PCI DSS のセキュリティ要件を Azure でクリア。システムを短期間でクラウド上に構築できた理由とは?

顧客の利便性のため、クレジットカード会員向け Web サービスの構築を開始

コメリグループでは、10 年ほど前から自社で運用するデータセンターにクレジットシステムを構築していましたが、クレジットカード会員向けのサービスの提供は遅れている状況でした。インターネットがビジネスや生活に浸透していくなか、会員向け Web サイトの構築は急務であり、プロジェクトが立ち上がることになりました。開発責任者としてプロジェクトを牽引したコメリグループ 株式会社ビット・エイ 取締役 ソリューションビジネス部 部長の佐治 一秀 氏は、その経緯を語ります。

「ホームセンターに限らず、小売業全般で業種・業態の垣根を超えて競争が激化してきています。そのなかで IT の重要性は高まっており、コスト削減や業務効率化だけでなく、お客様向けのサービスの充実や顧客満足度の向上といった成果も期待されるようになりました。コメリグル－プでは、クレジットカード会員向けの Web サービスが 2016 年の段階で提供できておらず、残高照会やポイントの確認などが店舗でしか行えない状況でした。お客様の利便性向上を図る意味でも Web サービスのシステム構築が急務と考え、2016 年後半から具体的な検討を開始しました」（佐治 氏）。

当初はクレジットシステムと同様、オンプレミス型のシステム構築を検討していましたが、コストと開発期間の面で折り合いがつかず悩んでいたと佐治 氏。柔軟な発想に切り替えて、クラウドの活用も選択肢のひとつとして考えるようになったと話します。2016 年は、クラウド基盤にシステムを構築する企業も増えてきた時期ですが、社外にデータの置くのは危険なのではという声も少なくなかったといいます。そのような状況のなか、Azure を使用したシステム構築を数多く手がけてきたシグマコンサルティングに相談したことで、クラウドの導入に具体性が増してきました。

「クレジット関係の情報を扱うため、当初からセキュリティは重要な検討事項となっていました。ところが当時の私たちはクラウドに関しては素人同然で、PCI DSS の要件に準拠したシステムを構築できるのかもわかりませんでした。そこで、豊富な知見を持つシグマコンサルティングに相談したところ、Azure のサービス自体に、私たちがオンプレミスで構築するよりも高いレベルのセキュリティが備わっていることが理解できました」（佐治 氏）。

シグマコンサルティングは、正式リリースされる前の、まだベータ版だった 2008 年から Azure を使い続けてきており、ゲームや e コマース、業務システムなどを構築したノウハウを蓄積していました。ビット・エイから相談を受けた 2016 年当時は、PCI DSS の要求事項を満たすシステムを Azure を使って構築することは、注目すべきテーマだったとシグマコンサルティング株式会社 代表取締役 橋本 圭一 氏は語ります。

「2016 年に、マイクロソフトから『Azure のセキュリティとコンプライアンスのブループリント: PCI DSS のための PaaS Web アプリケーション』というドキュメントが公開されました。この内容を参考に、ビット・エイさんには、Azure の PaaS を採用して企業側の責任境界線の範囲を小さくすることで、PCI DSS の要求事項でチェックすべき項目や、対応にかかるコストを大幅に削減きるというメリットを説明しました」（橋本 氏）。

マイクロソフト提供のドキュメントを参照することで、セキュリティ・コンプライアンス面においてシステム（企業）側で対応する必要がある事項と、プラットフォーム（Azure）側に任せられる事項が明確化されるため、システム構築がスムーズに行えるようになると橋本 氏。ビット・エイの佐治 氏も「Azure の PaaS を使えば PCI DSSへの準拠に関する懸念が払拭できることがわかり、そのシステムを構築するためのスキルもシグマコンサルティングが持っていたため、安心して採用を決定できました。」と語り、PCI DSSへの準拠が容易な Azure の存在が、クラウド採用の決め手になったと明かします。

Azure の PCI DSS アーキテクチャが短期間でのシステム構築を支援

このようにして決定された、Azure の PaaS によるクレジットカード会員向け Web サービスのシステム開発。プロジェクトを立ち上げた当初から 2018 年春のサービスインをターゲットにしていましたが、クラウドの採用を検討することに時間をかけたことで、システム開発の開始が 2017 年末にまでずれ込み、短期間での構築が求められました。

• クレジットカード会員向け Web サービスのシステム構成図

単なるクラウド上のシステム構築ではなく、既存のオンプレミスシステムとのハイブリッド構成でのシステム構築を実質半年ほどで行えたのは、システム実装を担当したシグマコンサルティングの持つ知見とスキルによるものが大きかったといいます。プロジェクトマネージャーとして携わったシグマコンサルティング 取締役 向井 宏佳 氏は、その当時を振り返ります。

「Web サイトのシステム構築は私たちが担当しましたが、今回のシステムは単純にクラウド上に構築するものではなく、ハイブリッドな構成にする必要がありました。すでにデータセンターで稼働中のクレジットシステムはそのままに、新しく作る Web サービスはクラウド上で動かす。その間をつなげるには、クラウド側のシステムをどうするのか、オンプレミス側でどのような準備が必要なのかを明確化する必要があります。このため、シグマコンサルティングだけでシステムを構築したわけではなく、ビット・エイのインフラ担当者と密接に連携しながら進めたプロジェクトといえます」（向井 氏）。

クラウドシステム担当者とオンプレミスシステム担当者との密接なコミュニケーションが求められた本プロジェクト。東京都内で開発を行っている前者と新潟県を中心に活動している後者では距離的な問題もあり、短期間でのシステム構築は難しいものがあったといいます。PCI DSS の要求事項への準拠を考慮したインフラの設計・構築を担当したシグマコンサルティング CTO の冨田 順 氏は、短期間でのシステム構築を実現できた要因についてこう語ります。

「インフラ面の整備は 2017 年 12 月より前から話をさせてもらっていましたが、とにかく早い時期から仕様をガッチリと固めて、後戻りが極力ないように意識して進めていったのが、短期間でシステムを実装できた要因だと思います。コメリグループのクレジット基幹システムに私たちが触れることはできないので、Azure ExpressRoute などでの接続はかなり大変でした」（冨田 氏）。

東京都と新潟県のロケーション的な問題は、Skype を使ったリモートミーティングでクリアしたと橋本 氏。プロジェクトが進行している期間に実際に顔を合わせたのは 3 ～ 4 回だったと語ります。向井 氏も「2017 年末に集中して打ち合わせが行えたことで、実際の開発に入ってからは週 1 ～ 2 回程度のリモートミーティングで進めることができました。ビット・エイさんがエンドユーザーさんとうまくつないでくれたことも、スムーズに開発できた要因だと思っています。」と振り返ります。

短期間でありながら、PCI DSS の膨大な要求事項に準拠したシステムを実装できたのは、前述したマイクロソフトのブループリントの存在も大きかったといいます。

「ドキュメントの根底にあるのは『マイクロソフトが提供する Azure のサービスは、そもそも PCI DSS に準拠しています』ということです。そのうえで、PCI DSS の要求事項ひとつひとつに対して、ここはマイクロソフト側の責任、ここは企業側の責任ということが記述されている。これを見ることで、対応すべき部分と、対応しなくてもよい部分がわかるので、効率的に開発することができました。PCI DSS の要求事項はインフラから組織の体制まで多岐にわたります。それに対して、コメリグループがどう対応するのかを決めていくのに、マイクロソフトのドキュメントは非常に有効でした」（向井 氏）。

「運用も含めて要件が書いてあるので、通常の要件定義とは別の PCI DSS の要件定義を立てて固めていきました。1/3 から半分くらいは運用に関する要件だったので、それはコメリグループさんに対応してもらい、私たちはシステム開発に注力させていただきました。マイクロソフトが提示する Azure の PCI DSS アーキテクチャは、PCI DSS の準拠に限らず、クラウド上にセキュアな環境を構築するための在るべき姿です。その意味では PCI DSS に関わる業種以外のシステムにおいても、セキュアなクラウド環境の理想形として活用できるものだと思います」（冨田 氏）。

現在では FinTech というキーワードも浸透し、日本国内においてもクラウド上での金融サービス展開に抵抗がなくなりつつありますが、コメリグループがプロジェクトを推進していた当時は、まだリスクが高いイメージがありました。その意味でも本事例は Azure の PaaS 活用として先進的なものだったといえます。

Azure の最新機能・サービスを取り込み、PaaS 活用の最適解を模索

こうして、ビット・エイとシグマコンサルティングが密接に連携した結果、2018 年 5 月からクレジットカード会員向けのサービスを提供する Web サイトの運用が開始されました。佐治 氏は、想定していた以上のシステムに仕上がったと評価します。

「システムを構築する際には、いわゆる非機能要件というような、エンドユーザーがあげてこない業務要件は置き去りにされることがあるのですが、そういった面もシグマコンサルティングがしっかりフォローしてくれていたので、トラブルのないシステムになったのだと思います」（佐治 氏）。

また、クレジットカード会員向けの Web サイトを公開して、会員向けのデータを外部から確認できるようになると、コールセンターに問い合わせがくるようになります。このため、顧客と同じ情報を確認でき、変更などの処理が行えるコールセンター向けのシステムをバックエンドに構築する必要があります。このシステム構築もシグマコンサルティングが担当しており、運用面で問題が生じることはなかったといいます。

Web サイトを利用した顧客からはおおむね好意的な反応を得られたと佐治 氏。「これまでは店舗に来ていただかないと溜まったポイントもわからない状態でしたが、Web サイトを利用することでスマートフォンからでも簡単に確認できるようになり、お客様から便利になったという声をいただきました。」と喜びを口にします。

実際、Web サイトを公開した時点では 200 万人ほどの会員数だったものが、現在では 370 万人と大幅に増加しているなど、Web サービスの提供による効果は確実に表れています。状況に合わせてスケールを変えられる PaaS を採用したことで、不要なコストを費やすことなく、会員数の増加に対応できていると佐治 氏は語ります。

「ローコストで構築できたことも、今回のプロジェクトの大きな成果だと考えています。当初オンプレミス型で検討していたときの想定から 1/3 ～ 1/4 程度のイニシャルコストで構築することができました。さらにクラウドを採用したことで、我々がハードウェア面を管理する必要がなくなったので、運用面のコストや負荷も削減できています」（佐治 氏）。

佐治 氏は、これまでオンプレミス中心でやってきた同社が、クラウドという選択肢があるということを実感できたのが、もっとも大きなメリットだと力を込めます。現在は、クレジットカード会員向け Web サイト以外にも Azure 上で運用しているシステムを構築しており、今年度中には 10 以上のシステムをクラウド化して、Azure の活用を広げていく予定だといいます。

橋本 氏も「開発開始から 2 年半経ち、部分部分でその後に出てきた新しいサービスに入れ替えたり、PCI DSS の部分でコストを下げられそうなところも出てきました。そういった部分に手を加えるなど、PaaS の成長に合わせてブラッシュアップを図りたいと考えています。」と今後の展望を語ります。

クラウドサービスは常に進化を続けており、その活用にゴールというものは存在しないといえます。コメリグループとシグマコンサルティングが取り組む Azure の PaaS 活用も、最新の機能・サービスを取り込み、最適解を模索し続けています。そんな両社の取り組みには、今後も注視していく必要があるでしょう。

• 左から、シグマコンサルティング 向井 氏・橋本 氏、ビット・エイ 佐治 氏、シグマコンサルティング 冨田 氏

[PR]提供：日本マイクロソフト