テレコムクレジット、PCI DSS準拠の決済システムとしてサーバレスアーキテクチャ導入

2021年2月15日8:00

AWS責任共有モデルでPCI DSSを含む高度なセキュリティ対策を実施

決済代行サービスを提供するテレコムクレジットは、急激なアクセス数増加に対応でき、PCI DSSにも準拠した決済システムとして、サーバレスアーキテクチャを導入した。決済代行としていち早くサーバレスを導入した同社の取り組みについて、話を聞いた。

※書籍「キャッシュレス・セキュリティガイド」より

テレコムクレジット システム部 開発チーム 係長 渡部賢治氏、同部 クラウドエンジニアリングチーム 主任 久山貢一氏、国際業務部 カスタマーサポート部 システム部 部長 武内 準氏

AWSへの移行で安定・安全な稼働を目指す
急激なアクセス増でも常時安定的な運用が可能に

テレコムクレジットでは、クレジットカード、銀行振込、電子マネーなどに対応した決済サービスをEC加盟店を中心に提供している。同社では2018年にデータセンターの保守更新のタイミングに合わせ、クラウドサービス「アマゾン・ウェブ・サービス(以下、AWS)」への移行を決意した。クラウドサービスを導入することで、決済システムの安定性や安全な稼働を目指したが、想定以上のボリュームの処理が発生した場合、処理速度の低下、リクエストの滞留によるレスポンス遅延により、最悪の場合、システム障害につながる可能性があったという。サーバレスとは、一定の処理能力、サーバ容量といったマシン性能に依存することなく、稼働に必要なリソースを動的に起動し、マネージドサービスを利用することでサーバのスケールアウトやスケールアップを意識せず、サーバ構築なしでシステムを作り上げる方法だ。これにより、急激なアクセス増を気にせず、常時安定的な運用が可能となった。

従来はサーバを共有して複数の決済処理を実行していたそうだが、サーバレス方式ではリクエストごとにAWSが自動でサーバリソースを割り当ててくれる特徴がある。これにより多くの件数の決済が同時に行われたとしても、各決済の処理負荷が干渉することなく安定して同時実行が可能だ。

段階的にクラウド化を推進
アプリケーション層に絞った対処が可能に

テレコムクレジットでは、2018年に決済サービス環境をオンプレミス環境からクラウド環境へシフトし、2020年にEC2をサーバレスアーキテクチャに置き換えるなど、段階的にクラウドネイティブな環境へ切り替えを図っている。サーバレス化に当たり、セキュリティ面では、AWS責任共有モデルを生かし、PCI DSSを含む高度なセキュリティ対策を行うのが達成目標の1つとなった。責任共有モデルは、物理層からアプリケーション層まで、Amazonとテレコムクレジットのどちらが責任を持つか分担されている。

テレコムクレジット システム部 開発チーム 係長 渡部賢治氏は「サーバレスアーキテクチャ内のOSやミドルウェア、ストレージはAWSの責任でセキュリティも含めて管理してもらうことで、我々はアプリケーション層に絞って、集中的な対処をしていくモデルを採用しようと考えました」と説明する。

テレコムクレジットのサーバレスアーキテクチャの中核をなすLambdaでは、AWSが基盤となるインフラ、基盤サービス、オペレーティングシステム、アプリケーションプラットフォームを管理している。また、AWSのセキュリティレベルは非常に高く、PCI DSS以外にも金融情報システムセンターが定めたFISC安全対策基準、ISMS(情報セキュリティマネジメントシステム)、海外のFBIやCIAなどのセキュリティ認証も取得している。セキュリティに関してもAWSが責任範囲となることで、オンプレミスやEC2に比べて、「セキュリティ対策の範囲を狭めることが可能になりました」と渡部氏は成果を語る。

サーバレスでPCI DSSの監査対象削減
2021年3月末に主要な決済はサーバレス化が完了

PCI DSS準拠は2019年までEC2で、2020年はサーバレスで受審した。テレコムクレジット 国際業務部 カスタマーサポート部 システム部 部長 武内 準氏は「サーバレス構成にしたことで、監査対象は減りました」と成果を述べる。EC2での運用では、定期的なパッチの適用、ウィルス対策、インベストリリストの管理、OSやミドルウェアに対するペネトレーションテスト、サーバごとのセグメンテーションやアクセス設定など、運用業務にかかわる時間が一定量あったそうだが、その部分をAWSに任せることができた。これにより、要件6、10、11といった特定の部分に集中できる。例えば、要件10のログ追跡・監視はSumologicというサードパーティのツールを導入し、分析や検知に役立てている。

PCI DSSの準拠よりも、プログラムの再設計やAWSサービスの習得が大変だったという。渡部氏は「今までのアプリケーションをAWSのマネージドサービス毎に処理役割を分担し、そのサービス間で連携するように再設計したり、処理を早めるためにSQSによる非同期処理を採用し並行分散処理を行うなど、AWSのマネージドサービスに自社の決済処理を適用させることが肝になりました」と話す。新たに使用を開始したAWSのフルマネージドサービスは多く、システム構成も大きく変わった。

代替コントロールはサーバレス化した部分ではなかったそうだ。現状、社内のサーバも監査対象となっているため、オンプレミスの環境の一部には代替コントロールを適用している。

「サーバレスに関しては、2020年初頭より、都度決済から徐々にサーバレス化に移行しています。2021年3月末には主な決済はほぼ完了します」(武内氏)

運用コストの低減につながる
顧客管理や売上管理のサーバレス化も視野に

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP