PCI DSSに準拠したBNPL（※）決済サービスのシステムをAWS環境で構築、サーバーワークスの支援を受けて、スピード感を持ったプロジェクト推進を実現

国内BNPL決済サービスのリーディングカンパニーであるネットプロテクションズは、多様な後払い決済サービスを提供していますが、その中の1つが、2017 年 にリリースされたB to C向け スマホ活用型後払い決済サービスの「atone」です。

atoneは、消費者が実店舗やネットショップで買い物をする際、当該店舗やショップがatoneに登録していれば、10日後あるいは1か月後など購入した商品が届いた後で料金を支払うことができるサービスです。現在atoneは実店舗だけでも36万店舗以上参画しており、atoneを含む同社の後払い決済サービスを利用する年間ユニークユーザー数は、1500万人にものぼります。

翌月払いの利用ステップ

今回atone.のシステムを従来のAWS環境から切り出し、新たなAWS環境で構築し直すことを決定しました。その背景について、プロジェクトオーナーを務めたatoneグループ シニア・ビジネスプランナー兼 シニア・アーキテクトの峯拓人氏は、次のように説明します。

峯　氏

峯氏「これまでatoneのシステムは、以前から利用していたAWSアカウントで運営しており、このシステムをクレジットカード業界のセキュリティ基準であるPCI DSS v3.2.1に準拠させる必要がありました。しかしこれを同じ環境の中で構築しようとする場合、準拠対象の範囲が他の一部のシステムにも掛かってしまうのです。そうなれば他のシステムにも手を加える必要が出てきますし、準拠後のシステム運用も非常に煩雑になってしまいます。そこでPCIDSSに準拠が必要な機能は既存のAWSアカウントから切り離し、新しいAWSアカウントを作成して、その環境の中で構築し直すことを決めました」

PCI DSS v3.2.1準拠が必要な機能のみ新たなAWS環境下で構築することを決定した同社は、プロジェクトを支援してもらうITパートナーの選定に入りますが、その際にほぼ一択で決定したのが、過去の同等案件で取引のあったサーバーワークスでした。

峯氏「我々は複数のカード決済を一本化できるクレジットカード決済代行サービス（NPカード）も提供しているのですが、以前はこのシステムをオンプレミス環境で構築していました。しかしオンプレミスではPCI DSS準拠のためのアップデートや運用が大変で、これをAWSに移行したのです。他部署の案件でしたが、その際に支援してもらったのがサーバーワークスでした」

他部署からサーバーワークスの評価を聞いていた峯氏は、自身でも協力を仰ぐITパートナーを色々調べたとのことですが、PCI DSSとAWSの両方に強みを持つITベンダーは他に見つからなかったと続けます。

峯氏「PCI DSSは“クレジットカード業界のセキュリティ基準”というかなり特化された規格なので、準拠のためには相応の専門知識が必要となります。一方PCI DSSで求められる要件をAWS環境にどう落とし込んでいくかという部分については、AWSに関する知見が求められます。この2つの要件を両方とも満たしてくれるITパートナーは、サーバーワークスだけでした」

サーバーワークスは2021年12月、PCI DSSを中心としたAWSにおけるキャッシュレス決済のセキュリティ構築や運用の最新事例等を発信していくことを目的に、他4社と共に「PCI DSS AWS Users Consortium Japan（PCI DSS AUC Japan）」を設立しました。このコンソーシアムの活動内容としては、技術情報の発信やセミナー・イベントの開催、ベストプラクティスの取りまとめなどが挙げられます。

一方サーバーワークスとしても、2021年12月にAWS運用代行サービスがPCI DSS v3.2.1への完全準拠認定を取得し、以降、AWS上でクレジットカード情報を扱うユーザー企業の運用監視を支援しています。さらにサーバーワークスは、AWSパートナー最上位のAPNプレミアティアサービスパートナーとしても活動しています。

現在PCI DSSはv4.0がリリースされており、従来のv3.2.1は2024年3月末で終了します。最新のv4.0では、新しい技術や攻撃手法への対応要件が追加されているため、ネットプロテクションズホールディングスは準拠までにかかる時間を考慮して、まずはv3.2.1への準拠を目指し、その後v4.0への準拠を目指す計画を立てました。

構成図

こうしてPCI DSS v3.2.1準拠のatone.システムを新たなAWS環境で構築するプロジェクトは2022年7月にスタートし、2023年3月にシステムの構築とPCI DSS準拠を完了、その後、本番環境やユーザビリティのテストを経て、同年5月にカットオーバーを迎えました。

実際のプロジェクトを進めるに当たり、サーバーワークスの知見が役に立った点について、ソリューションアーキテクトグループ・統括責任者の春田岬氏は、次のように説明します。

春田氏「PCI DSSへの準拠に当たっては、この基準が求める要件をシステム的にどう解釈すればいいのか、頭を悩ませるケースが多々ありました。例えばネットワーク設計において、どのようにネットワークセグメントを切り分ければいいのか、またAWSの各リソースをどのように配置すればいいのか、といったような点です。この時にPCI DSSとAWSの両方に詳しいサーバーワークスが伴走してくれたおかげで、システム全体の設計から各論部分での技術支援、実際の実装に至るまで、プロジェクトの推進力は大きく高まったと思います」

春田　氏

また峯氏もサーバーワークスの知見が役に立った細かな点として、通信暗号化プロトコルの実装方法を挙げます。

峯氏「PCI DSSでは、通信暗号化のプロトコルがかなり細かく制限されていて、AWSのデフォルトの機能を使ってどのように再現すればいいのかが分かりませんでした。この時にサーバーワークスは、CDN (コンテンツ配信ネットワーク) 機能を提供するAmazon CloudFrontを利用することで実現できますよというアドバイスをくれました。Amazon CloudFront自体は知っていましたが、この機能を利用するという発想は我々にはありませんでした。やはりPCI DSSとAWSに知見が無ければ分からない部分だと強く感じました」

最後にサーバーワークス側からプロジェクトに参画したエンジニアの松井紀樹と小林嵩生は、今回の取り組みを次のように振り返ります。

松井「私は監査クリアに向けた峯様からの問い合わせに対応させていただきましたが、その過程ではAWS側とも連携することで、よりスピード感のあるご支援ができたのではないかと考えています」

サーバーワークス　エンジニア　松井紀樹

小林「私はシステム設計から構築までを担当させていただきましたが、ご提案の際には、過去の実績に基づいて“こんなネットワーク構成がいいと思いますよ”というお話をさせていただきました。こうした点も、峯様、春田様の安心感に繋がったのではないかと思います」

サーバーワークス　エンジニア　小林

またエンジニアの水本 正敏と営業担当の鬼山 健一も、今回のプロジェクトを次のように総括します。

水本「私はお見積もりの段階からセールスとして参画させていただきましたが、始めに峯様と一緒にある程度の道筋を立てさせていただいたおかげで、以降のスムーズな進行に貢献することができたのではないかと思います」

鬼山「多くのAWSパートナー企業がいる中で、サーバーワークスとしての優位性を発揮できるところは、コミュニケーションのスピード感と、定例会に拘らない柔軟性だと考えています。今回もそうした我々の強みを活かすことができたのではないかと思います」

サーバーワークス　営業担当　鬼山

現在ネットプロテクションズホールディングスでは、atone.とNPカードの各システムのv4.0準拠への対応を進めているところです。

峯氏「今回サーバーワークスとは、かなり細かくやり取りさせていただきましたが、対応がとても速くて、丁寧だなという印象を受けました。またAWSに関する技術的な内容についても、こちらが分かるように詳しく説明してくださいました。その際にも無駄なコミュニケーションがなく、一回のやり取りで必要な情報を全て出してくれました。atone.のシステムはv4.0準拠に加えて、今後さらなる機能強化も進めていく予定です。サーバーワークスには引き続き、心強い支援を期待しています」

春田氏「繰り返しになりますが、PCI DSSとAWSの両方に詳しいITパートナーは、サーバーワークスが唯一無二と言っても過言では無いと考えています。今後もご支援いただく場面は必ず出てくると考えています。その際には改めて豊富な知見をお借りできればと思います」

担当プロジェクトメンバー

カスタマーサクセス部 ＣＳ３課

松井 紀樹

電機メーカーのカスタマーエンジニアとして、データセンターに構築するサーバーラッキングや工事関係の仕事に従事。
2021年からサーバーワークスに入社後はエンタープライズのお客様を中心に、AWSアカウント環境のセキュリティ強化、運用の巻取り、コスト改善などの技術支援を担当させていただいている。
2023 Japan AWS All Certifications Engineersに選出。好きなAWSサービスはAWS Transit Gateway。
ちいかわと筋肉を愛するエンジニア。

エンタープライズクラウド部 技術４課

小林 嵩生

各種企業様のインフラ設計構築や、1000台以上のオンプレ・仮想基板・AWS上のインフラ運用に従事。
2020年にサーバーワークスへジョイン。
大規模顧客を中心に導入～設計構築～運用まで、またサーバレス化やセキュリティ強化などに従事。
2022、2023 Japan AWS All Certifications Engineersに選出。
好きな AWS サービスは AWS サポート。泥臭い調査対応をいつも一緒にありがとう御座います。

エンタープライズクラウド部 技術１課

水本 正敏

国内ベンダーのカスタマーエンジニアを経て、AWS未経験で2019年にサーバーワークスに入社。
プリセールス及び初期導入案件を中心に従事しつつ、駆け出しの課長として日々奮闘中。
「お客様の課題解決の為ならAWSだけに囚われるな」を心情としています。
好きなAWSサービスはCloudFormation。