2021年2月15日8:00
AWS責任共有モデルでPCI DSSを含む高度なセキュリティ対策を実施
決済代行サービスを提供するテレコムクレジットは、急激なアクセス数増加に対応でき、PCI DSSにも準拠した決済システムとして、サーバレスアーキテクチャを導入した。決済代行としていち早くサーバレスを導入した同社の取り組みについて、話を聞いた。
※書籍「キャッシュレス・セキュリティガイド」より

AWSへの移行で安定・安全な稼働を目指す
急激なアクセス増でも常時安定的な運用が可能に
テレコムクレジットでは、クレジットカード、銀行振込、電子マネーなどに対応した決済サービスをEC加盟店を中心に提供している。同社では2018年にデータセンターの保守更新のタイミングに合わせ、クラウドサービス「アマゾン・ウェブ・サービス(以下、AWS)」への移行を決意した。クラウドサービスを導入することで、決済システムの安定性や安全な稼働を目指したが、想定以上のボリュームの処理が発生した場合、処理速度の低下、リクエストの滞留によるレスポンス遅延により、最悪の場合、システム障害につながる可能性があったという。サーバレスとは、一定の処理能力、サーバ容量といったマシン性能に依存することなく、稼働に必要なリソースを動的に起動し、マネージドサービスを利用することでサーバのスケールアウトやスケールアップを意識せず、サーバ構築なしでシステムを作り上げる方法だ。これにより、急激なアクセス増を気にせず、常時安定的な運用が可能となった。
従来はサーバを共有して複数の決済処理を実行していたそうだが、サーバレス方式ではリクエストごとにAWSが自動でサーバリソースを割り当ててくれる特徴がある。これにより多くの件数の決済が同時に行われたとしても、各決済の処理負荷が干渉することなく安定して同時実行が可能だ。
段階的にクラウド化を推進
アプリケーション層に絞った対処が可能に
テレコムクレジットでは、2018年に決済サービス環境をオンプレミス環境からクラウド環境へシフトし、2020年にEC2をサーバレスアーキテクチャに置き換えるなど、段階的にクラウドネイティブな環境へ切り替えを図っている。サーバレス化に当たり、セキュリティ面では、AWS責任共有モデルを生かし、PCI DSSを含む高度なセキュリティ対策を行うのが達成目標の1つとなった。責任共有モデルは、物理層からアプリケーション層まで、Amazonとテレコムクレジットのどちらが責任を持つか分担されている。
テレコムクレジット システム部 開発チーム 係長 渡部賢治氏は「サーバレスアーキテクチャ内のOSやミドルウェア、ストレージはAWSの責任でセキュリティも含めて管理してもらうことで、我々はアプリケーション層に絞って、集中的な対処をしていくモデルを採用しようと考えました」と説明する。
テレコムクレジットのサーバレスアーキテクチャの中核をなすLambdaでは、AWSが基盤となるインフラ、基盤サービス、オペレーティングシステム、アプリケーションプラットフォームを管理している。また、AWSのセキュリティレベルは非常に高く、PCI DSS以外にも金融情報システムセンターが定めたFISC安全対策基準、ISMS(情報セキュリティマネジメントシステム)、海外のFBIやCIAなどのセキュリティ認証も取得している。セキュリティに関してもAWSが責任範囲となることで、オンプレミスやEC2に比べて、「セキュリティ対策の範囲を狭めることが可能になりました」と渡部氏は成果を語る。