ソリューションメニュー

SecurDPS 事例紹介 - TIS株式会社様

トークナイゼーションの技術で
デビットカードのセンシティブデータを守る
導入が簡単で運用工数もかからない SecurDPSを採用

独立系トータルSIerのTISは、金融機関に向けてデビットカードのイシュイングに必要な環境をワンストップで利用できるサービス「DebitCube+(デビットキューブ プラス)」を提供しています。
そしてこのたび同社では、主要クライアントからの意向を受け、センシティブデータ保護強化策としてSecurDPSを導入しました。今回はその経緯について、同社サービス事業統括本部の中村光一氏と豊島直浩氏にお話を伺います。

導入のポイント

  • 1 移行が容易で運用も簡単な点を評価しトークナイゼーションを採用
  • 2 新たに専用HWを準備することなく、NonStop Server上に導入するだけですぐに使うことができる
  • 3 導入工程で充分なテストを行ったことで、カットオーバー後も順調に稼働

nakamura-san

サービス事業統括本部
ペイメントサービスユニット
ペイメントサービス第1部 主査

中村 光一 氏

toshima-san

サービス事業統括本部
ペイメントサービスユニット
ペイメントサービス第1部 上級主任

豊島 直浩 氏

デビットカード会員のセンシティブデータをよりセキュアに管理できる基盤を作りたい

独立系トータルSIer として、幅広い業界に向けさまざまなサービスを提供しているTIS。中でも金融システム、特にクレジット関連に強く、金融機関向けに提供しているのが「DebitCube+」。「DebitCube+」は、デビッドカードのイシュイング(発行業務)に必要なアプリケーションや業務オペレーションなどの環境をワンストップで利用できるサービスとして大手銀行などに利用されています。このサービスの概要について豊島氏は「国際ブランドデビットカードを導入したい金融機関に向けて提供しているものです。オーソリゼーション(利用者の信用確認)、会員管理、Web、BPO等、本来はイシュア=提供先金融機関が行うべき業務をSaaS型サービスとして提供されるため、必要な機能に絞って短期間で導入でき、初期コストも抑えられます」と説明します。

さて同社はDebitCube+の主要クライアントから、オーソリを担うフロントエンドシステムのセキュリティをより強化したいという要望が寄せられました。DebitCube+は国際的なセキュリティ基準であるPCI DSSに準拠しており、カード番号や銀行口座を管理するデータベース(DB)は堅牢で安全なNonStop Server上に構築。アクセス権限も個人・時間単位で制御し、オペレーションログも取得して厳密な管理を行っています。よってリスクはもともとゼロに近かったのですが、さらにそれを一歩進め、内部犯行や外部攻撃による情報漏洩リスクを低減させ、より強固なセキュリティ環境を構築したいという相談を受けたのです。これを受けてTISではさまざまな施策を検討した結果、フロントエンドシステムにトークナイゼーションの技術を導入する提案をしました。その理由について中村氏は「トークナイゼーションであれば、センシティブデータの形式を変えずに疑似データに置き換えることで簡単に保護でき、セキュアな環境が実現できるからです」と語ります。

このページのTOPへ↑

既存のプログラムに手を入れる必要がなく移行が容易
運用が簡単な点も評価

TISでは、トークナイゼーションの技術を活用したセキュリティソリューションとして、日本国内ではハイ・アベイラビリティ・システムズ(HAS)が販売および技術支援を行うcomForte社のSecurDPSを採用しました。その理由としては、既存のプログラムに手を入れる必要がなく移行が容易な点、ハードウェアやセキュリティモジュールが不要で、既存のNonStop Server上にSecurDPSのアプリケーションを導入するだけですぐに使うことができる点、サーバ上で閉じているので運用が簡単な点などを評価したといいます。
「もともとトークナイゼーションについて個人的に関心があり、HAS主催の製品説明会に足を運んでいました。そこでSecurDPSの魅力を知り、機会があれば是非使ってみたいという思いがあったところにクライアントから相談を受け、今回の提案に盛り込んだというのが経緯です」(豊島氏)

SecurDPS については、クライアントからの理解も得られ、導入が決まりました。

このページのTOPへ↑

サービスへの影響を最小限に抑えるため
30分という短時間でDBを移行

TISは、2018年4月に導入プロジェクトをスタートさせ、12月に作業を完了。2019年3月からオーソリシステム上で本稼働を開始しています。導入工程においては、最初の2カ月間で入念に事前検証を実施。開発機にSecurDPSをインストールし、オンラインオーソリ応答時間が性能要件を満たせるか、バッチ処理の時間がサービスに影響を与えないかといったことを確認しました。
「その結果、まったく問題ないことがわかったため、クライアントにも安心していただき、その後も自信を持って導入を進めることができました。また、今回はシステムの要件上、安全性をより高めるためプログラムに手を入れる必要が生じたのですが、複数のプロトタイプを作り、その上で具体的な実装方式の検証ができたことも大きかったですね」(豊島氏)

保護対象の洗い出しとプログラム改修後4カ月にわたって徹底的にテストを実施しました。SecurDPSを実装したフロントエンドシステムが正常に動くことが確認できても、バックエンドシステムやWebシステムなど、連携するシステムがすべてが正しく動かなければ、大きなトラブルに発展してしまいます。そこで、それぞれのアプリケーションに加え、複数のアプリケーションの組み合わせ、システム間の連携までテストを実施。接続パターンも変えて何度も確認を行いました。

さらに、DBのデータ移行も大きなポイントとなりました。この際、システムを止める必要があるのですが、これはサービスがストップするということでもあり、デビットカード利用者の機会損失につながります。それゆえ、作業には短時間かつ確実な移行が求められることになったのです。
「そこで、要件定義の段階から複数のデータ移行パターンを検討し、シミュレーションを実施。その後も移行時間短縮のため検討を重ねた結果もともと1時間以上かかると思われていた移行時間を、SecurDPSにバンドルされたファイルユーティリティ(NonStopServer標準ユーティリティである FUPの拡張版)を使用し、本番では30分に収めることができました」(豊島氏)

同社は今回の導入にあたってHASから受けた支援について高く評価しています。
「製品の検討段階でSecurDPSの製造元に連絡を取っていただき、私たちの問い合わせに対して納得のいく回答を貰えました。また、導入のテスト工程ではテストプログラムを作成いただき、データ移行時にもご支援いただきました。プロジェクトチームに入って中からサポートいただいた点も、たいへん助かりました」(豊島氏)

tis implementation

このページのTOPへ↑

導入後も「何も起きていない」のが最大の成果

システムがカットオーバーしてから取材時点(2019年6月)で3ヵ月が過ぎましたが、大きなトラブルもなくとても順調に稼働しています。この点について中村氏は「セキュリティ対策ですから『何も起きていない』ことが最大の成果ですね。今のところ、オーソリシステムは何ごともなかったように安定して動いています。SecurDPSは自動でログクリーニングを実行してくれますし、万が一停止しても自動的に復旧まで持って行ってくれます。よって、導入により新たな運用工数は発生することはありません。今後機能追加を行う場合などメンテナンスを行う必要はありますが、最小限の手間で済むので非常に助かります」と評価します。

今後についてですが、将来的には他のサービスへの導入も検討しており、 NonStop Serverを中心に汎用機やWebシステムにも広げていくことも考えているそうです。豊島氏は「HASにはプロジェクトにコンサルタント的な役割で入ってもらい、さまざまな知見を提供してもらえるとうれしいです。Secur DPS以外の製品でも協力いただき、新たな効果が得られればと期待しています」と期待を語ってくれました。

このページのTOPへ↑

tis intec group logo

TIS株式会社 会社概要

「ムーバーとして、未来の景色に鮮やかな彩りを」をミッションに掲げるTISインテックグループの中核企業。45年以上の歴史を持つ独立系トータルSIerとして、金融、製造、流通、エネルギー、公共など幅広い業界のビジネスを支えている。中でも金融システム、特にクレジットカード関連に強みを持ち、さまざまな場面で利便性の高い安心なリテール決済を実現する為のソリューションを提供しており、そのトータルブランドとして「PAYCIERGE(ペイシェルジュ)」を展開している。
現在は、従来と同じくシステムの受託開発を手がける一方、サービス型ソリューションの提供にも注力しており、デビットプロセッシングサービスの「DebitCube+」もそのひとつ。

debit cube+ logo

所在地
東京都新宿区西新宿 8-17-1 住友不動産新宿グランドタワー
https://www.tis.co.jp/

※SecurDPS は、comForte AG の商標です。
その他の会社名、製品名は各社の商標または登録商標である場合があります。


お問合せ

問い合わせ・資料請求

電話でのお問い合わせ

ソリューション&
インテグレーション事業部

03-5730-8870

受付時間:平日9:00〜17:00