今回はAWSを利用してPCI DSS準拠のシステムを構築するを構築すると何が良いかについてお話ししたいと思います。
ちなみにPCI DSSというのは、Payment Card Industry Data Security Standardの略で、アメリカンエキスプレス、Discover、JCB、マスターカード、VISAの国際カードブランド5社が共同で作成したカード情報セキュリティの国際統一基準です。
クレジットカードを取り扱うシステムはこの基準に従う必要があります。
また、クレジットカードだけではなく、個人情報を保存するシステムやその他システムを安全に構築し、運用するために広く、応用できる基準だと思います。
最近、PCI DSS準拠のシステムを構築する場合にAWSを利用するケースが増えてきています。
そもそも、AWSのようなパブリッククラウドサービスが出る前は、自社のデータセンターで構築する以外の選択肢はありませんでした。しかし、今は、様々なサービスでAWSで構築するということが多くなってきています。
それでも、クレジットカード情報を取り扱うPCI DSS準拠のようなシステムにおいては、パブリッククラウドについてのノウハウがなかったり、絶対に安全に守らなければいけないクレジットカード情報をよくわからないクラウドサービスに預けるのは漠然と不安だという気持ちもあるのではないかと思います。
ですが、それはすごくもったいないです。
AWSをはじめとするパブリッククラウドのサービスや特徴をしっかりと理解して使うことで、PCI DSS準拠のようなセキュアなシステムを作ることができます。さらに、自社のデータセンターで構築する場合と比較して、AWSを利用した場合には、下記のようなメリットがあります。
- 短期間で構築ができる
- 低コストで構築ができる
- 急激なアクセス増加にも対応可能
短期間で構築ができる
自社のデータセンターの場合には、データセンターへの入退館の管理やカード環境監視カメラの設置など物理環境のセキュリティを自分達で準備する必要がありますが、既にPCI DSS Level1サービスプロバイダーを取得しているAWSの環境を利用することで、ここにかかる時間を短縮することができます。自社データセンターでゼロからPCI DSS準拠のシステムを構築しようと思ったら、データセンターの選定や、物理的な環境の整備などで少なくとも1年はかかると思います。しかし、AWSを利用することで半年などかなりの短期間で構築することが可能な場合もあります。AWSのサイトで紹介されている事例では4ヶ月でPCI DSS準拠のシステムを構築したという事例も紹介されています。
PCI DSSへの準拠をはじめ、導入や運用のコスト面及びサービスの スケーラビリティも考慮すると、AWSを使わない手はありません
低コストで構築ができる
AWSの場合は、使った分だけお金を払えば良いので自社センターの場合のように最初から何台もサーバを用意しておく必要がありません。水道水が蛇口をひねれば使いたいだけ使えるように、使いたい時にすぐに使いたいだけつかうことができます。ですので、最初は小さく初めて、徐々にサービスを大きくしたい場合にも適しています。
急激なアクセス増加にも対応可能
自社データセンターのサーバは急に増設はできませんので、重要なのがサイジングです。私も自社センターでシステムの運用を行っていたときは、これまでの傾向から3ヶ月後にどれくらいのサーバが必要になるか事前に傾向を予測して見積もりを行い、必要なサーバリソースの準備をしていました。また、テレビCMで商品が紹介されたことで急激にアクセスが増えたりした場合に用意したサーバでは足りずに、サイトが利用できず、ビジネスチャンスを逃してしまうということもあります。AWSの場合にはAutoScalingGroupを使用することで、サーバの負荷増に応じて自動的にサーバの台数を増やすことができるので、そのような心配が不要になります。
AWSとPCIDSSについて学ぶには
ただし、AWSを使って PCI DSS準拠するシステムを構築する上で、上記のようなメリットを最大限に活用するにはAWS、PCI DSSの双方を熟知して精通している必要があります。今後このブログで色々なAWSやPCI DSSについてのノウハウを紹介していきますのでぜひ読んで挑戦してみてください。
