2016年8月18日8:00

金融機関や決済サービス事業者はセキュアなサービスを迅速、低コストで実現可能に

大日本印刷(DNP)は、DNP柏データセンターで運用するクラウド基盤サービス「MediaGalaxy(メディアギャラクシー:MG)クラウド」で、PCI DSS Version 3.1の認証を取得した。DNPは、金融機関や決済代行を行うサービスプロバイダなど、機密性の高い情報を取り扱う企業に同サービスを提供していく方針だ。

DNPの「P&Iソリューション」を提供する基盤のセンター
ソフトウェア認証のみでPCI DSS準拠のサービスを提供可能に

DNPでは、2016年4月に情報ソリューション事業部とC&I事業部が統合し、ペイメント事業部となった。これにより、営業企画、制作、製造、運用を含めて、一気通貫で顧客企業をサポートする体制を整えた。DNP柏データセンターはITビジネスを進める上で必須となる強固なシステム運用環境とオペレーションを提供するセンターを目指し、DNPグループの高度なセキュリティ基準に対応。2013年にセンターを稼働しており、印刷技術と情報技術のさらなる応用・発展を図る「P&Iソリューション」を提供する基盤のセンターとなっている。

大日本印刷 C&Iセンター システム開発運用推進本部 副本部長 斎藤雅氏
大日本印刷 C&Iセンター システム開発運用推進本部 副本部長 斎藤雅氏

同センターでは、可用性、安定性を重視してサービスを構築したが、1つの共通の基盤上で複数の企業がサービスをシェアする仕組みとなる。そのため、運用がシステム単位になり、PCI DSSの準拠もそれぞれのサービスごとに対応しなければならない。

「PCI DSSは金融機関や決済を提供する企業にとって大きな柱となる部分ですが、弊社のクラウド基盤の中にPCI DSSの認定を取得した環境をつくり、サービスを展開するスタンスを取りました。弊社のサービスのベースはBtoBが基本ですが、これによりお客様は、OS(Operating System)やアプリケーションといったソフトウェア層において認証を取得するだけで、PCI DSSに準拠した決済サービスの運用を低コストで開始することが可能です」(大日本印刷 C&Iセンター システム開発運用推進本部 副本部長 斎藤雅氏)

サービス間との責任分解点の取り決めで苦労
各サービス担当者と議論を重ね、強固な基盤を構築

DNPでは、2014年にMGクラウドでのPCI DSS準拠についての議論を開始。DNPが提供する各サービスの担当者の協力を得て対応を行った。また、要件の解釈で悩む部分は、認定審査機関(QSA)とコミュニケーションを図ることで対応に当たった。

準拠に向けて苦労したのは、スコープ設定と、MSクラウドとサービス間の境界の明確化の部分だ。DNPでもISMSなどの情報マネジメントシステムは取得しているが、PCI DSSはもう少しハード寄りの規格となる。また、クラウド環境でのPCI DSS対応はガイドラインが出ているものの、解釈に迷う部分が多い。特にクラウド環境で管理する部分と、各サービスが利用する範囲においての責任分解点を設定するのに苦労したそうだ。すでにDNPでは、本人認証サービス「SIGN3D(サインド)」、さまざまな決済に対応可能な「DNPマルチペイメントサービス」などにおいて、PCI DSSに準拠しているが、今回はDNP柏データセンターのMGクラウド上に各サービスが追加される形となる。従来はデータセンター上で構築していたサービスが、クラウド上で仮想的なサービスとして提供される。

クラウド基盤サービス「MediaGalaxyクラウド」でPCI DSS Version 3.1の認証を取得
クラウド基盤サービス「MediaGalaxyクラウド」でPCI DSS Version 3.1の認証を取得

大日本印刷 情報イノベーション事業部 C&Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏は、「クラウド上でサービスを切り出した後に、MGクラウド、サービス側と、どちら側で管理するかという範囲を両社で決める必要がありました。物理的にはファイアウォールにより、論理的に分けることで認証の範囲を分離することは可能ですが、それを文書によって確認する必要がありましたので、時間がかかりました。特にファイアウォールやロードバランサは基盤の機械をサービスごとに仮想化して切り出しますので、この管理はどちらが行うのかという判断が難しく、審査機関への説明で苦労しました」と打ち明ける。ただ、PCI DSSの準拠の経験がある社内のメンバーと議論したうえでシステムを構築できたため、セキュアなサービスを提供する上で、プラスとなった。

大日本印刷 情報イノベーション事業部 C&Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏
大日本印刷 情報イノベーション事業部 C&Iセンターシステム開発運用推進本部 データセンタービジネス開発部 部長 有田博樹氏

「不正利用対策・PCI DSSガイドブック」から一部抜粋

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP