三菱UFJニコス、クラウド型マルチ決済システム「J-Mups」でPCI DSSに準拠

2016年8月9日8:00

センシティブ情報をセンター側で保有する強みを生かし、加盟店の準拠を後押し

三菱UFJニコスは、クラウド型マルチ決済システム「J-Mups」の推進を強化しているが、2012年7月のセンター開設当初からPCI DSSに準拠した強固なシステムで運用されている。同社のPCI DSS準拠の取り組みについて、話を聞いた。

センターの開設時から取得を前提に構築
J-Mupsシステム全体がスコープに

「J-Mups」は、三菱UFJニコスとJR東日本メカトロニクスが構築した専用のサーバーに集約したクレジットカード、銀聯カード、各種電子マネーの各決済機能を、加盟店に設置した決済端末やPOSからインターネット経由で利用できる仕組みである。クラウド型の決済サービスに国内でいち早く対応。同社の収益を押し上げる役割を果たしている。

三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏、三菱UFJニコス システム基盤・運用部 J-Mupsシステム室 調査役 船戸直氏

三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏、三菱UFJニコス システム基盤・運用部 J-Mupsシステム室 調査役 船戸直氏

同社では、J-Mupsセンターの立ち上げ当初から、PCI DSSの準拠を視野に入れていた。三菱UFJニコス アクワイアリング開発部 ネットワーク開発グループ 開発担当 上席調査役 清水郷太氏は、「カード会社のデータセンターとなりますので、センターの開設時から取得を前提に構築しました。国内初のシンクライアント型のクレジットカードのデータセンターとなりましたので、会員データフロー等はPCI DSSに沿ったものが必要だと考えています」と説明する。J-Mupsは2012年7月にサービスを開始したが、2012年5月24日付けでVersion2.0への完全準拠を果たしている。

クラウド型マルチ決済システム「J-Mups」

クラウド型マルチ決済システム「J-Mups」

J-Mupsセンターはシステム開発ベンダの協力を得て立ち上げた。端末はJR東日本メカトロニクス製となるが、端末からデータセンターの仕組みまでセキュリティを考えて構築した。清水氏は、「システム開発ベンダに構築を委託する中で、コンサル部隊としてご協力いただき、要件を満たしているかを確認しながら対応を行いました」と話す。

基本的に、J-Mupsシステム全体がスコープとなった。準拠に向けて、システムの運用が実態についていけるかがポイントだった。また、セキュリティを重視しなければならない反面、レビューなどの運用コストも必要となる。当然、PCI DSSを意識しなければコストは抑えられるが、基準にすべて対応する方向でWAF(Web Application Firewall)やIPS(侵入検知システム)などを導入している。

PCI DSSの準拠に向けては、要件の解釈に迷うところもあったが、その際は認定審査機関(QSA)のアドバイスを受けながら対応した。また、三菱UFJニコスのシステムにおいて、セキュリティ部門に要件解釈のアドバイスを受けた。

「不正利用対策・PCI DSSガイドブック」から一部抜粋

page toppagetop