Skip to content

導入事例:コイニー株式会社

セキュアなクラウドインフラが
カード決済のイノベータを強力にバックアップ


カード決済の変革で起業 インフラに求めたのはセキュアな俊敏性

「カード文化が定着している欧米とは異なり、日本では現金払いがまだまだ主流。小売りのレジでも、クレジットカードが使えるのは大規模チェーンや百貨店がほとんどで、個人商店では使えないことのほうが多い。私はそれを変えたかった」――コイニー起業の経緯をこう語るのは、同社の創業社長、佐俣 奈緒子氏だ。  この変革に向けた、コイニーの考え方はシンプルだ。今日の生活者にとって最も身近で、使い慣れた情報ツール「スマートフォン」をクレジットカード決済の端末として用いることで、これまで「カード払い」に対応できていなかった、小規模/個人営業の小売店や飲食業、美容業などの「キャッシュレス化」を推進する――それが、同社の基本戦略と言える。

コイニー株式会社 代表取締役社長 佐俣 奈緒子 氏

従来、「カード払い」に店舗が対応しようとした場合、カード会社や銀行による与信審査に長い時間がかかったり、専用端末/専用線の導入/運用のコストがかさんだりと、さまざまなハードルがあった。対するコイニーのサービスでは、必須の機材はスマートフォンと、無償提供される小型カードリーダー「Coineyリーダー」の2つ。あとは、サービスに加入してユーザアカウントを取得し、専用のアプリをインストールすれば、スマートフォンによるカード決済が始められる。しかも、カード決済額に応じて利用者に課される手数料の料率も3.24%と割安(相場は5%~6%)。そんな手軽さから、コイニーのサービス利用者は急カーブを描いて増え続け、ビジネスは軌道に乗っている。

そんなコイニーが創設された当時(2012年3月当時)、すでにスタートアップ企業の間では、「ITインフラはクラウドで」が当然の流れとなっていた。理由は、サービス成長に柔軟に対応できる拡張性や俊敏性、そして、サービス立ち上げ時の投資の少なさだ。

こうしたクラウドの特徴は、コイニーを起業した佐俣氏にとっても魅力だった。「私たちのような、お金も時間もないスタートアップ企業にとってクラウドの活用が最善策。それ以外の選択肢は考えられませんでした」と、同氏は振り返る。

ただし、当時の日本では、クラウド(パブリッククラウド)上でカード決済サービスの開発・運用を行う前例はなかった。ゆえに、クレジットカード会社との交渉を重ねながら、手探りでプラットフォーム選定が進められた。その中で、特に重視されたのが、データセキュリティ標準規格「PCI DSS」への対応だ。同規格準拠の認定を得ることは、カード決済サービスを始める際の必須要件。クラウドインフラを使いながら、この要件をいかにすみやかに満たしていくかが、最大の懸案となったのである。

Trend Micro Deep SecurityTMが適用された
コイニー・サービスのインフラ概念図

PCI DSS対応でAWSを選択 Deep Securityでセキュリティ要件を満たす

クラウドのインフラを用いながら、PCI DSSのセキュリティ要件を満たす――その課題解決に向け、コイニーが採用したのが「アマソン ウェブ サービス( 以下、AWS)」だ。採用の決め手は、そのプラットフォームがPCI DSSに対応したからにほかならない。つまり、AWSは、PCI DSS準拠認定の取得という必須要件をクリアーするのに最適なクラウドだったということだ。

とはいえ、AWSのセキュリティ機能だけでは、およそ「360項目」にも及ぶPCI DSSの要件は満たせない。そこで、佐俣氏はトレンドマイクロの「Trend Micro Deep Security™(以下、Deep Security)」を採用し、セキュリティのさらなる強化に乗り出した。強化部分は、IDS(侵入探知システム)やファイアーウォールの設置、それによるログの収集・記録など。要するに、PCI DSSのセキュリティ要件を満たすうえで、 AWSではカバーすることができない部分を、Deep Securityで穴埋めしていったのだ。

「当初は、オープンソースのセキュリティ・ツールも候補として挙がりましたが、私たちにとっては、スピードと確実性が最重要。ですから、実績が高く、検証の手間がかからず、しかも、さまざまな機能やツールがワン・パッケージで提供されているDeep Securityを選んだのです」(佐俣氏)。

セキュアなサービスを1カ月で実装 PCI DSS準拠認定を3カ月で取得

コイニーの選択は奏功した。AWSの導入設計から運用・保守までをトータル・サポートするcloudpackのサポートの下、同社ではDeep Securityを含めた本番環境でのサービス実装を約1カ月間で完了させたのである。

これにより、コイニーの技術チームは、PCI DSS準拠認定の取得というコンプライアンス業務を約3カ月という短期間でやり遂げた。通常であれば、「1年強は必要な大仕事」(佐俣氏)というから、このスピードは驚異的だ。また、サービスの立ち上げから今日に至るまで、「セキュリティ管理・運用に関するトラブル報告はゼロ」と佐俣氏は付け加え、Deep Securityの信頼性・運用性の高さを評価する。

近年、クラウド・インフラの進化・発展とともに、「クラウドにシステムを預けてしまえば、情報セキュリティも盤石」といった少し乱暴な考え方も散見されている。

だが、たとえクラウドを用いたとしても、利用者の自己責任の下でそれぞれの要件に合致したセキュリティ機能を追加していくのが基本となる。そう考えれば、クラウドへのIT移行でセキュリティ施策が不要になるのではなく、「自社のビジネスにとって、どの部分のセキュリティを重点的に強化すべきかがより鮮明になり、セキュリティ施策やツールの投資対効果が見定めやすくなる」と見なすべきだろう。そして、Deep Securityは、クラウド環境におけるセキュリティ上の重点課題を効率的に解決する、極めて投資対効果の高いソリューションと言える。コイニーの事例は、それを端的に物語っている。

お客さまプロフィール

  • コイニー株式会社
  • 業種:決済サービス
  • 地域:東京都、日本
  • URL:http://coiney.com/

「すべてをかんたんに」を基本理念とし、スマートフォンやタブレット端末と専用のカードリーダーを使った、クレジットカード決済(代行)サービスを提供する。2012年3月設立。

Trend Micro Deep Security の製品詳細情報

仮想化環境のセキュリティ対策事例はこちら

※ 記載内容は2014年5月現在のものです。内容は予告なく変更される場合があります。