2014年7月24日8:00「Amazon Webサービス」上でスマホ決済システム「Coiney」を構築・運用スケーラビリティを生かし、セキュアな環境での世界展開を見据える

コイニーは、スマートフォンに専用の丸いカードリーダーを挿すだけで、誰でも簡単に決済サービスを提供できる「Coiney(コイニー)」を提供している。同社では、決済のインフラ環境を「Amazon Web Services(AWS)」上で構築し、約3カ月という短期間でPCI DSSに完全準拠を果たしている。他社に先駆けPCI DSSの準拠をクラウド上で実現した経緯とメリットについて、話を聞いた。

当時の調達資金のほとんどをPCI DSS準拠に投入
「Amazon Webサービス」上で運営する決済サービス及びシステムで準拠

2012年3月設立のコイニーは、同6月からPCI DSS準拠の検討を開始。決済サービスを行う上でPCI DSSの対応は必要であると考え、2012年8月に準拠を決意した。クレジットカードのセキュリティは年々、着目されており、「弊社がベンチャーとしてクレジットカード決済サービスを提供するにあたり、PCI DSS準拠は信頼されるポイントになると考えました。特に日本のお客様は、製品のセキュリティ部分への興味や不安が強いと思っていたので、“安全です”と我々が説明するよりも、第三者機関の証明の方が説得力を増します」とコイニー 代表取締役社長 佐俣奈緒子氏は話す。

スマートフォン決済サービス「Coiney」のイメージ(出典:コイニー)
スマートフォン決済サービス「Coiney」のイメージ(出典:コイニー)

しかし、立ち上げ間もないベンチャーの同社にとって、準拠へのシステム投資、監査費用は負担となった。佐俣氏は、「当時調達した金額のほとんどをPCI DSS準拠に向け投入したので、大変でした」と苦笑する。

準拠に向け、まずは、システムの構成として、“どの部分を対象範囲とするのか”、からスタートした。また、可能であれば“クラウドでサービスを構築したい”という思いもあったそうだ。さらに、決済センターを自社で持つか、外部に委託するかなどを検討した。

同社では、結果的にAmazonがグローバルに提供するクラウドサービス「Amazon Webサービス(AWS)」の導入を決意。AWSでは、PCI DSS Provider Level1に準拠していたため、実地検査を行わず全体をカバーできるメリットがあった。サーバ構成については、AWS上での運用実績が豊富なcloudpack(クラウドパック)を提供するアイレットの協力を得て、PCI DSSの基準に合わせて構築している。

大変だったのはQSA(認定セキュリティ評価機関)との各要件の摺合せだ。PCI DSSのレギュレーションはオンプレミス前提となっており、指定されている項目がクラウドになった際の基準は明確になっていない部分もある。そのため、「審査機関と言葉の定義を揃えるという解釈が困難でした」と佐俣氏は口にする。

カード情報はPCI DSS準拠のプロセッサーに委託
2カ月の短期間で準拠を果たす

予備調査としては、スケーラビリティを持ってシステムを構築するため、アプリケーションが増えていく中で、PCI DSSの要件を満たしたうえでサーバを増やしていけるかが焦点だったそうだ。また、スコープの極小化に向け、カード情報はPCI DSSに準拠したネットムーブに委託した。クレジットカード情報については、プロセッサーが保有していれば、何かあった際にID情報による確認で対応可能だ。

コイニー 代表取締役社長 佐俣奈緒子氏
コイニー 代表取締役社長 佐俣奈緒子氏

また、無線環境をすべて排除し、有線のみに対象項目を絞ったそうだ。佐俣氏は、「ベンチャーなのでなぜ有線なのか?と、当時はよく突っ込まれました」とほほ笑む。これにより、対象項目を絞って準拠することが可能となった。

システム構成の部分は、当初の想定よりもコストを抑えることができたという。コイニーのシステム構成として、端末(リーダ)、モバイルのアプリケーション、クラウドサーバがあり、AWS上のサーバからネットムーブのセンターにはHTTPSで接続している。加盟店で決済されたカード情報は暗号化されるが、サーバに接続するのはコイニーの準拠項目となるため、約280項目のほとんどはチェックされたそうだ。

実際に準備を開始したのは10月で、12月までの短い期間で準拠を達成した。準拠までに要した期間は3カ月弱となり、当時は4名の社員が徹夜に近い形で準備を進めた。トラフィックがない状態でスタートしたため、サーバも10台からスタートしたミニマム構成だった。なお、代替コントロールについては、「内部の侵入テストができませんでしたが、サーバに入る前にかなり強固にブロックをかけることで審査機関の許可をいただきました」と佐俣氏は説明する。

コスト面やスケーラビリティがクラウドの魅力
AWSでの準拠により海外展開の際もプラスに
後編は、7月29日発売の書籍「カード決済セキュリティの仕組み」でご紹介します。

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP