2021年2月17日8:00
トークン化の採用で極小化を図り、クラウドサービスでインフラコスト削減
QUADRACは、交通カード事業である「Q-move」の開始に向けて、2019年10月にPCI DSS Versio3.21への準拠を果たし、2020年も更新している。同社のPCI DSS準拠に向けた取り組みについて話を聞いた。
※書籍「キャッシュレス・セキュリティガイド」より
国際ブランドカードの交通決済普及のキープレイヤーに
「VISA Ready Program for Transit Partner」選出
QUADRACは、ソニーで非接触ICカード技術「FeliCa(フェリカ)」を開発したメンバーが立ち上げたテクノロジーベンチャーだ。同社では、大量のリーダー端末から得られたデータを高速に処理・解析することが可能な高性能サーバ「Q-CORE」とデータセンターを自社開発している。また、同バックエンド環境をベースに、クレジットカードやQRコードをIDとして利用する交通決済サービス「Q-move」を提供しており、北都交通、南海電鉄、京都丹後鉄道等でのVisaのタッチ決済において、公共交通機関向けのシンクライアント・バックエンドシステムとして採用されている。2021年はさまざまな交通事業者で導入が行われる予定だ。
QUADRAC 商品開発部長 坂上知見氏は「交通系のブランドカード決済のため、PCI DSSは必須でした」と説明する。2018年3月にVisaの「VISA Ready Program for Transit Partner」に選出されたことも大きい。
Thalesからトークン化やHSMを導入
PCI DSS準拠のクラウドサービスで工数を削減
QUADRACでは、2018年6月から、今後、国際ブランドのクレジットカーで交通決済が普及すると想定し、PCI DSSの準備を開始した。半年間の計画策定を経て、審査機関の協力を得て11月から対応をスタート。PCI DSSでは、全項目が認定の対象となった。
審査機関からは、データベースサーバをトークン化して、非保持化扱いする点、ネットワークセグメンテーションのアーキテクチャ設計についてアドバイスをもらった。特に「トークン化により、PCI DSS準拠のハードルがかなり下がったと思います」とQUADRAC 商品開発部 マネージャー 伊藤博貴氏は話す。カード番号を意味のない数値に置き換えるトークン化の採用で、PCI DSS要件の大部分をスコープから外すことが可能となった。同社では、Thales(タレス)から、トークナイゼーションや、暗号鍵の管理を行う「HSM(ハードウェア・セキュリティ・モジュール)」を導入し、セキュアな決済処理の仕組みを構築している。
また、2018年6月~11月にIaaSベンダー含めたPCI DSS実装に適したインフラの選定を行い、コスト、機能、実装スピードにおいて優位性のあった、リンクのクラウドサービス「PCI DSS Ready Cloud」の導入を決定した。「PCI DSS Ready Cloud」では、クラウド上のデータやアプリケーションを保護するPCI DSSに必要となる運用機能が全て含まれている。「PCI DSS Ready Cloud」では物理ファシリティのセキュリティ要件も満たされていたこともプラスとなった。PCI DSS Ready Cloudをベースに運用ポリシーの整備を進め、2019年6月の予備審査を経て、同年10月にPCI DSSの準拠を果たした。伊藤氏は「最終的には代替コントロールはありませんでした」と成果を述べる。
