株式会社デジタルガレージ イーコンテクストカンパニー様
タイムサーバTS-2520
■ セイコープレシジョンお客様に聞く - 株式会社デジタルガレージ イーコンテクストカンパニー
株式会社デジタルガレージ イーコンテクストカンパニーはインターネットのショッピングサイトなどに対して、決済プラットフォームを提供するリーディングカンパニーである。大手ショッピングモールや検索サイトとも関わりが深い同社は、「PCI DSS」というクレジットカード業界の国際的情報セキュリティ基準に完全準拠するなど、セキュリティ対策にも積極的に取り組んでいる。 同社は2008年11月にタイムサーバの導入を検討し、翌2009年1月には本格的な運用開始というスピード導入を果たした。その経緯やセイコープレシジョン製品が選ばれた理由について、システム業務本部システム部 部長 張替英明(写真左)氏と同部シニアマネージャー川粼豊(写真右)氏に詳しく伺った。 
-- デジタルガレージ イーコンテクストカンパニーの業務内容について教えて頂けますか。 ネットショップに対して、主に決済プラットフォームである「econtextゲートウェイ」を提供しています。 決済プラットフォームとは、ネットショップで買い物をしたお客様からの支払代金の回収を代行し、回収した代金をネットショップにまとめて渡すというサービスです。 インターネットで買い物をする場合、クレジットカード決済、銀行振込、代引き、コンビニ決済等、様々な代金支払い方法があります。 ネットショップで使える支払い方法は、幅がある方が利便性が高く、エンドユーザにとって利用しやすいショップとなります。そのための支払い手段を提供するシステムがecontextゲートウェイです。 もちろん、econtextゲートウェイはクレジットカード決済、銀行振込、代引き、コンビニ決済、Pay-easy、郵便局の払込票等の支払い方法すべてに対応しています。 提携ネットショップ数2万3047社、取扱件数661万件、取扱高551億円(いずれも2009年1月現在 取扱件数、取扱高は半期当たりの数字)となっています。 支払いできる拠点は全国に約6万6300拠点あり、銀行振込、郵便局での振替はもちろん、コンビニエンスストアは90%以上をカバーしています。 -- econtextゲートウェイの特長は何でしょうか。 特長は2点あります。 1つはお客様から預かったお金を分別管理していることです。分別管理とは、私どもの事業費と、お客様からの預かり金をまったく別に管理することです。簡単に言えば、預かっているといいながら、勝手にこちらではお客様のお金に手を出せないということですね。 これによって、万が一、当社が経営危機に陥った場合でも、エンドユーザからの預かり金は全額保護され、ネットショップに支払われます。 これはほかの決済・収納代行システムではやっていないことです。 2点目は、支払いサイクルが短いことです。エンドユーザからお金をお預かりして、ネットショップに5銀行営業日で連絡、8銀行営業日で支払いを行っています。収納代行システムの一般的な支払いサイクルは通常1カ月ですが、当社は例えばカード会社がお客様の口座から引き落としをする前でも、売上に対して立て替え払いをすることで、支払いサイクルの短期化を実現しています。これはキャッシュフロー的にもお客様にメリットがあると考えています。 
-- この度、どのような目的でタイムサーバを導入されたのでしょうか。 2008年11月にPCI DSSというクレジットカード業界の国際的情報セキュリティ基準に準拠するために監査機関のチェックを受けました。それまでコンピュータの時刻合せはインターネットを利用して公開されているNTP(Network Time Protocol)で行っていました。しかし、チェックを受けた際に、時刻の同期はインターネット経由でない方式で行うよう指導を受けました。インターネット経由ではセキュリティ面に問題があるためです。 インターネット経由以外の方法を調べたところ、独自にタイムサーバを設置し、電話(テレホンJJY:電話回線経由の時刻配信サービス)やGPSで時刻を取得する方法があることが分かりました。 セイコープレシジョンのタイムサーバはどの方式でも対応可能でしたが、GPSを利用して同期を行う場合、データセンターにアンテナを設置しなければなりません。ケーブル敷設やアンテナの設置工事、アンテナ設置後の管理や費用の問題もあり、今回はGPSではなく電話での時刻取得方法を選択しました。電話の場合、大掛かりな工事が要らず、電話線を引くだけですぐ利用できるというメリットがありました。
