株式会社ジーニー 様

“PCI DSS準拠のために、自社エンジニアによる内製化よりもPCI DSS Ready Cloud AWSモデルの利用を選択しました。構築から運用まですべてワンストップで提供され、既存のサービスに組み込む手順まで整理された点を高く評価しています。”

AWSモデル

インターネット広告の売買に関する「広告プラットフォーム事業」と、マーケティングの効率化するソフトウェアを提供する「マーケティングSaaS事業」を展開するジーニー
同社のGENIEE CHAT事業開発部の中島 潤氏と胡 恩召氏に、PCI DSS 準拠を促進するクラウドサービス「PCI DSS Ready Cloud AWS モデル」の導入のきっかけや導入後の効果などについてお聞きしました。

導入事例のPOINT
  • AWSで用意がないセキュリティ対策も含めて、PCI DSS Ready Cloudであればすべてワンストップで提供されることを高く評価
  • サービスリリースの自動化が可能なシステム構成のため、PCI DSSを維持・運用しながらも開発スピードが落ちることはなかった。
  • PCI DSS Ready Cloudのセキュリティコンポーネントが提供するダッシュボードに情報が集約されているので、しっかり運用ができていることが可視化できた。

出席者の役割について教えて下さい。

中島氏:チャット事業のインフラ全般を担当しています。昨年まで「GENIEE CHAT」の開発リーダーをしていました。GENIEE CHATは以前Chamoというシステムで、今年度からサービス名称を変更しています。
GENIEE CHAT https://chamo-chat.com/

胡氏:GENIEE CHAT事業の開発チームで部長代理およびエンジニアリングマネージャーとして、開発全般を管轄しています。

PCI DSS準拠の対象となったサービスについて教えてください。

中島氏:対象となったシステムはGENIEE CHATです。GENIEE CHATを当社では「チャット型Web接客プラットフォーム」と呼んでいます。商品を紹介するWebページに、チャット形式のウィジェットを表示して、ウェブ上での接客をサポートいたします。具体的にはオペレーターとのチャットや、ボットによるFAQ対応、チャット形式でフォームへの入力をアシストするチャットEFOなどの機能を備えています。

胡氏:従来のフォームの場合、多くの項目数を入力して、その後購入をされます。当社のチャットは、EFO(Entry Form Optimization:入力フォーム最適化)を意識しているので顧客体験価値を向上させコンバージョン率(CVR)が高く、利用者の質問に回答しながら、買い物まで繋げられるサービスです。入力の途中で離脱しても、再訪問時には入力情報を引き継いだ状態から、フォームへの入力を再開できます。GENIEE CHATのチャットEFOを設置することでCVRが1.2~2倍向上出来ます。

PCI DSS準拠を検討したきっかけについて教えてください。

中島氏:GENIEE CHATをご利用いただいている事業者様から、チャットEFOによるフォームへの入力に加えて、ECサイトでのクレジットカード決済までをチャット形式で完結させたいという要望をいただいたことがきっかけです。
クレジットカード情報を取り扱う場合、カード会員情報の保護を目的としたセキュリティ基準であるPCI DSSに準拠したシステムを用いる必要がありますので、それに準拠することへの検討を開始しました。

胡氏:大半のお客さまはクレジットカード払いを希望されるので、PCI DSSに準拠できれば、よりお客さまの要望にお応えできるという経緯ですね。ECサイトのお客さまがクレジットカードを入力するシーンを想定して、どのような利用シーンの場合、PCI DSSに準拠する必要があるのか、どうすれば準拠が可能かを問い合わせしました。

PCI DSS準拠に向けて、どのようなサービスを比較、検討されましたか?

中島氏:リンクが提供するPCI DSS Ready Cloudの他には、コンサルティング会社を含めて2社をメインで検討しました。
内製化も検討してみましたが、社内にはPCI DSS準拠の前例がなく、要件も複雑であるため苦戦が予想されました。

PCI DSS Ready Cloudを採用された理由について、お聞かせください。

中島氏:PCI DSS Ready Cloudを選定した理由は2点あって、1点目は、PCI DSS準拠に関するノウハウを持ったエンジニアが不在のため、実際にPCI DSSを構築、運用するためには、非常に大きなコストがかかる懸念があった点です。
2点目は、GENIEE CHATが、当時も今も機能の追加開発が活発に行われているので、その開発スピードを妨げたくなかったという点です。可能な限り少ない工数で準拠したいという思いがありましたので、総合的に考えると内製化よりもサービスを利用した方がいいという判断になりました。

