決済サービスだからこそクラウドをフル活用――PAY.JPがクラウドネイティブを推進する理由:AWS活用で「PCI DSS 4.0」に準拠 6つの観点でクラウドセキュリティを解説
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。
一昔前ならば、銀行やクレジットカード決済といった金融サービスを支えるシステムは「安全」なオンプレミス環境で構築されるのが常識とされていた。しかし、クラウドサービスが充実し、成熟度を増す今、むしろクラウドの各機能を活用することでクレジットカード業界のグローバルスタンダードであるPCI DSSに準拠した安全なサービスを容易に実現できるという。
オンライン決済サービス「PAY.JP」を提供するPAYも、クラウドを積極的に活用し、安全な決済サービスの提供に取り組んでいる。2023年9月に@ITが開催した「Cloud Native Week 2023秋」で同社 代表取締役CEOの高野兼一氏は「決済サービスにおけるクラウドセキュリティについて」と題するセッションで、その取り組みを説明した。
AWSの機能を活用し、PCI DSSバージョン4.0にも準拠
PAYは、簡単にネットショップを作成、運用できるサービス「BASE」を展開するBASEグループの一社だ。もともとBASEのPAY事業部としてスタートし、「支払いのすべてをシンプルに」というミッションを掲げてオンライン決済サービスであるPAY.JPを立ち上げた。
2018年1月に分社化し、「決済や金融といった機能を人々に届け、自分の力を自由に価値へ変えていけるチャンスを作る」というグループ共通の目的の下、事業を展開している。
PAY.JPは、主にスタートアップ企業や新規事業の立ち上げに取り組むユーザーを対象にした決済サービスだ。「最もシンプルで簡単なオンライン決済サービス」を目指し、クレジットカード決済機能をWebサービスやモバイルアプリに簡単かつ安全に導入できる仕組み作りを進めており、2022年には流通総額800億円規模にまで成長している。
「決済にはセキュリティの強化や組み込みの難しさといったさまざまな課題がありますが、それを簡単かつシンプルに提供することで、事業者が本業に集中できる環境を作ることを目指しています」(高野氏)
もちろん、オンライン決済にはセキュリティが不可欠だ。PAY.JPでは安全なサービスを支えるために、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。
PCI DSSは、クレジットカードの会員データを安全に取り扱うことを目的に作成されたグローバルなセキュリティ標準だ。アカウントデータの保護、脆弱(ぜいじゃく)性管理プログラムの維持、強固なアクセス制御の実施といった領域ごとに全体で数百項目のセキュリティ要件が定められており、システム、組織の両面で強固なセキュリティ運用を求める内容となっている。クレジットカード決済を扱う事業者には、毎年1回のオンサイト監査を通して準拠が求められている。
改定を加えながら運用されてきたPCI DSSだが、2022年春に最新版のバージョン4.0がリリースされた。前バージョンである3.2.1と比較すると「監査ログレビューの自動化」「ログレビュー頻度の決定をはじめ、各要件の実行頻度に柔軟性を持たせるためのターゲットリスク分析の実行」「アプリケーションおよびシステムのアカウント、ならびに関連するアクセス権の適切な割り当てと管理」など60項目以上に変更が加えられ、より強固なセキュリティが求められている。
PAY.JPは2023年6月、PCI DSSバージョン4.0に準拠した。その際に活用したのがAmazon Web Services(AWS)を中核としたパブリッククラウドだ。
「PCI DSSの対応を含め、セキュリティ実装も、クラウドをフル活用して実現しています。こういったさまざまなコンポーネントを活用することで、厳しいセキュリティの要件にも比較的安価で簡易に対応し、堅牢(けんろう)なシステムを築くことができています」(高野氏)
管理負荷の軽減やリスクの低減に貢献 クラウド活用で得られる具体的な効果
続けて高野氏は、どのようにクラウド機能を活用してPCI DSSの各種要件に対応しているかを、6つの観点から紹介した。
Webアプリケーションファイアウォール
昨今、ネットワーク層のファイアウォールでは防ぐことができない、SQLインジェクションやクロスサイトスクリプティング(XSS)といったアプリケーション層をターゲットにした攻撃が増加している。それを踏まえてPCI DSSバージョン4.0では、Webアプリケーションファイアウォール(WAF)の導入が準拠の要件となった。
PAY.JPでは「AWS WAF」を活用している。「従来のオンプレミス構成なら、定期的な買い換えや保守契約、物理故障への対応といった管理保守コストが増加する上、シグネチャの定期的なダウンロードが必要など、メンテナンスにさまざまなコストがかかっていました。AWS WAFを採用したことで、管理をAWSで一元化できて物理的な管理コストを廃止できる上、最新のシグネチャにも自動で対応するなど、メンテナンスコストが非常に軽減されます」(高野氏)
ログの収集と監視
オンプレミス環境でもそうだが、クラウド環境においてもログは非常に重要だ。高野氏も「全てのシステムはログの収集から始まります。ログを管理し、精査することが非常に重要で、多岐にわたるログ情報を分析することで攻撃対策やシステム改善につなげることができます」と述べる。
PAY.JPでは「AWS CloudWatch」を用いてログを収集、監視している。AWS上のさまざまなコンポーネントからログを全て集約し、外部からの攻撃に合わせ、素早くきめ細かく防御するといった用途に活用している。
ただ、システムがスケールすればするほど、ログの量も増加していく。「人力による目視確認は非現実的であり、脅威検出を自動化する必要があります。これは、PCI DSSの最新バージョンでも監査ログレビューの自動化として、要件に定められています」(高野氏)
そこでPAY.JPでは、マネージド型の脅威検出サービスである「Amazon GuardDuty」を採用して脅威検出を自動化している。AWSのアカウントとワークロードをモニタリングし、挙動を関連付けながら分析し、不正の懸念がある場合に通知するサービスだ。同社ではAmazon GuardDutyの検知をAWS Chatbotを通じて「Slack」に通知し、必要に応じてセキュリティやインフラチームのメンバーが調査を行える体制を整え、対応している。
カード情報の暗号化
パスワードもそうだが、クレジットカード番号のデータを平文のまま保存するのは「非常識」と言っていいだろう。PAY.JPでは前述の通り、「Amazon DynamoDB」を用い、テーブルレベルの暗号化を施した上で保存し、PCI DSSバージョン4.0の要件も満たしている。
同社は以前、内製のシステムで暗号化したクレジットカード番号を扱っていた。だが、そのシステムは複数のネットワークセグメントに分離されており、メンテナンスがやりにくかった上に、セキュリティや管理コスト、スケーラビリティにも課題があった。
そこで「分析をした結果、最低限必要なものはシンプルなキーバリューデータベースであり、暗号化やインフラ管理の負担を低減することを考え、Amazon DynamoDBを採用しました」(高野氏)という。
運用管理の負担を全てクラウド側に委託することで、セキュリティリスクと障害リスクを低減でき、モニタリングの精度が向上した。また人の介入が大幅に減るためケアレスミスも削減でき、総合的に「精神的な負担が大きく軽減できました」(高野氏)。パッチ適用をはじめとするシステム管理工数の削減、オートスケールによるスケーラビリティの確保など技術面での利点に加え、「これまでペーパーワークに頼り煩雑だった承認体制を、完全にシステム化できています」というメリットも得られた。
システムを内製化すべきか、外注すべきかはさまざまな議論がある。クレジットカード情報の処理に関しては「内製システムの廃止により、承認されていないエンティティが勝手にカード番号を読み取れるといったリスクを排除でき、アクセスのロギングも強化できたため、漏えいリスクの効果的な軽減につながっています。内製システムやそのコンポーネントに起因する心配ごとをあらゆる方面で根絶でき、非常に大きなメリットが得られました」と高野氏は述べた。
アクセスコントロール
たびたび「最小権限の原則」の重要性が訴えられる通り、必要以上の範囲に管理権限を付与すれば情報漏えいリスクにつながる。「最小限の権限を、最小限の範囲、そして最小限の人数へ割り当てることが、組織体制も含めたセキュリティレベル向上の第一歩です」(高野氏)。これは、PCI DSSバージョン4.0でも定義されている。
PAY.JPでは、主要なコンポーネントをAWSへ集約していることもあり、「AWS Identity and Access Management」(AWS IAM)でアクセス権限を一元的に制御し、最小限のメンバーに権限を絞っている。さらに「AWS Security Hub」を用いてAWSアカウントの全体的なセキュリティ実装をスコアリングしており、この評価項目の中にアクセスコントロールも含まれている。
物理セキュリティ
オンプレミス環境の場合、サーバやネットワークへの物理的なアクセスを防ぐため、オフィスやサーバルームの入退室管理を行い、必要に応じて監視カメラの設置やサーバラックの施錠といったさまざまな物理セキュリティを構築しているはずだ。PCI DSSの要件にも、物理的なアクセス制御が定義されている。
