PCI DSSに準拠したカードアクワイアリングシステムを AWS で構築

株式会社琉球銀行はUnionPay(銀聯)のアクワイアリング業務に伴うカードアクワイアリングシステムの構築にあたり、サーバーワークスにAWS環境の構築と運用を依頼いただきました。国際的なクレジット産業向けのデータセキュリティ基準「PCI DSS」にも準拠し、インバウンドにおけるキャッシュレス決済の基盤を強化しました。
本事例ではサーバーワークスの支援内容や、その評価について紹介します。
事例のポイント
Before
お客様の課題
- PCI DSS 基準に準拠した AWS基盤を 1 から設計・構築する必要があった
- 運用においても、厳しい基準を満たす体制の確立が必要だった
After
課題解決の成果
- 琉球銀行様や関連ベンダー様との密なコミュニケーションでスピーディに要件を確定し、PCI DSS 基準に準拠した基盤を構築
- PCI DSS 基準の準拠を満たす運用・監視体制を確立し、基盤の安定運用をサポート
導入サービス
Index
かねてからクレジットカード事業に注力。沖縄の「キャッシュレスアイランド化」を目指して
地方銀行を取り巻く環境が厳しくなるなか、琉球銀行は課題解決の一手としていち早くクレジットカード事業に注力してきました。
決済方法の多様化に対応すべく、2017 年には「キャッシュレスアイランド」構想を掲げ、キャッシュレス支援ビジネスに本格参入し、同年からVisa、Mastercardのアクワイアリング業務(加盟店契約締結業務)をスタートさせました。
その後、国際決済ブランドであるUnionPay(銀聯)のアクワイアリングにおけるプリンシパルライセンス(直接契約できるライセンス)を取得し、同決済サービスのアクワイアリング業務を開始しました。
総合振込機能を有する銀行本体がアクワイアラとなることで、加盟店に対して手数料不要で売上金を毎日締めて送金できるため、加盟店の資金繰りに貢献できるというメリットを生み出すことが期待されていました。
銀聯のアクワイアリングシステムを AWS 環境で実装。最大の課題が「PCI DSS」への準拠
同行は、銀聯のアクワイアリング業務を進めるうえで必要となる基盤システムをスクラッチで独自開発することを決定。コンサルティングやアプリ開発など複数のベンダーが参画するなか、AWS環境で実装するために、インフラの要件定義や設計、実装、運用の設計や運用後の監視といった領域をサーバーワークスに依頼いただきました。
開発を進める際、最大の課題となったのが、クレジットカード業界の国際的な情報セキュリティ基準である「PCI DSS」に準拠しなければならないということでした。
PCI DSS では、安全なネットワークの構築やカード会員データの保護など 12 の要件に基づいて約 400 の要求事項が設けられています。
Visa、Mastercard のアクワイアリング業務における基盤システムは、PCI DSS に準拠した ASPのパッケージサービスで構築しましたが、そのサービスでは銀聯の取り扱いがなかったことが、フルスクラッチ開発を選択した大きな理由でした。
開発だけでなく、センターの運用面も含めて準拠に対応していかなければならず、ヒト・モノ・カネを巻き込んで未知の領域に踏み込む非常にチャレンジングな取り組みで当初は不安も大きいものでした。
両社のチャレンジスピリットがシナジーを生み、前例のない開発を成功に導いた
AWS環境での実装を実現するうえで、同行がサーバーワークスを選んだ理由は「積極性」と「柔軟性」の 2 点でした。
■ 積極性
コンサルティング会社にPCI DSS 準拠を前提としたシステム開発にあたってコンサルを依頼し、システムの要件を詰めていくのと同時並行でサーバーワークスに見積もりを依頼。システムの構成や設計の詳細が確定していないなかでも積極的な支援を行ったこと、タイトなスケジュールのなかで対応したことが評価されました。
また、綿密にやりとりを重ねるなど、サーバーワークスの積極性には心情的にも助けられたとのコメントもいただき、同行のトライアンドエラーで進めていく社風から、サーバーワークスの姿勢に非常に共感いただきました。
■ 柔軟性
PCI DSS に準拠したシステムを運用するうえでサーバーワークス側にもベンダーとしての準拠が必要となったが、社内議論を早急にまとめて準拠を即断。意思決定の早さや柔軟な発想が高く評価されました。また、同行の環境に合わせてサーバー監視の体制・設計内容をフレキシブルにカスタマイズしたことも重要な観点でした。
開発において、AWSはインターネット経由での通信を前提になるものの、PCI DSS に関しては通信を最小限に限定することが大原則であるため、これを実現するために VPC エンドポイントを活用し、アプリベンダーとの調整を重ねながら、構築と検証を繰り返しました。
また、PCI DSS に準拠した運用の専門チームを設け、チームメンバーしかシステムにアクセスできないようにすることで、琉球銀行の運用基盤を確立しました。

AWS によるオートスケーリングな構成で環境変化にも柔軟に対応できるシステムを実現
現在、同行の銀聯アクワイアリング業務用システムは安定的に稼働を続けており、訪日観光客も増加していることから本格的な利用が始まっています。
複数のベンダーが円滑にコミュニケーションをとり、運用後の設計変更にも迅速かつ柔軟に対応。コストの観点からサーバースペックのダウングレードを実行した際は、サーバーワークスがアプリベンダーと連絡をとり、アラートが出ないように静観対応を実施しました。
オンプレミスと比較し、物理的サーバー管理に関する人的リソースを削減できたこと、オートスケーリング構成や Reserved Instance/Savings Plans などの割引サービスにより、ビジネス環境の変化に合わせてスペックを柔軟にコントロールできる点に大きなメリットを感じていると評価いただきました。
同行では、銀聯カードアクワイアリング事業を成功例として多種多様な決済ブランドへの対応を続け、経営層が掲げる『沖縄のキャッシュレスアイランド化』を推進しています。
サーバーワークスは今回の構築・運用支援プロジェクトを通じて、AWS 運用代行サービスにおける国際的セキュリティ基準「PCI DSS v 4.0.1」に準拠した認定を取得しました(2024年12月時点)。

担当エンジニア紹介

株式会社琉球銀行様
米軍統治下の1948年に沖縄経済を支える金融機関として設立。本土復帰を控えた1972年の春、株式会社へ組織変更するとともに米国軍政府が保有していた当行株式を県民へ開放して再スタート。「地域から親しまれ、信頼され、地域社会の発展に寄与する銀行」を経営理念として、さまざまな金融商品・サービスを展開している
※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。
選ばれる3つの理由
-
Reason 01
圧倒的な実績数による
提案力とスピード- 導入実績
- 1,410 社
- 案件実績
- 24,500 件
-
Reason 02
AWS認定の最上位
パートナーとしての技術力 -
Reason 03
いち早くAWS専業に
取り組んだ歴史