-- PCI DSSの準拠認定のための診断プログラム「AIS」に基づく監査も受けたということですが。 当社はAISの中でも最も厳しい大型加盟店を対象とした“レベル1”のバリデーション(検証)を受けています。AISは加盟店の取引規模によって監査内容が異なるのですが、レベル1のバリデーションは、 ①問診票による自己診断 ②脆弱性スキャニングテスト ③訪問調査 といった内容となっています。 脆弱性スキャニングテストとはいわゆる侵入検査で、わざとシステムへの攻撃を行い、不正アクセス、ハッキング、悪質なウィルスなどの外部の脅威からシステム全体が保護されるかどうかをチェックします。ネットワーク機器、ホスト、アプリケーション等、システム内にある全ての機器やソフトウェアについてテストを受けるという厳しいものです。 レベル1の監査がさらに厳しいのは、他のレベルにはない訪問調査を受けることです。 訪問調査では、セキュリティ対策・運用状況や情報管理体制についてインタビューや確認、コンピュータやネットワーク機器に関するセキュリティ設計のチェック等が行われます。 これらの調査をパスし、PCI DSS準拠の認定を無事受けることができました。
※PCI DSS(Payment Card Industry Data Security Standard) クレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準
― セイコープレシジョンのタイムサーバを選んだ理由は何でしょうか。何が決め手となりましたか。 まず、テレホンJJYによる時刻の同期が国際基準のPCI DSS要件を満たしていたので、テレホンJJYを使って時刻同期ができるタイプに絞りました。 今回導入したものは運用時の誤差もミリ秒単位という非常に正確なもので仕様的に満足がいくものでした。テレホンJJYは電話回線経由で時刻同期できるので、電話線を引くだけで実現できるのも良かったですね。データセンターという性質上、新たな設備・デバイスを設置する必要がないというのも大きな魅力でした。 さらに、タイムサーバは高額なものが多い中、セイコープレシジョンのタイムサーバは海外製品の約半分の費用で導入できるという費用的なアドバンテージもありました。 時計の世界では世界標準のセイコーの製品ですから、タイムサーバの正確さにも期待ができます。 これらの理由から、セイコープレシジョンのタイムサーバを導入することにしました。
― 導入時の日立システムアンドサービスのサポートはどうでしたか。 今回は、いかに早く導入するかが一番の問題でした。そこで、導入の際の設定シートをもらい、設置の疑問点などを素早く解決しました。 また、日立システムアンドサービスに、購入時に希望の設定内容を伝えたところ、タイムサーバが届いたときには希望の通りの設定になっていました。設置時に当社がやったことは、もちろんシステム全体の動作のチェックはありますが、強いて言えば電話回線に接続して、実際に時報で同期できるか確認しただけ、といえます。 結果として、こちらの予想以上にスムーズに稼働に至ることができました。
― 導入してみて、使い勝手はいかがでしょうか。 1日6回、4時間おきに時刻同期をする設定にしています。稼働後は時折、管理画面で同期していることを確認している程度です。 故障や動作不良、時差によるトラブルも発生していないので、他には何もやることはありません。導入して時刻同期をしていること自体を忘れてしまうほど、当社の中で自然な存在となっています。 使い勝手がどうだ、というほど触らずに済んでいることが一番いいところでしょう。 ― 導入してどうでしょうか。導入効果はありましたか。 導入前よりも同期回数を増やしたこともありますが、インターネット経由で時刻同期をしていたころよりミリ秒単位で正確になっています。 システム全体の時間が正確だということは非常に安心感がありますね。
― 今後、時刻同期はどのようになっていくと思われますか。 情報システムが複雑化していくにつれ、時刻の正確さの重要性はますます高まっていくことと思います。また、事業が拡大していく上で求められるセキュリティは、さらに高度になっていくことは間違いありません。 それらを考えると、今後、時刻同期は必要不可欠なものとなり、タイムサーバに求められる時刻の正確性は、さらに厳密になっていきます。正確な時刻同期ができるセイコープレシジョンのタイムサーバの必要性はどんどんと高まっていくでしょう。 -- 本日はお忙しい中、貴重なお話をありがとうございました。 ※ 株式会社デジタルガレージ イーコンテクストカンパニーのWebサイト ※ 取材日時 2009年4月 |
 |
 |
|---|---|
