2021年2月17日8:00

トークン化の採用で極小化を図り、クラウドサービスでインフラコスト削減

QUADRACは、交通カード事業である「Q-move」の開始に向けて、2019年10月にPCI DSS Versio3.21への準拠を果たし、2020年も更新している。同社のPCI DSS準拠に向けた取り組みについて話を聞いた。

QUADRAC 商品開発部長 坂上知見氏、商品開発部 マネージャー 伊藤博貴氏

※書籍「キャッシュレス・セキュリティガイド」より

国際ブランドカードの交通決済普及のキープレイヤーに
「VISA Ready Program for Transit Partner」選出

QUADRACは、ソニーで非接触ICカード技術「FeliCa(フェリカ)」を開発したメンバーが立ち上げたテクノロジーベンチャーだ。同社では、大量のリーダー端末から得られたデータを高速に処理・解析することが可能な高性能サーバ「Q-CORE」とデータセンターを自社開発している。また、同バックエンド環境をベースに、クレジットカードやQRコードをIDとして利用する交通決済サービス「Q-move」を提供しており、北都交通、南海電鉄、京都丹後鉄道等でのVisaのタッチ決済において、公共交通機関向けのシンクライアント・バックエンドシステムとして採用されている。2021年はさまざまな交通事業者で導入が行われる予定だ。

QUADRAC 商品開発部長 坂上知見氏は「交通系のブランドカード決済のため、PCI DSSは必須でした」と説明する。2018年3月にVisaの「VISA Ready Program for Transit Partner」に選出されたことも大きい。

Thalesからトークン化やHSMを導入
PCI DSS準拠のクラウドサービスで工数を削減

QUADRACでは、2018年6月から、今後、国際ブランドのクレジットカーで交通決済が普及すると想定し、PCI DSSの準備を開始した。半年間の計画策定を経て、審査機関の協力を得て11月から対応をスタート。PCI DSSでは、全項目が認定の対象となった。

審査機関からは、データベースサーバをトークン化して、非保持化扱いする点、ネットワークセグメンテーションのアーキテクチャ設計についてアドバイスをもらった。特に「トークン化により、PCI DSS準拠のハードルがかなり下がったと思います」とQUADRAC 商品開発部 マネージャー 伊藤博貴氏は話す。カード番号を意味のない数値に置き換えるトークン化の採用で、PCI DSS要件の大部分をスコープから外すことが可能となった。同社では、Thales(タレス)から、トークナイゼーションや、暗号鍵の管理を行う「HSM(ハードウェア・セキュリティ・モジュール)」を導入し、セキュアな決済処理の仕組みを構築している。

また、2018年6月~11月にIaaSベンダー含めたPCI DSS実装に適したインフラの選定を行い、コスト、機能、実装スピードにおいて優位性のあった、リンクのクラウドサービス「PCI DSS Ready Cloud」の導入を決定した。「PCI DSS Ready Cloud」では、クラウド上のデータやアプリケーションを保護するPCI DSSに必要となる運用機能が全て含まれている。「PCI DSS Ready Cloud」では物理ファシリティのセキュリティ要件も満たされていたこともプラスとなった。PCI DSS Ready Cloudをベースに運用ポリシーの整備を進め、2019年6月の予備審査を経て、同年10月にPCI DSSの準拠を果たした。伊藤氏は「最終的には代替コントロールはありませんでした」と成果を述べる。

更新審査時は三井住友カードの「stera」と接続テスト
「PCI P2PEソリューション」認定取得へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP