「わくわく」を広げる銀行を目指し、行員と力を合わせアイディアの創出に励んでいる琉球銀行。同行の伊藤 彰記 氏に、PCI DSS 準拠を促進するクラウドサービス「PCI DSS Ready Cloud AWS モデル」の導入のきっかけや導入後の効果などについてお聞きしました。
株式会社琉球銀行 様
“PCI DSS Ready Cloudは、カード会員データを取り扱う事業者が効率的かつ安心してシステムや業務を構築・運用していくのに非常に有用なサービスですね”
AWSモデル
導入事例のPOINT
- PCI DSS準拠に必要なサービスがパッケージ化されており、マネージド・サービスも充実
- クレジット会員データの適切な保護に関して、技術面で適切なアドバイスをいただけたことで地に足をつけてPCI DSSと向き合うことが可能に
- コンサルティングで準拠範囲、必要なコンポーネント、各社の役割分担が明確化された。
出席者の役割について教えて下さい。
伊藤氏:琉球銀行ペイメント事業部に所属し、UnionPay (銀聯)のアクワイアリング業務開発、運用設計を担当しています。当行では地方銀行の新たな収益機会の創出として早くからカード事業に参入していますが、ペイメント事業部は銀行本体でのキャッシュレス推進や各種ペイメントブランドとの提携、アクワイアリング業務を主管している部署です。
システムの概要についてお聞かせください。
伊藤氏:当行は2017年よりVisa、Mastercardブランドのアクワイアリング業務を行っています。昨年、銀聯のアクワイアリングにおけるプリンシパルメンバーライセンスを取得したことから、観光立県である沖縄のインバウンド需要の取込みを企図し、銀聯アクワイアリング業務開発プロジェクトが始動しました。
プロジェクト期間は概ね1年間で、銀聯専用のアクワイアリングシステムのスクラッチ開発をメインとし、決済端末センターやオーソリネットワーク、加盟店管理システムの追加開発や導入、ブランド試験や各システムの運用設計、業務設計を整えて、2022年2月15日より稼働しています。
PCI DSS準拠の課題とPCI DSS Ready Cloudを知ったきっかけについて教えて下さい。
伊藤氏:銀行本体のアクワイアリング業務は、元独立系信販会社を含めたグループ会社や業務委託先を含め複数社の協力によって成り立っています。
2017年より開始したVisa、Mastercardブランドのアクワイアリング事業はブランド接続やオーソリ、一部加盟店管理についてASPサービスを利用していることから、PCI DSSを含め運用のハードルが比較的軽かったのですが、銀聯ブランドについては当行の環境に適合するASPサービスが無かったこともあり、プロジェクト始動前よりスクラッチでの構築を検討していました。
課題となったのは、新たに構築したシステムのPCI DSS準拠です。
アクワイアリングシステムは保守コストの低減と、当行内のインフラ環境との親和性の観点で、パブリッククラウドであるAWS上にアプリケーション構築することを想定していました。
AWS環境で構築したアプリケーションをどのようにPCI DSS準拠させればよいか、関係グループ会社も含め協議しましたが、コスト面や構築環境や違いから、なかなか活路を見出せない中で、AWSプレミアムパートナーであり当行カード関連システム上でAWS運用/監視等サービスを利用するサーバーワークスのリンクとの共同ウェビナーで、PCI DSS Ready Cloudの存在を知りました。
PCI DSS Ready CloudにはAWSモデルの用意があり、今回開発の要件にマッチしていたことや、当行がどのような立場でどの項目にPCI DSS準拠しなければならないのか、といった整理をコンサルティングによって明らかにできたことが、良い意味でプロジェクト組成に大きく影響しました。
PCI DSS Ready Cloudを採用された理由についてお聞かせください
伊藤氏:PCI DSS Ready Cloudを選定した理由は、事前の細かなヒアリングおよびコンサルティングを提供いただけたこと、またAWS上に構築されるアプリケーションをシステム面・運用面の両方からPCI DSS準拠させるために必要なサービスが揃っていたことが一番のポイントです。
