、加盟店などに対しこうしたセキュリティツール導入支援を実施し、「協会組織として、クレジットカード業界全体の底上げ」という視点が強く語られていたが、現在は「自社が確実に耐えられる状態をつくること」がより前面に出ている。
それは後ろ向きな変化ではない。
むしろ、社会インフラを支える存在として、自社が踏み台にならないこと、関係先に迷惑を掛けないこと、直接の取引がないエンドユーザーにも影響を与えないこと最優先に置く、より現実的で責任ある姿勢の表れである。業界全体の底上げを見据えるからこそ、まず自社が基準を満たし、説明可能な状態になる必要がある。今回の第三者評価は、その第一歩を明確にした。
VJAでは今後、体制面や規程整備といった土台づくりを進めながら、システム面でどこを強化すれば関係先への影響を最小化できるかをさらに具体化していく考えだ。加えて、取引先や委託先との関係整理、訓練の高度化、情報収集の強化など、サプライチェーンも視野に入れた対応の必要性も高まっている。
BBSecは、前回のEDR導入支援に続き、今回のリスクアセスメントでもVJAの現状に寄り添いながら、客観評価とロードマップ策定を支援した。今後も、伴走型のセキュリティアドバイザーとして、VJAが「何事もなく過ごせる状態」を支え、社会インフラとしての責任を果たしていく取り組みを後押ししていく。
今回の事例でご紹介したサービスは、2026年現在、情報セキュリティ管理総合支援ツール「リスク管理ポータル」上で一元的に管理されています。
<会社情報>
| 会社名: | VJA株式会社 |
| URL: | http://www.vja.gr.jp |
| 1980年、VISAジャパン株式会社として創業。改組を経て、2006年4月にVJAに名称変更。 2020年4月に旧オムニカード協会の業務を継承。全国の主な銀行・金融機関系カード会社で構成するVisa/Mastercardカード発行企業のアソシエーション。ブラザーカンパニー。都市銀行、信託銀行、地方銀行、信用金庫系、さらに外国銀行系各社が加盟している。 | |
※ 記載の情報は2026年3月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。