ミクシィのAWSを活用した決済基盤システム構築の取り組み PCI DSS準拠の観点から見たサーバーレスのメリットは?

2021年6月25日8:40

ミクシィではAWSを活用したPCI DSS準拠の決済基盤システムを構築し、一部サービスから導入を開始している。システム構築・運用にあたって重視しているポイントなどについて、2021年6月8日に行われた「決済セキュリティセミナー2021」から、同社 ID・ペイメント事業部 橋本広大氏の講演内容を抜粋して紹介する。

ミクシィ ID・ペイメント事業部 橋本広大氏

フルマネージドサービスの活用によって
運用負荷を下げつつセキュリティを確保

ミクシィは、Amazon Web Service(AWS)のサーバーレスアーキテクチャーを活用し、PCI DSSに準拠した決済基盤システムを構築。2019年10月から運用を始め、現在3サービスで利用している。

その1つ、ウォレットサービス「6gram(ロクグラム)」は、決済基盤システムの開発にあたったID・ペイメント事業部が企画から開発、運用までを担当する、ドッグフーディング的な側面を持ったサービスだ。アプリ上でJCBおよびVisaのバーチャルプリペイドカードを発行することができ、Apple PayやGoogle Payにも対応してモバイルペイメントをサポートする。1人が複数枚のカードを保有したり、グループ残高を利用した決済を行ったりすることも可能だ。

2020年にリリースされた共遊型スポーツベッティングサービス「TIPSTAR(ティップスター)」では、競輪やオートレースのネット投票を取り扱っているが、ここでは賭け金の入金や当選金の出金、「TIPSTAR」内通貨の利用のためのウォレット機能、また、SMS認証や年齢確認などに決済基盤システムが利用されている。また、同じく2020年リリースの、アスリートフラッグ財団が提供するスポーツギフティングサービス「Unlim(アンリム)」では、アスリートやスポーツチームに支援金を届けるためのクレジットカード情報管理と決済に決済基盤システムを利用している。

同社がこの決済基盤システムの開発を、10名に満たない少数精鋭のチームでスタートしたのは2018年。メンバーにはインフラやシステム運用のスペシャリストがいなかったため、運用負荷の低いシステムにすることが必須の課題だった。同社では2015年から社内インフラとしてAWSを活用してきた実績があったことから、決済基盤システムにおいてもAWSを使って、PCI DSS準拠のシステム構成を目指すことにした。

AWSはセキュリティやコンプライアンスに関して、AWSと利用者が責任を分け合う責任共有モデルという考え方を採っている。責任の境界は、サービスによって異なる。同社では、AWSが管理する領域が広い“フルマネージドサービス”を積極的に活用することによって、運用負担の軽減を図っている。これはPCI DSS準拠の観点からも非常にメリットが大きい。PCI DSSに準拠するために行わなければならないアンチウイルススキャン、脆弱性スキャン、IDSやIPS、FIM(ファイル整合性の監視)、またそれらを含むプロセス稼働状況のモニタリングなどを、マネージドサービスを利用することでAWSに一任できるからだ。

Fargate、DynamoDBを選んだ理由は?
AWSの多様なサービスのラインナップ

システム構成としては、本番決済を取り扱うVPCの中で、Application Load Balancer がユーザーからのAPIリクエストを受け取り、アプリケーションサーバーがリクエストを処理する。決済ネットワークとの通信は、同じアプリケーションサーバー上で稼働するゲートウェイサーバーから、ダイレクトコネクトを経由して行われる。

インターネットからの通信を受け取りつつ、データベースをはじめとする多様なコンポーネントへのアクセス権を持つアプリケーションサーバーは、特にセキュリティが重要なコンポーネントだ。AWSでの選択肢としては、EC2、ECS on EC2、ECS on Fargate、EKS、Lambdaなどがある。同社では、ホストマシンのEC2を利用者側で管理する必要のあるEC2とECS on EC2、当時はEKS on Fargate がなくEC2が必須だったEKSを除外して、ECS on Fargateを選択した。Lambdaはさらに利用者側の管理範囲が狭いが、既存のソフトウェア資産を活用するには不適当だったため採用を見送った。

このコンテンツは会員限定(有料)となっております。
「Paymentnavi Pro2021」の詳細はこちらのページからご覧下さい。

すでにユーザー登録をされている方はログインをしてください。

関連記事

ペイメントニュース最新情報

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP