あえてクラウド開発環境でセキュリティー
クレジットカード決済のような金融関連のサービスで、絶対に外せない要件は「安心、安全」が確保されること。必要となる機能が当たり前に使えることや、セキュリティーがしっかりと保証されていることはサービスを始める際の基本条件になります。個人情報や決済の取引情報が強固で安全なセキュリティーで守られている状態が必須というわけです。
コイニーは当初からセキュリティーの確保で、ある挑戦をしています。それは、インターネット上のクラウド開発基盤でシステムを構築し、運用することです。採用したのは、米Amazon.com社のクラウド開発基盤「Amazon Web Service(AWS)」でした。会社設立後、2週間ほどでAWSを使うことを意思決定したそうです。
クレジットカード決済のビジネスでは決済情報やカード情報のセキュリティーで、国際基準「Payment Card Industry Data Security Standard(PCI DSS) ver.2.0」の認証を取得することが求められます。JCBや米VISA社、米MasterCard社など大手クレジットカード会社が策定した基準です。コイニーは、この認証をクラウド開発基盤で取得しました。
一般に金融系のシステムは、自社でデータセンターやサーバーを確保し、その中でシステムを運用します。店頭でのクレジットカード決済も、同様の運用がほとんど。これをクラウド開発基盤で実現する事例は、世界的に見ても数少ない珍しいことだそうです。
AWSを選んだ理由は三つあります。AWS自体が国際的なセキュリティー基準を満たしていること、拡張性の自由度が高いこと、低コストで開発運用が可能なことです。特に、拡張性は重要な要素だったようです。サービス開始前からアジアを軸にしたグローバル展開を視野に入れていたからです。積極的にサービスのメニューを追加したり、バージョンアップしたりするには、拡張性の高いクラウド開発環境が効果的と判断しました。
既にショッピングサイトなどのWebサービスでは、効率性やコスト、拡張性のメリットを享受するために決済でもクラウド開発環境を用いることが主流になっています。コイニーは、それをリアルなクレジットカード決済に導入した先端的な事例とも言えるわけです。
もちろん、あまり前例のないことですから、認証の取得は簡単ではなかったようです。2012年夏から技術開発と並行しながら監査対応の準備を進め、約4カ月間で認証を取得しています。数百におよぶ手続きや運営管理などの監査項目が適切かどうかを調べるものでした。実際の監査は、検査官が会社にきて、連続4日間かけて監査作業を実施。これを4人でこなすのは大変だったようです。2012年12月に監査をクリアし、見事に認証を取得しています。