当行は従来、AWSを行内の業務システムやカード関連システムに組み込んできたこともあり、オンプレ開発を選択する想定はありませんでした。
本格的なカードアクワイアリングシステムをAWS上で稼働させている実例をあまり見かけない中、ログ監視、セキュリティグループルールセットレビュー、脆弱性スキャンといったPCI DSS準拠に必要なシステム構成や運用サービスが充実するともに、クレジット会員データの適切な保護や処理に係る通信の向き、PANの経路など、必要な対応をアドバイスいただけたことで、地に足をつけてPCI DSSと向き合うことが出来ました。
このようなソリューションサービスはPCI DSS Ready Cloudを以って他に見当たらないのではないかと思いますね。
選んで良かった点、効果について教えてください。
伊藤氏:PCI DSS Ready Cloudは、ある程度パッケージ化されたサービスである一方、運用保守サービスであるマネージド・サービスも充実しています。新規開発するシステムの構成や要件定義の段階からコンサルティングいただけたことで、非常に効率よくシステム構築を行うことができたと思います。
また、運用面では、コンサルティングでPCI DSS対象範囲と本当に必要なセキュリティコンポーネントを明確にしていただき、入り組んだ各社の運用役割の分担についても細かく相談に乗っていただけたことでしっかりとした運用設計を行えたことが良かったですね。そのほか、パッケージのカスタマイズや設計仕掛中の運用の見直しなど、プロジェクトが走り続ける中で、常に柔軟かつスピーディーに対応していただけたことも感謝に堪えない点の一つです。
導入後の効果について、リリース後間もないため今後実感出来てくるものと思いますが、システムの運用役割について分担を細部に至るまで認識合わせをしていたこともあり、リリース前後に大きなトラブルもなく、安定稼働しています。
サービスの要望や今後の期待があればお聞かせください。
伊藤氏:昨今カード事業全般の多角化が進むにつれ、システムの脆弱性を突いた情報漏えい事案が世間をにぎわせ、事業の継続を揺るがす社会問題となりつつあります。そのような中、PCI DSSも4.0へメジャーバージョンアップします。カード事業を生業とする者でも、PCI DSSの要件を適切に理解し運用することは、求められていることでありながらハードルが高い面もあると感じます。
その中で、PCI DSS Ready Cloudは、カード会員データを取り扱う事業者が効率的かつ安心してシステムや業務を構築・運用していくのに非常に有用なサービスですね。
今後も事業者(ユーザー)目線に立ったシステムカスタマイズと、業界トレンドをタイムリーに取り入れた運用サービスの提供を期待しています。また、AWS関連でよく見かけるSavingsPlanなどのように期間や利用に応じた柔軟な料金体系のラインナップを充実させていただけると、事業者観点でより長期的なサービス利用に繋がるのではないかと思いますので、引き続きよろしくお願いいたします。
取材日:2022年4月 所属、業務内容、写真、インタビュー内容は取材当時のものです。
企業情報
| 社名 | 株式会社琉球銀行 |
|---|---|
| 代表者 | 取締役頭取 川上 康 |
| 本社所在地 | 沖縄県那覇市東町2番1号 那覇ポートビル |
| 事業内容 | 普通銀行業務(地方銀行) 預金業務、融資業務、コンサルティング業務、国際業務、証券業務、投資信託の販売業務、保険の窓口販売業務 他 |
| U R L | https://www.ryugin.co.jp/ |
琉球銀行は、日々の企業活動を通して、皆さまに「すてき」と言っていただけるような商品やサービスを提案し、「わくわく」する体験をご提供します。
「わくわく」する気持ちは自然に人から人へ伝わり、広がります。
私たちは「わくわく」を広げる銀行を目指し、行員と力を合わせアイディアの創出に励んでいきます。