内製化とPCI DSS Ready Cloudの比較について、詳しく教えて下さい。

中島氏:内製化を含めた選択肢の検討については、メリットデメリットをまとめて社内で議論しました。外部サービスを利用する大きなメリットは、先程お伝えしたようにGENIEE CHATの開発スピードや、リソースが妨げられないことです。他にも、PCI DSSは準拠して終わりではなくて、運用しなければならないことは認識していましたので、PCI DSS Ready Cloudは、構築後もしっかり運用までの手順をカバーされている点は魅力的でした。最終的にPCI DSS Ready Cloudのイニシャルコストとランニングコストを経営陣に提示、了承を得て無事プロジェクトがスタートしました。

PCI DSS Ready Cloudを選んで良かった点を教えて下さい。

中島氏:PCI DSS準拠するための必要なセキュリティ対策は、AWSでも構築可能と言われています。ただ実際には、PCI DSSの要件をしっかりと理解した上で、必要なセキュリティサービスを的確に組み合わせなければいけません。また、AWSで十分な用意がないセキュリティ対策は、別途自社で選定、構築、運用する必要があります。PCI DSS Ready Cloudであれば、すべてワンストップで提供され、なおかつ既存のサービスに組み込む手順まで整理していただけます。とても助かりましたね。
当社にはPCI DSSに関するノウハウを持ったエンジニアが不足していたので、運用までの手順もカバーしていただけたのはとても安心感がありました。

PCI DSS Ready Cloudの納品、運用、サポートなどの評価を教えて下さい。

中島氏:2021年8月頃、環境の引き渡しが行われました。お盆がありましたが、遅れることなくスムーズに納品していただいたので大変感謝しています。新たなインフラが必要な場合も、移行が簡単にできるよう準備いただいたおかげで、作業時間が最低限で済んだのは本当にありがたかったですね。
構築だけではなくて、自分たちで運用できる環境が整っています。PCI DSS Ready Cloudのセキュリティコンポーネントが提供するダッシュボードに情報が集約されており、しっかり運用ができているというのが可視化できるので、非常にスムーズでやりやすいですね。
サポートに関しても、準拠に関して何度も質問させていただきましたが、リンクのエンジニア担当者は、早いスパンで的確な回答をいただけたのもすごく助かりましたね。

その他にも、導入後の効果があれば教えてください。

中島氏:PCI DSSの管理下で、ソフトウェアのリリースを行う手順や工数がとても大きくなってしまい開発の妨げになるのではという懸念がありました。
PCI DSSを維持運用しながらも、サービスリリースの自動化が可能な構成を組んでいただいたおかげで、PCI DSS 準拠後もGENIEE CHATの開発スピードが落ちるといった影響はほぼありませんね。

サービスの要望や今後の期待があればお聞かせください。

中島氏:今後のPCI DSS Ready Cloudが、サーバレス、あるいはコンテナ形式など、よりモダンなインフラを前提とした使いやすいサービスになっていくことを期待しています。
また、PCI DSSの最新バージョン4.0が発表されたとのことで、必要な機能や追加要件など、教えていただければと思いますので、引き続きよろしくお願い致します。
取材日:2022年5月 所属、業務内容、写真、インタビュー内容は取材当時のものです。

GENIEE CHAT事業開発部
中島 潤氏(左)
胡 恩召氏(右)
企業情報
社名株式会社ジーニー
代表者代表取締役社長 工藤 智昭
所在地東京都新宿区西新宿6-8-1 住友不動産新宿オークタワー5/6階
事業内容広告プラットフォーム事業/マーケティングSaaS事業/海外事業
U R Lhttps://geniee.co.jp/

ジーニーは、2010年4月に設立して以降、毎年売上高が倍々成長を続けており、主力事業であるGENIEE SSPは創業6年で国内No.1規模へ拡大しました。また、DSPやDMP、マーケティングオートメーション等を次々と独自開発し、事業領域を着々と拡大しています。さらに、ベトナムやインドネシア、タイ、シンガポール等、成長著しいアジア諸国にも拠点を設け、独自のプロダクトを提供することで、広告収益の最大化・最適化に貢献しています。