2014年7月25日8:00スマホ決済端末・アプリケーション・データセンターのすべてPCI DSS完全準拠オンプレミス環境とクラウド環境のハイブリット構成で実現
スマートデバイス決済プラットフォーム「PAYGATE(R)」を展開するロイヤルゲートは、2014年4月11日、「PAYGATE(R)」において、世界でもいち早くマイクロソフトコーポレーションの提供するパブリッククラウドサービス「Microsoft Azure」と、同社データセンターのハイブリット構成で、「PCI DSS Verssion2.0」に準拠した。通常は、データセンターなどにスコープを絞って準拠するケースの多いPCI DSSだが、ロイヤルゲートでは、決済端末・アプリケーション・データセンターのすべてを対象範囲として準拠を達成することで、セキュリティの高い安心したサービスを提供する方針だ。
強固なセキュリティのスマホ決済を実現
タレスのHSMで鍵管理を実施
従来、PCI DSSはデータセンターを中心に準拠が進んできた。ロイヤルゲート 代表取締役CEO 梅村圭司氏は、「スマートフォン決済の特長からすると、端末やアプリケーションを含めてセキュリティを確保することが大事だと感じています。今回の認証のスコープ範囲は、端末からセンターまで、すべてで準拠しました。2014年の準拠は2.0でしたが、現在は3.0への対応を進めています」と説明する。
ロイヤルゲートは、決済端末の製造、設計を1から手掛けている、また、同社の決済システムは、ANSI9.24のDUKPTキーマネジメントを採用し、フランス タレスのHSM(ハードウェア・セキュリティ・モジュール)で鍵管理を行い、高いセキュリティと信頼性を実現している。
タレスは、全世界の8割の決済の処理にかかわっているが、「HSMを使ったモバイル決済において、DUKPTを完全実装したタレスとしても初の事例となっています」と梅村氏は笑顔を見せる。さらに、初期キーとなるIPEKは、日本国内の同社センターで管理を行うなど、利便性に加え、セキュリティを最大限に重視したシステムを構築している。
最近では、数多くのスマートフォン決済ソリューションが登場しているが、「産業革新機構を含め、投資家がなぜ弊社をご評価いただいているかというと、Android、iOS、Windowsに対応していることはもちろん、セキュリティの高さが挙げられます。また、スケーラビリティがあり、クラウドを使っていながらも安心した設計となっている」と、梅村氏は自信を見せる。
ハイブリッド構成によるスケーラビリティもメリットに
クラウド上でのPCI DSS準拠は想定外の苦労も発生
今回のPCI DSS準拠に向けては、「Microsoft Azure」のクラウド環境とオンプレミス環境の連携により、高いセキュリティとスケーラビリティを実現し、グローバル展開が可能なプラットフォームの開発に成功したそうだ。
「暗号化したデータを複合化するHSMをオンプレミス環境において、それ以外のウェブシステム、ウェブサーバ、データベースサーバ等をクラウド上に置くことにより、よりセキュアな仕組みができると考えています」(梅村氏)
ロイヤルゲートでは、4年前からPCI DSSの準備を進めてきた。「Microsoft Azure」でのPCI DSS準拠は前例がなかったため、クラウドに対応したセキュリティソフトが再現性のないエラーを起こすなど、想定外の部分で苦労したこともあったという。
セキュリティ強化に向け億単位のコストを投入
Version3.0やAESへの対応も進める
後編は、7月29日発売の書籍「カード決済セキュリティの仕組み」でご紹介します。
