PCI DSSに準拠したカードアクワイアリングシステムを AWS で構築
クレジット産業の国際的なセキュリティ基準に対応した体制で銀行の AWS 環境を構築。導入後は24時間365日の保守で安定運用を実現しています。

2022.09.28 掲載
株式会社琉球銀行は、2022年からUnionPay(銀聯)のアクワイアリング業務を開始しました。カードアクワイアリングシステムの構築にあたり、同行はサーバーワークスに AWS 環境の構築と運用を依頼。国際的なクレジット産業向けのデータセキュリティ基準「PCI DSS」にも準拠し、インバウンドにおけるキャッシュレス決済の基盤をさらに強化しました。サーバーワークスが行った支援の内容や、その評価について、同行 ペイメント事業部 伊藤彰記氏に伺います。
事例のポイント
- お客様の課題
-
- PCI DSS基準に準拠した AWS 基盤を1から設計・構築する必要があった
- 運用に於いても、厳しい基準を満たす体制の確立が必要だった
- 課題解決の成果
-
- 琉球銀行様や関連ベンダー様との密なコミュニケーションでスピーディに要件を確定し、PCI DSS基準に準拠した基盤を構築
- PCI DSS 基準の準拠を満たす運用・監視体制を確立し、基盤の安定運用をサポート

株式会社琉球銀行様
米軍統治下の1948年に沖縄経済を支える金融機関として設立。本土復帰を控えた1972年の春、株式会社へ組織変更するとともに米国軍政府が保有していた当行株式を県民へ開放して再スタート。「地域から親しまれ、信頼され、地域社会の発展に寄与する銀行」を経営理念として、さまざまな金融商品・サービスを展開している
お話をお伺いした方
ペイメント事業部
調査役 伊藤 彰記 氏
- ※この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。
目次
かねてからクレジットカード事業に注力。沖縄の「キャッシュレスアイランド化」を目指して
地方銀行を取り巻く環境が厳しくなるなか、琉球銀行は課題解決の一手として以前からクレジットカード事業に力を入れています。決済方法の多様化に対応すべく、2017年に「キャッシュレスアイランド」構想を掲げ、キャッシュレス支援ビジネスに本格参入。同年からVisa、Mastercardのアクワイアリング業務(加盟店契約締結業務)を開始しました。さらに2022年には国際決済ブランド、UnionPay(銀聯)のアクワイアリングにおけるプリンシパルライセンス(直接契約できるライセンス)を取得し、アクワイアリング業務をスタートしました。
銀行がアクワイアラとなって国際決済ブランドと加盟店を取り次ぐことで、加盟店にもメリットがあると、伊藤氏は次のように語ります。
「総合振込機能を有する銀行本体がアクワイアラとなることで、加盟店に対して手数料不要で売上金を毎日締めて送金できるため、加盟店の資金繰りに貢献できます」

銀聯のアクワイアリングシステムを AWS 環境で実装。最大の課題が「PCI DSS」への準拠
同行は、銀聯のアクワイアリング業務を進めるうえで必要となる基盤システムをスクラッチで独自開発すること決定。コンサルティングやアプリ開発など、複数のベンダーが参画するなか、 AWS 環境で実装するために、インフラの要件定義や設計、実装、運用の設計や運用後の監視といった領域をサーバーワークスに依頼しました。
開発を進める際、最大の課題となったのが、クレジットカード業界の国際的な情報セキュリティ基準である「PCI DSS」に準拠しなければならないということでした。
PCI DSSでは、安全なネットワークの構築やカード会員データの保護など、12の要件に基づいて約 400 の要求事項が設けられています。
伊藤氏「Visa、Mastercardのアクワイアリング業務における基盤システムは、PCI DSSに準拠したASPのパッケージサービスで構築しましたが、そのサービスでは銀聯の取り扱いがなかったため、フルスクラッチで開発する必要がありました。開発だけでなく、センターの運用面も含めて準拠に対応していかなければならず、ヒト・モノ・カネを巻き込んでいかなければなりません。弊行としても未知の領域に踏み込む、非常にチャレンジングな取り組みで不安も大きかったです」
両社のチャレンジスピリットがシナジーを生み、前例のない開発を成功に導いた
AWS 環境での実装を実現するうえで、同行がサーバーワークスを選んだ理由は「積極性」と「柔軟性」の2点だったと伊藤氏は語ります。
・積極性
伊藤氏「今回はコンサルティング会社さんにPCI DSS準拠を前提としたシステム開発にあたってコンサルを依頼し、システムの要件を詰めていくのと同時並行でサーバーワークスさんに見積もりをお願いしました。システムの構成や設計の詳細が確定していないなかでも、積極的にご支援していただき、タイトなスケジュールのなかで対応していただきました。かなり綿密に電話でのやりとりを重ね、サーバーワークスさんの積極性には心情的にも助けられました。弊行にもトライアンドエラーで進めていく社風があるので、サーバーワークスさんの姿勢には非常に共感できました」
・柔軟性
伊藤氏「PCI DSSに準拠したシステムを構築するうえで、サーバーワークスさんにもベンダーとして準拠してもらわなければなりませんでした。とはいえ、サーバーワークスさんがカード事業を展開しているわけではないので、社内でも議論があったのではないかと推察しますが、準拠を即断いただけました。意思決定の早さや柔軟な発想は大変ありがたかったです。また、サーバー監視の体制についても細かく弊行の環境に合わせて設計内容をカスタマイズしていただけました」
開発において、通常 AWS はインターネット経由での通信が前提になりますが、PCI DSSに関しては通信をプライベートに限定し、インターネットを経由しないことが大原則になります。これを実現するためにVPCエンドポイントを活用し、アプリベンダーとの調整を重ねながら、構築と検証を繰り返していきました。
また、PCI DSSに準拠した運用の専門チームを設け、チームメンバーしかシステムにアクセスできないようにすることで、琉球銀行専用の運用基盤を確立しました。