PAY.JPの場合、主要コンポーネントを自社オフィスではなく、AWSのクラウド上に集約している。AWS自身がPCI DSSに完全準拠している上、データセンターを物理的に管理しているため、一連の物理セキュリティの要件を全てAWS側に委託可能だ。「物理セキュリティ関する要件の大半をわれわれ自身が管理する必要もなくなり、スキップできています」(高野氏)
脆弱性対応とペネトレーションテスト
今や連日、さまざまな脆弱性が発見、報告されている。セキュアなシステムの運用においては、定期的な脆弱性診断を実施し、常に最新のシステムを保っていくことが必要で、これもやはりPCI DSSの要件で求められている。
PAY.JPでは主に2つの対策を実施している。1つは、Tenableが提供するマネージド型の脆弱性診断サービス「Tenable Vulnerability Management」の導入による脆弱性診断だ。短期間で定期的に脆弱性診断を実施し、システムを構成するコンポーネントに含まれる脆弱性早期の修正に努めている。
また実際の攻撃を模倣して脆弱性を検出するペネトレーションテストも実施し、攻撃者の目線で弱点を見つけようとしている。外部による定期診断に加え、OWASP(Open Worldwide Application Security Project)が提供している脆弱性診断ツール「OWASP ZAP」などを用いて一部を内製化し、必要なら即座に試験を実施できる体制を整えることで、大幅なセキュリティレベルの向上につなげていくという。
PAY.JPはこうした6つの取り組み以外にも、AWSのさまざまなコンポーネントを利用してセキュアなシステムの実現に取り組んでいる。「フルマネージドなクラウドの機能を組み合わせ、活用することで、決済のようなミッションクリティカルなシステム、強固なセキュリティが求められるシステムにおいても、安価かつ簡易にPCI DSSバージョン4.0の要件に対応できます」(高野氏)
フルマネージドのコンテナサービスに移行 クラウドネイティブへの挑戦
PAY.JPは現在、主にセルフマネージドの仮想サーバ上で運用している主要なアプリケーションを、フルマネージドのコンテナサーバに移行していく方針で取り組みを進めている。
「必要なコンポーネント数を削減し、もう少しコストダウンを図りたいと考えている他、検証環境と本番環境の差をなくしたい、迅速にスケールアウトする仕組みを簡易にしてスケーラビリティを確保したいといった、さまざまな目的があります」(高野氏)。他にも、脆弱性を検出してからパッチ適用までのサイクルを短縮したい、クレジットカード情報を管理しているAmazon DynamoDBへのアクセス権をより減らしたいといったさまざまな課題を、フルマネージドのコンテナへ移行することで解決したいと考えている。
セルフマネージドな仮想サーバならサーバ内で認証作業をする必要がある。ただ、セキュリティの観点からは、セキュアな情報を扱うサーバなどへのアクセスポイントはできるだけ少ない方がいい。フルマネージドなコンテナにすれば、サーバ内にログインする必要がなくなり、セキュアな情報へのアクセスポイントを減らせ、より堅牢なシステムを構築できる。大規模な認証管理システムも不要となり、管理コストの面でも改善が見込まれるという。
ウイルス対策、ファイアウォールや侵入検知、ログ運用といったセキュリティ機能の管理を全てクラウド側に委託でき、管理が簡素化できる。セルフマネージドな環境では、脆弱性が見つかったら手動でOSにパッチを提供するといった作業が毎月のように発生するが、コンテナイメージに修正を反映すればいつでも差し替えてデプロイできるといった具合に、管理が非常に簡易化できる。
「PCI DSSのさまざまな要件への対応に関しても、セルフマネージドな仮想サーバでは自前のミドルウェアサービスを導入し、管理していく必要がありますが、コンテナにすることでマネージドサービスに全てを委託できました。管理、導入コストも削減できています」(高野氏)
またコンテナの大きなメリットである柔軟なスケールイン、スケールアウトによって、時間帯やトラフィックに合わせてリソースを柔軟に変更し、快適なパフォーマンスを提供できる他、検証環境、ステージング環境も簡単に用意できるなど「本当に数多くのメリットがフルマネージドコンテナにはあります」と高野氏は述べ、コンテナ移行計画を進行させていくとした。
高野氏は最後に「決済や金融といったミッションクリティカルなシステムにおいても、クラウドを活用することで、比較的安価かつ簡易に堅牢なシステムや体制を構築でき、本業により集中できます。フルマネージドなクラウドサービスを活用することで多くのメリットを享受し、よりハッピーになれる」と述べ、講演を締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.