2021年2月19日8:00
IDと決済基盤を集約した次世代のシステムを構築
ミクシィのID・ペイメント事業部では、IDや決済を活用するシーンがあると見込み、AmazonのAWS(アマゾンウェブサービス)を活用してサーバレスアーキテクチャを活用した決済システム、アプリケーション基盤を構築している。すでにPCI DSSに準拠したシステムとして、イシュイングではウォレットサービス「6gram」、プロバイダ事業ではスポーツギフティングサービス「Unlim」と競輪ライブエンターテインメント「TIPSTAR」で同システムを活用しており、新規のプロダクトを中心に順次利用を拡大している。
決済とIDを軸とした基盤を構築
イシュイングとプロセッシング事業で準拠
ミクシィでは、2017年にPCI DSSを取得していたが、同事業での準拠実績をベースに、経営課題と照らし合わせ、決済基盤に使えそうなアセットを転用して発足したのがID・ペイメント事業部だ。2017年の準拠時は仕向(決済依頼を送る)のみの機能で準拠を果たしたが、2019年の新規取得の際は仕向、被仕向(決済依頼を送る・受ける)の双方で対応した。PCI DSSのスコープもカードイシュイングとプロセッシングの双方が対象となった。
また、「全社的な課題を背景として、アカウントや決済に関する基盤機能を開発しています。弊社ではあるプロダクトが決済機能を導入する際、各プロダクトがそれぞれ決済代行会社の選定・契約・接続を行っています。そこに専門の人員を割いたり、同じようなAPIのインターフェース開発をするのではなく、スピード感を高め、横のつながりを深めていくため、決済とIDをまとめる基盤的な機能が欲しいという要望がありました」と、ミクシィ 次世代エンターテインメント事業本部 ID・ペイメント事業部 システムグループ 橋本広大氏は説明する。基盤機能を提供するならば、自分たちでもその基盤機能を利用するサービスを開発するべきだと考えた。
2017年の準拠時は、AWSの構成もサーバレスではなかった。ミクシィ 次世代エンターテインメント事業本部 ID・ペイメント事業部 システムグループ マネージャー 田岡文利氏は「AWSに集約するのは17年から同じですが、どのサービスを利用してPCI DSS準拠をするのかについては再設計しました」と話す。新たに構築したシステムでは、運用部隊もサーバサイドのエンジニアなど数名に限られた設計を前提としており、「サーバーレスなサービスを活用し、運用負荷を下げる」(田岡氏)ことが主眼となった。ミクシィが2019年に準拠した当時はAWSでPCI DSSに準拠した企業は複数存在したが、サーバレスでの運用はなかったという。「今後、他社が同じ形で行うのは増えていく」と橋本氏は見ている。
パスワードレスでの運用を構築
カード情報は「Amazon DynamoDB」に集約
田岡氏は「要件自体を減らす努力をしているので、AWSアカウントに権限管理を集約しています。IDS/IPS(不正侵入検知・防御)の管理を減らすために、リモートアクセスの経路を用意せず、リードオンリーファイルシステムのコンテナを利用しています。色々な面でコストを下げることを意識しています」と説明する。
例えば、2017年のシステムでは、SSH(Secure Shell)で目的のサーバにログインする際、踏み台を認証するアカウント情報の登録が必要だった。また、IDS/IPSもソフトウェアを入れる環境で運用した際のコストが高い課題があった。さらに、ソフトウェアのアップデート、四半期に一度パスワードを変更する等、運用面の負荷が大きかったため、2019年に再取得する中では極力回避することが命題となった。そこをAWSの認証を行うサービスであるIAM(Identity and Access Management:アイアム)」に集約して負荷を軽減させている。また、カード情報は、完全マネージド型の NoSQL データベースサービス「Amazon DynamoDB」に集約させた。
「弊社のシステムでは、Dynamo DBを利用しているので、アクセス管理をIAMに集約できています。従来のSQLサーバーなどを利用すると、別のアカウント管理が発生してしまいます」(田岡氏)
