PCI DSSに準拠したカードアクワイアリングシステムを AWS で構築

地方銀行を取り巻く環境が厳しくなるなか、琉球銀行は課題解決の一手として以前からクレジットカード事業に力を入れています。決済方法の多様化に対応すべく、2017年に「キャッシュレスアイランド」構想を掲げ、キャッシュレス支援ビジネスに本格参入。同年からVisa、Mastercardのアクワイアリング業務（加盟店契約締結業務）を開始しました。さらに2022年には国際決済ブランド、UnionPay（銀聯）のアクワイアリングにおけるプリンシパルライセンス（直接契約できるライセンス）を取得し、アクワイアリング業務をスタートしました。

銀行がアクワイアラとなって国際決済ブランドと加盟店を取り次ぐことで、加盟店にもメリットがあると、伊藤氏は次のように語ります。

「総合振込機能を有する銀行本体がアクワイアラとなることで、加盟店に対して手数料不要で売上金を毎日締めて送金できるため、加盟店の資金繰りに貢献できます」

同行は、銀聯のアクワイアリング業務を進めるうえで必要となる基盤システムをスクラッチで独自開発すること決定。コンサルティングやアプリ開発など、複数のベンダーが参画するなか、 AWS 環境で実装するために、インフラの要件定義や設計、実装、運用の設計や運用後の監視といった領域をサーバーワークスに依頼しました。

開発を進める際、最大の課題となったのが、クレジットカード業界の国際的な情報セキュリティ基準である「PCI DSS」に準拠しなければならないということでした。

PCI DSSでは、安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約 400 の要求事項が設けられています。

伊藤氏「Visa、Mastercardのアクワイアリング業務における基盤システムは、PCI DSSに準拠したASPのパッケージサービスで構築しましたが、そのサービスでは銀聯の取り扱いがなかったため、フルスクラッチで開発する必要がありました。開発だけでなく、センターの運用面も含めて準拠に対応していかなければならず、ヒト・モノ・カネを巻き込んでいかなければなりません。弊行としても未知の領域に踏み込む、非常にチャレンジングな取り組みで不安も大きかったです」

AWS 環境での実装を実現するうえで、同行がサーバーワークスを選んだ理由は「積極性」と「柔軟性」の2点だったと伊藤氏は語ります。

・積極性
伊藤氏「今回はコンサルティング会社さんにPCI DSS準拠を前提としたシステム開発にあたってコンサルを依頼し、システムの要件を詰めていくのと同時並行でサーバーワークスさんに見積もりをお願いしました。システムの構成や設計の詳細が確定していないなかでも、積極的にご支援していただき、タイトなスケジュールのなかで対応していただきました。かなり綿密に電話でのやりとりを重ね、サーバーワークスさんの積極性には心情的にも助けられました。弊行にもトライアンドエラーで進めていく社風があるので、サーバーワークスさんの姿勢には非常に共感できました」

・柔軟性
伊藤氏「PCI DSSに準拠したシステムを構築するうえで、サーバーワークスさんにもベンダーとして準拠してもらわなければなりませんでした。とはいえ、サーバーワークスさんがカード事業を展開しているわけではないので、社内でも議論があったのではないかと推察しますが、準拠を即断いただけました。意思決定の早さや柔軟な発想は大変ありがたかったです。また、サーバー監視の体制についても細かく弊行の環境に合わせて設計内容をカスタマイズしていただけました」

開発において、通常 AWS はインターネット経由での通信が前提になりますが、PCI DSSに関しては通信をプライベートに限定し、インターネットを経由しないことが大原則になります。これを実現するためにVPCエンドポイントを活用し、アプリベンダーとの調整を重ねながら、構築と検証を繰り返していきました。

また、PCI DSSに準拠した運用の専門チームを設け、チームメンバーしかシステムにアクセスできないようにすることで、琉球銀行専用の運用基盤を確立しました。

2022年から開始した同行の銀聯アクワイアリング業務。システムは安定的に稼働中。コロナ禍による入国制限の影響もあり、本格的な利用が進むのはこれからになりそうです。

伊藤氏「複数のベンダーさんが円滑にコミュニケーションをとり、運用後の設計変更にも迅速かつ柔軟に対応していただけています。直近でもコストの観点でサーバーのスペックをダウングレードさせましたが、そのときはサーバーワークスさんがアプリベンダーと連絡をとり、アラートが出ないように静観対応いただけました」

また、 AWS で環境を構築したことで、オンプレと比較し、物理的なサーバー管理に関する人的リソースのコスト削減などにも確実に効果を感じているそうです。

さらに、オンプレでは実現できないオートスケーリングの構成や、 Reserved Instance や Savings Plans といった割引やコストバランスをとるサービスがあり、ビジネス環境の変化に合わせてスペックを柔軟にコントロールできることも AWS の魅力だと、伊藤氏は話しました。

最後に、同行の事業におけるこれからの展望についてお聞きしました。

伊藤氏「今回の銀聯カードアクワイアリング事業を成功例として、これからも多種多様な決済ブランドに対応し、弊行の頭取、川上が掲げる『沖縄のキャッシュレスアイランド化』を推進していきたいです。長きにわたる新型コロナウイルスのまん延が収束して、自由に旅行や海外渡航をできる日が1日も早く戻り、多くの人が安心安全なキャッシュレス決済を通じて交流できることを願っています」

サーバーワークスはこの構築により、 AWS 運用代行サービスにおいて国際的セキュリティ基準「PCI DSS ver 3.2.1」完全準拠認定を取得。また、 AWS を活用したPCI DSS準拠ナレッジを発信するコンソーシアム 「PCI DSS  AWS  Users Consortium Japan（PCI DSS AUC Japan）」 を、同行を含む5社で発足しました。

PCI DSSに準拠した AWS 導入をお考えの方は、ぜひサーバーワークスにお問い合わせください。

担当エンジニア紹介

クラウドインテグレーション2部 技術2課

大川 出

金融機関のお客様を担当するメインフレームのエンジニアとしてキャリアをスタートし、SIerやネットワーク機器メーカーを経て、2021年にサーバーワークスへ入社。
これまでの経験を生かしてAWSのネットワークをメインに担当。
沖縄からのフルリモートワークで「クラウドで、世界を、もっと、はたらきやすく」を身をもって体感中。
好きなAWSサービスはAWS Network Firewall、AWS Transit Gateway。

クラウドインテグレーション2部 技術1課

水本 正敏

国内ベンダーのカスタマーエンジニアを経て、AWS未経験で2019年にサーバーワークスに入社。
プリセールス及び初期導入案件を中心に従事しつつ、駆け出しの課長として日々奮闘中。
「お客様の課題解決の為ならAWSだけに囚われるな」を心情としています。
好きなAWSサービスはCloudFormation。