株式会社ロイヤルゲート

多層防御でクラウド環境の先進決済サービスを
エンドツーエンドでセキュアに提供

概要

お客さまの課題

モバイル決済サービスをクラウドプラットフォームで運用。サービスプラットフォームのPCI-DSS対応を効率化するソリューションが必要とされた

解決策と効果

「Trend Micro Deep Security」の全機能を用いてクラウド上のサーバを多層的に保護。PCI-DSS対応の作業を技術・運用の両面から効率化した

"セキュリティの高さは PAYGATE の重要な差別化ポイントです。Deep Security の採用で、その競争力がさらに高まったと感じています"

株式会社ロイヤルゲート
代表取締役 CEO
梅村 圭司 氏

導入の背景・課題

株式会社ロイヤルゲートは、2007年に設立された新進気鋭のFintech(フィンテック)ベンチャーだ。「ITソリューション・開発」、「コンサルティング」、「ASP」の3つの事業を手掛け、ASP事業の主力サービスとして、モバイル決済サービス「PAYGATE」を2011年から提供している。

PAYGATEは、独自開発の決済デバイスとアプリを通じて、スマートフォン/タブレットによるクレジットカード決済を可能にする仕組みだ。多種多様な決済ニーズに対応しており、例えば、最新の決済端末「PAYGATE AIR」では、磁気カード/ICカードによるカード決済はもとより、非接触カードによる電子マネー決済も可能とする。また、サービスプラットフォームの「PAYGATE POP」は、信頼性・拡張性に優れるほか、ユーザの業務システムとインテグレートし、活用できるといった柔軟性も併せ持つ。「そのため、飲食・小売チェーンでの全店導入や大手タクシー会社での全車導入など、PAYGATEを大規模にご導入いただくケースは少なくないのです」と、代表取締役CEOの梅村 圭司氏は説明する。

PAYGATEのもう一つの特徴は、セキュリティ面での安全性の高さにある。

「例えば、PAYGATEでは、ANSI規格で規定されているキーマネジメント方式『DUKPT(Delivered Unique Key Per Transaction)』を採用し、端末からゲートウェイまで、カード情報を暗号化したまま確実に送れる仕組みを築いています」と、梅村氏は説明する。

またPAYGATEのサービスは、オンプレミスのデータセンターとMicrosoftが提供するAzureによるクラウドのハイブリット環境で稼働している。Microsoftが提供するAzureデータセンターの強固な基盤セキュリティに加え、オンプレミス環境とAzure間のVPNで通信の安全性も担保されている。これに加えて、PAYGATEインフラはクレジッドカードのセキュリティ標準「PCI-DSS(Payment Card Industry Data Security Standard)」への対応が求められ、その要件を満たすためにさらなるセキュリティの強化が必要とされていた。そのためのソリューションとして、同社が選択、活用しているのが、トレンドマイクロの「Trend Micro DeepSecurity™(以下、Deep Security)」である。

選定理由・ソリューション

当初Azureの海外リージョンで運用されていたPAYGATEのサービスだが、Azureの東京リージョンの開設を機に、同リージョンに移設することになった。それに伴い、新環境をPCI-DSSに対応させる取り組みの中で、同社はDeep Securityの活用に乗り出した。採用の決め手はDeep Securityが単体で多くの機能を有していた点にあったと、業務推進室リーダー兼PCI-DSS推進室の橋本 和茂氏は話す。

「Deep Securityは、ウイルス対策に加えて、WAF/IDS/IPS、ログ管理、変更監視など、PCIDSSの技術要件を広くカバーする多彩な機能を備えています。このようなオールインワンのソリューションは他に存在せず、採用に迷いはありませんでした」

東京リージョンへのシステム移設の作業は2014年9月に完了し、新たな環境でのPAYGATEサービスの運用がスタートを切った。Deep Securityは、このクラウド環境上の全てのサーバに適用され、上記の変更監視機能を中心に、その全機能を活用することで、PCI-DSSへの対応、サーバの多層防御の実現をサポートしている。

また、Deep Security自体の機能のみならず、トレンドマイクロのサポートサービスもPAYGATEのセキュリティ強化に貢献しているようだ。「トレンドマイクロのサポート品質は高く、こちらから質問を投じると、有益なアドバイスがさまざまに返ってきます。セキュリティは奥が深く、運用の過程で専門家の意見を気軽に聞けることはとても重要なことです」(橋本氏)

導入効果・今後の展望

PAYGATEでは2015年3月に最新版「PCI-DSS v3.0」への対応を果たしている。「その作業にかかった期間は実質約3カ月。Deep Securityの導入以前、PCI-DSS v2.0対応に1年ほどの期間を要したことを考えると、Deep Securityの導入効果はかなり大きく、運用面も高く評価しています」と、橋本氏は話す。

「Deep Securityでは一つの管理コンソールで、さまざまな施策が一元的に運用できます。ですから、PCI-DSSの要件を満たすための作業負荷はグンと軽くなるのです」

さらに梅村氏はこう付け加える。「Deep SecurityとDUKPTの採用で、PAYGATEにおける端末からサーバまでのエンドツーエンドのセキュリティがより強固になりました。結果として、PAYGATEの競争力が一層高まったと言えるでしょう」

ロイヤルゲートは現在、「オープン決済プラットフォーム構想」を打ち出している。これは、同社が手掛けるモバイルPOSサービスやレシート保管サービス、そしてPAYGATEの伝票保管サービスを相互に連動させ、消費者行動を分析、企業のマーケティング支援に役立てていくという計画である。欧米では、カードの利用実績に基づいてリコメンドを行う「CLO(Card Linked Offer)」サー ビスが一般化しているが、2018年ごろにはカード以外の消費者行動も包含した「TLO(TransactionLinked Offer)」サービスの時代に突入すると梅村氏は見ている。上の構想は、そうした時代の到来を見越した取り組みであり、その推進にもトレンドマイクロの支援が不可欠であるという。

「ビッグデータをも活用したTLOの展開には極めて厳格なセキュリティが求められます。その意味でも、我々がトレンドマイクロの力を借りる場面は今後さらに増えていくでしょう。ともに新たな市場を創るパートナーとして、これからもさまざまな支援を期待しています」

PAYAGTE POPのハイブリットエコシステム

※ 記載内容は2015年10月現在のものです。内容は予告なく変更される場合があります。