GTM-MML4VXJ
Skip to main content

ウェブペイ株式会社様

「CARDNET COUPLER」 「JTRANS COUPLER」を導入しセキュアな決済システムを構築


ウェブペイ 三田事務所

ウェブペイ 三田事務所

  ウェブペイ株式会社様は、ECサイト専用のクレジット決済代行会社で、決済代行サービス「WebPay」を運営されています。
  WebPayは、加盟店側システムにカードの生情報を渡さない、カードデータの暗号二重化などの仕組みを搭載し、セキュリティに徹底して拘った決済システムを加盟店に提供しています。
  ウェブペイ株式会社様は2014年12月、日本カードネットワーク社センターとの接続製品「CARDNET COUPLER(カードネットカプラー)」 「JTRANS COUPLER(ジェートランスカプラー)」を導入し、セキュリティがより堅固な決済システムを稼働されました。
  WebPayのセキュリティや カプラー導入の背景・効果などについて、CTO(最高技術責任者)曾川様にお話しを伺いました。

(インタビュー日:2015年2月17日)

PCI DSSに準拠したWebPay

CTO 曾川様

CTO 曾川様

  当社は2013年6月、ECサイト専用のクレジット決済代行サービス「WebPay」の提供を開始しました。WebPayは、「SIMPLE(より簡単に)」 「SECURE(よりセキュアに)」 「SPEEDY(すぐに始められる)」をモットーに、最新技術で強固なセキュリティに対応した決済システムと、それを使用するための簡易なAPI(アプリケーションインターフェース)を加盟店に提供しています。
  アメリカで事業経験のある私たちは、特にセキュアな環境作りに拘りました。アメリカでは、クレジットカード業界のセキュリティ基準PCI DSSに準拠していないと罰則が科せられます。東京オリンピックが開催される2020年に向け、日本でもその重要性が増していくことは容易に想像できました。
  ECサイト運営会社がクレジット決済を導入する場合、クレジットカード会社1つ1つに対して、契約手続を行う必要があり、手間と時間を要します。さらに、各クレジットカード会社と接続するための決済システムの開発も必要となります。しかし、決済代行会社である当社を利用することにより、加盟店の契約手続きは、当社だけで済み、それも最短3営業日です。決済システムも、数行のソースコードを追加して当社が提供しているAPIを呼び出すだけで、簡単に利用できます。

図1 クレジット決済代行の位置づけ

図1 クレジット決済代行の位置づけ

WebPay、セキュリティ対策の特長 ~加盟店はカード情報を持たない~

  セキュリティ対策の特長は2点あります。1つ目は、加盟店サーバーにカード番号等の情報を渡さずに決済できる仕組みです。商品購入時、Web画面からカード情報を決済システムに送信します(図2セキュリティの仕組みの緑①)。決済システムは、受信したカード情報を保管し、それに紐付けしたワンタイムトークン(1回限り使えるパスワード)を自動生成し返します(図②)。その後、加盟店サーバーを経由して受信したワンタイムトークン(図④)を用いてカード情報を復元し、クレジットカード会社にカード情報を送信し決済(与信)を行います(図⑤)。
  2つ目は、Web画面からカード情報を決済システムに送信する時、カード情報をRSA方式で暗号化していることです(図①)。一般的にWebでのセキュリティ対策は、インターネット上でデータを暗号化するSSL通信手順を採用することで十分です。しかし当社は、よりセキュアな環境を加盟店に提供するため、RSA暗号を導入し、そのうえでSSLによる通信を行っています。
  こうしたWebpayの特長が、カード情報の漏えいリスクをより低減し、加盟店のシステムがPCI DSSに対応する場合、その対応コストを大幅に削減可能とします。

図2 セキュリティの仕組み

図2 セキュリティの仕組み

カプラー導入の背景

  決済システムの稼働当初は、他社が提供しているGWサーバーを利用し、日本カードネットワーク社センターと接続していました。しかし、GWサーバーを経由することでレスポンスタイムに一定の限界があります。それが無ければ、例えば、数百ミリ秒かかっていたものが百ミリ秒以下になる、この差を埋めることは、より良いサービスを提供するために是非とも改善しなければならいものでした。
  そうしたなか、セキュリティの確保に拘りながら選定したのが、CARDNET COUPLERと JTRANS COUPLERです。簡単なAPIを呼ぶだけでセンターに接続できるほか、PCI DSSにも対応できる製品でした。豊富な実績による高い品質も見逃せません。そして、2014年12月、2つのカプラーを導入した新たな決済システムが稼働しました(図3システム構成参照)。

カプラーの導入効果

  決済システムと日本カードネットワーク社センターを一つの閉域ネットワークで直結したことにより、レスポンスタイム向上とセキュリティ向上を両立させ実現したことが第一の効果です。
  また、センターと接続するプログラムの開発・保守が無くなり、加盟店の開発者がより使い易い簡素なAPIの開発に、当社が注力できるようになったことも大きな効果です。
  さらに、CARDNET COUPLERのシミュレータ機能を有効に活用しています。当社は、APIの開発・改善を常に行っており、その度に、3,000項目を超えるテストを実施しています。もはや手作業では対応できませんので、テストを自動的に実行するツールを導入し継続的に不具合部分の判明に努めて早期に改善する仕組みを構築しています。センターに見立てたシミュレータ機能を呼び出し、正常系はもとより手間のかかる異常系のテストも自動化しました。こうしてテスト作業の大幅な効率化とスピーディーな開発を実現しています。

次世代型の決済方式に備えて

  オンプレミスのシステムが多い中で、当社の決済システムは AWS(Amazon Web Services)のクラウド上で動作しています。その理由は、AWSが既にPCI DSSに準拠していたからです。短期間でシステムが構築できるうえ、スケーラビリティや、フェールオーバー、災害対策も採られていました。そこに今回、PCI DSSに準拠した2つのカプラーを導入し、より堅固でセキュアな環境を構築することができました。
  今後もクレジット決済の市場規模が堅調に拡大すると予測されており、次世代型の決済方式がいつ導入されても不思議ではありません。当社は、その時に慌てることのないよう、現時点でできる最善なセキュリティを加盟店に提供していきます。その点において、国際標準化機構が定めたカード決済の標準規格「ISO8583」を採用した CARDNET COUPLER、JTRANS COUPLERの選択は、最良の判断でした。

図3 システム構成

図3 システム構成

担当SEからのひとこと

富士通ミッションクリティカルシステムズ 第二ソリューションシステム部 深田

富士通ミッションクリティカルシステムズ
第二ソリューションシステム部 深田

  クレジット業務としては必須となりつつあるPCI DSSに準拠したサービスをご提供している中、CARDNET COUPLER・JTRANS COUPLERを採用いただきありがとうございます。
  新サービスを次々と短期間でリリースする開発において、製品のシミュレータ機能が開発のスピードアップに大変お役に立っていると伺い、嬉しく思います。
  今後もお客様がより良いサービスをご提供できるよう、ご支援させていただきます。


お客様プロフィール

名称 ウェブペイ株式会社 (英語表記:WebPay,Inc.)
設立 2013年5月
本社所在地 東京都品川区東品川ニ丁目2-28タチバナビル2F
資本金 9,900,000円
代表者 久保 渓
ホームページ https://webpay.jp/
ウェブペイ様ロゴマーク

(2014年3月末現在)

関連情報

【関連製品/ソリューション】

導入事例(PDF版)

  • WebPay は、ウェブペイ株式会社の商標または登録商標です。
  • CARDNET, JTRANS は、株式会社日本カードネットワークの商標または登録商標です。
  • CAFIS は、株式会社エヌ・ティ・ティ・データの登録商標です。
  • Amazon Web Services は、アマゾン テクノロジーズ インコーポレイテッドの商標または登録商標です。
  • 本事例中に記載の肩書きや数値、固有名詞等はインタビュー日現在のものであり、このページの閲覧時には変更されている可能性があることをご了承ください。

本事例についてのお問い合わせ

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)