AWS によるオートスケーリングな構成で環境変化にも柔軟に対応できるシステムを実現
2022年から開始した同行の銀聯アクワイアリング業務。システムは安定的に稼働中。コロナ禍による入国制限の影響もあり、本格的な利用が進むのはこれからになりそうです。
伊藤氏「複数のベンダーさんが円滑にコミュニケーションをとり、運用後の設計変更にも迅速かつ柔軟に対応していただけています。直近でもコストの観点でサーバーのスペックをダウングレードさせましたが、そのときはサーバーワークスさんがアプリベンダーと連絡をとり、アラートが出ないように静観対応いただけました」
また、 AWS で環境を構築したことで、オンプレと比較し、物理的なサーバー管理に関する人的リソースのコスト削減などにも確実に効果を感じているそうです。
さらに、オンプレでは実現できないオートスケーリングの構成や、 Reserved Instance や Savings Plans といった割引やコストバランスをとるサービスがあり、ビジネス環境の変化に合わせてスペックを柔軟にコントロールできることも AWS の魅力だと、伊藤氏は話しました。
最後に、同行の事業におけるこれからの展望についてお聞きしました。
伊藤氏「今回の銀聯カードアクワイアリング事業を成功例として、これからも多種多様な決済ブランドに対応し、弊行の頭取、川上が掲げる『沖縄のキャッシュレスアイランド化』を推進していきたいです。長きにわたる新型コロナウイルスのまん延が収束して、自由に旅行や海外渡航をできる日が1日も早く戻り、多くの人が安心安全なキャッシュレス決済を通じて交流できることを願っています」

サーバーワークスはこの構築により、 AWS 運用代行サービスにおいて国際的セキュリティ基準「PCI DSS ver 3.2.1」完全準拠認定を取得。また、 AWS を活用したPCI DSS準拠ナレッジを発信するコンソーシアム 「PCI DSS AWS Users Consortium Japan(PCI DSS AUC Japan)」 を、同行を含む5社で発足しました。
PCI DSSに準拠した AWS 導入をお考えの方は、ぜひサーバーワークスにお問い合わせください。
担当エンジニア紹介
AWS導入・活用に関するご相談はサーバーワークスへ
関連する導入事例
-
Amazon QuickSightで新たなBI環境を構築し、データドリブン経営を強化ダッシュボード上で可視化されたデータによるマネジメント層の高度な意思決定が実現
「データドリブン経営を強化していく上で、既存のBIツールにはないAmazon QuickSightの使い勝手の良さは魅力的でした。利用時間に応じた従量課金に対応していることも評価ポイントになりました」
2023.11.28 掲載
-
産業用IoTサービスを支えるクラウド基盤をAWSで構築。サーバーワークスの支援で技術面のノウハウ不足を補い、内製での映像ソリューション開発を実現
横河電機の社内環境や業務フローに精通し、AWSに関する技術レベルも高いサーバーワークスであれば、安心して支援をお願いできると考えました
2023.11.20 掲載
-
金融ビジネスを支える広範なシステムのAWS移行に向けて、FISCに準拠したクラウド活用ルールを策定し、セキュアなクラウド共通基盤を整備
複数の金融機関へのAWS導入実績があり、FISC対応など金融機関のクラウド活用に関する高度な知見も備えたサーバーワークスの支援は期待以上のものでした
2023.11.15 掲載
-
PCI DSSに準拠したBNPL(※)決済サービスのシステムをAWS環境で構築、サーバーワークスの支援を受けて、スピード感を持ったプロジェクト推進を実現
PCI DSSのノウハウを有するサーバーワークスのAWS構築・移行支援サービスを採用して、B to C向けスマホ活用型後払い決済サービスのシステムをAWS環境で新規構築。システムの設計から構築、実装までを含めたトータルでの支援を受けたことで、準拠のための監査もスムーズにクリアしています。
2023.10.11 掲載
-
気象データ解析用システムの基盤としてAWSを初導入、柔軟な計算パワーと大容量ストレージを獲得し、構築作業の一部を自社で担うことで約1か月での環境構築を実現
サーバーワークスのAWS構築・移行支援サービスを採用して、自社初のAWS環境を構築し、顧客ニーズに応えるために必要となる柔軟な計算パワーと大容量ストレージを獲得。またセルフオーダーオプションを採用して構築作業の一部を自社で担うことで、約1か月でのカットオーバーを実現しました。本番環境の稼働開始後にはAWS運用代行・監視サービスも利用して、AWS環境の安心・安全な運用を担保しています。
2023.05.24 掲載
-
研究開発用システムの基盤としてAWSを初採用、ITパートナーとしてサーバーワークスを選定し、2つの実験用システムのPoCを実施、実験数は3分の1にまで激減
サーバーワークスのアドバイザリー契約とAWS構築・移行支援サービスを採用して、初めて導入するAWSを基盤に2つの実験用システムのPoCを実施。コンテナ向けサーバーレスコンピューティングサービスのAWS Fargateなどを活用してスピード感のあるPoCを実現、実験数は実に3分の1にまで激減しています。
2023.05.10 掲載