2014年7月24日8:00
「Amazon Webサービス」上でスマホ決済システム「Coiney」を構築・運用
スケーラビリティを生かし、セキュアな環境での世界展開を見据える
コイニーは、スマートフォンに専用の丸いカードリーダーを挿すだけで、誰でも簡単に決済サービスを提供できる「Coiney(コイニー)」を提供している。同社では、決済のインフラ環境を「Amazon Web Services(AWS)」上で構築し、約3カ月という短期間でPCI DSSに完全準拠を果たしている。他社に先駆けPCI DSSの準拠をクラウド上で実現した経緯とメリットについて、話を聞いた。
当時の調達資金のほとんどをPCI DSS準拠に投入
「Amazon Webサービス」上で運営する決済サービス及びシステムで準拠
2012年3月設立のコイニーは、同6月からPCI DSS準拠の検討を開始。決済サービスを行う上でPCI DSSの対応は必要であると考え、2012年8月に準拠を決意した。クレジットカードのセキュリティは年々、着目されており、「弊社がベンチャーとしてクレジットカード決済サービスを提供するにあたり、PCI DSS準拠は信頼されるポイントになると考えました。特に日本のお客様は、製品のセキュリティ部分への興味や不安が強いと思っていたので、“安全です”と我々が説明するよりも、第三者機関の証明の方が説得力を増します」とコイニー 代表取締役社長 佐俣奈緒子氏は話す。
しかし、立ち上げ間もないベンチャーの同社にとって、準拠へのシステム投資、監査費用は負担となった。佐俣氏は、「当時調達した金額のほとんどをPCI DSS準拠に向け投入したので、大変でした」と苦笑する。
準拠に向け、まずは、システムの構成として、“どの部分を対象範囲とするのか”、からスタートした。また、可能であれば“クラウドでサービスを構築したい”という思いもあったそうだ。さらに、決済センターを自社で持つか、外部に委託するかなどを検討した。
同社では、結果的にAmazonがグローバルに提供するクラウドサービス「Amazon Webサービス(AWS)」の導入を決意。AWSでは、PCI DSS Provider Level1に準拠していたため、実地検査を行わず全体をカバーできるメリットがあった。サーバ構成については、AWS上での運用実績が豊富なcloudpack(クラウドパック)を提供するアイレットの協力を得て、PCI DSSの基準に合わせて構築している。
大変だったのはQSA(認定セキュリティ評価機関)との各要件の摺合せだ。PCI DSSのレギュレーションはオンプレミス前提となっており、指定されている項目がクラウドになった際の基準は明確になっていない部分もある。そのため、「審査機関と言葉の定義を揃えるという解釈が困難でした」と佐俣氏は口にする。
カード情報はPCI DSS準拠のプロセッサーに委託
2カ月の短期間で準拠を果たす
予備調査としては、スケーラビリティを持ってシステムを構築するため、アプリケーションが増えていく中で、PCI DSSの要件を満たしたうえでサーバを増やしていけるかが焦点だったそうだ。また、スコープの極小化に向け、カード情報はPCI DSSに準拠したネットムーブに委託した。クレジットカード情報については、プロセッサーが保有していれば、何かあった際にID情報による確認で対応可能だ。
また、無線環境をすべて排除し、有線のみに対象項目を絞ったそうだ。佐俣氏は、「ベンチャーなのでなぜ有線なのか?と、当時はよく突っ込まれました」とほほ笑む。これにより、対象項目を絞って準拠することが可能となった。
システム構成の部分は、当初の想定よりもコストを抑えることができたという。コイニーのシステム構成として、端末(リーダ)、モバイルのアプリケーション、クラウドサーバがあり、AWS上のサーバからネットムーブのセンターにはHTTPSで接続している。加盟店で決済されたカード情報は暗号化されるが、サーバに接続するのはコイニーの準拠項目となるため、約280項目のほとんどはチェックされたそうだ。
実際に準備を開始したのは10月で、12月までの短い期間で準拠を達成した。準拠までに要した期間は3カ月弱となり、当時は4名の社員が徹夜に近い形で準備を進めた。トラフィックがない状態でスタートしたため、サーバも10台からスタートしたミニマム構成だった。なお、代替コントロールについては、「内部の侵入テストができませんでしたが、サーバに入る前にかなり強固にブロックをかけることで審査機関の許可をいただきました」と佐俣氏は説明する。
コスト面やスケーラビリティがクラウドの魅力
AWSでの準拠により海外展開の際もプラスに
後編は、7月29日発売の書籍「カード決済セキュリティの仕組み」でご紹介します。
