2017年8月31日8:45
世界屈指の端末ベンダーとして安心・安全な製品を提供へ
Ingenico Groupは、世界屈指の決済端末ベンダーだ。同社では、決済端末の提供に加え、2016年からゲートウェイ・ソリューションを提供しており、クラウド環境でPCI DSSに準拠している。ゲートウェイ・ソリューションの設置は、国内のカード決済のレギュレーションとの差分を埋める目的があったそうだ。
センター側で国内仕様との差分を吸収へ
mPOSや自動販売機向けにゲートウェイ・ソリューションを提供
Ingenico Japanは、Ingenico Group社の製品群、サービス、ソフトウェア開発、認定業務、ロジスティックおよび保守サービスを提供できる体制を整えている。
同社では決済端末の提供に加え、2016年にクラウドベースのゲートウェイ・ソリューションを構築した。Ingenico Japan 開発部 部長 林誠士氏は、「まずは、海外製の端末を持ち込んだときに国内のレギュレーションとギャップがあるのかを調査したかったです。また、弊社のお客様の中には海外で使用しているPOS端末を国内にそのまま持ち込みたいという需要もあり、端末側のアプリケーションを国内のレギュレーションに合わせるのは難しいため、ゲートウェイ側で国内仕様との差分を吸収する目的で立ち上げました」と説明する。
同社では、すでにグローバルの大手家具チェーンの国内拠点などへ決済端末を導入しているが、CCT端末の場合は、独自の仕様があるため、ゲートウェイには接続しない。当初は、タブレットやスマートフォンをレジ機能として利用するモバイルPOS(mPOS)向けに、カード決済機能端末とモバイルアプリケーションを統合したインフラサービスの構築に向けて立ち上げたという。
「当時、mPOSが決済業界のバズワードとなっていましたが、接触型ICチップを使用するEMV方式に対応し、PCI DSSに準拠したソリューションとして、データベースでHSM(Hardware Security Module)による鍵管理を行い、加盟店がセンシティブ認証データを保持しないベーシックな形での実装ができたと思います」(林氏)
ゲートウェイでは、mPOSに加え、自動販売機などの組み込み機器などでのニーズは見込めると考えている。すでに同社の決済端末は、海外でEMV、PCI PTS、P2PEなど、標準的な認証を取得しており、「Ingenico Groupのポリシーはセキュリティファーストとなりますが、グローバル基準を国内でそのまま運用するとなると、どうしてもギャップが出てきます。たとえば、加盟店がオンラインPINを運用したいときに、PINの保護方式がネットワークごとに異なりますが、端末のセキュリティレベルを落とさないように、弊社のゲートウェイで受け、既存のネットワークの仕様に合わせて、安全に接続することが必要だと考えました」と林氏は話す。
Ingenico Groupは、欧州でAXISというプロセッシングビジネスを展開しているが、日本のゲートウェイ・ソリューションは、あくまでも国内仕様の差分を吸収する位置づけであり、今後もプロセッシング事業は展開せずに、決済端末ビジネスに注力して行う予定だ。
クラウドサービスを利用して半年間で構築
代替コントロールは2カ所適用
PCI DSSの準拠に向けては、コンサルティング会社の協力を得た。構想から準拠までは1年ほどの期間を要したが、実際の構築は半年もかかっていないという。「センターの構築と、PCI DSS準拠に向けては、PCI DSS準拠のクラウドサービスを利用することで、スムーズに対応が進みました」と、開発部 中島大希氏は話す。代替コントロールは2カ所適用。使用しているパッケージにより、一部満たさない通信要件があったが、CDE環境内に利用を限定し、かつ外部アクセス、接続ホストを限定し、接続先サーバを監視すことにより対応している。
(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりIngenico Japan準拠事例の一部を紹介)
