Amazon Web Services ブログ
MIXI M が AWS Key Management Service(KMS)を用いて 3D セキュアを実装、暗号鍵管理とコンプライアンス対応のコストを最小化
MIXI は、認証から決済までをワンストップで提供する、基盤システム & WALLET サービスである MIXI M を消費者向けに展開しています。このたび、お客様は MIXI M に 3D セキュアを実装しました。3D セキュアは、追加の認証によってユーザーの購買意思を確認する仕組みで、より安心・安全なオンライン決済体験を実現します。
以下はユーザーから見た 3D セキュアを含む決済体験のイメージです。
3D セキュアの提供にあたってはセキュリティ基準 PCI 3DS への準拠が不可欠です。お客様は、PCI 3DS が求める厳密な鍵管理を、AWS Key Management Service (AWS KMS) を用いて実装し、同基準に準拠しました。
PCI 3DS では、一部の鍵管理に FIPS140-2 Level3 以上もしくは PCI PTS 認定の HSM の利用を規定しています。このため、以前は AWS KMS は利用できませんでしたが、2023 年 5 月に AWS KMS 内部の HSM が FIPS140-2 Level3 にアップグレードしたことにより、要件を満たすようになりました。お客様の検討段階では AWS KMS を用いた PCI 3DS 準拠の先行事例はありませんでしたが、AWS からの支援を通じて、AWS KMS を利用するメリット、PCI 3DS QSA (認定審査人) との会話のポイントがクリアになったことから、 AWS KMS を第一選択肢として設計が進みました。
- コンプライアンス対応の削減
AWS におけるコンプライアンス対応は、責任共有モデルに基づいて利用者と AWS が分担します。マネージド型サービスなど抽象度の高いサービスを使えば使うほど、利用者の責任範囲が減少し、コンプライアンス対応のより多くを AWS にオフロードできます。当初予定していた AWS CloudHSM を利用する場合に比べて、AWS KMS の利用によりコンプライアンス対応が削減されることは明らかでした。PCI 3DS では準拠後にコンプライアンス維持のための運用が必要となるため、これを削減できることはメリットでした。 - 運用の削減
AWS CloudHSM では、HSM のバックアップやクラスターの管理の一部を利用者自身で行う必要があります。一方、AWS KMS はマネージド型サービスのため、全て AWS に任せることができます。お客様は少人数でも運用が可能なマネージド型サービスを積極的に採用しているため、AWS CloudHSM よりマネージドな AWS KMS が利用できることに大きなメリットがありました。 - AWS SDK の活用
AWS CloudHSM では、鍵へのアクセスに PKCS #11 や OpenSSL Dynamic Engine といった HSM 標準の SDK の利用が必要でした。一方、AWS KMS が管理する鍵へのアクセスはお客様が慣れ親しんだ AWS SDK を利用することができるため、開発やテストが容易である点がメリットでした。 - アクセス保護
PCI 3DS では鍵への物理的、論理的アクセスからの保護要件が存在します。物理的アクセスは両サービスともに AWS の責任範囲である一方、論理的アクセスからの保護は利用者の対応も必要です。AWS CloudHSM では HSM の仕様に沿った保護が必要な一方で、 AWS KMS ではキーポリシーの利用によりこれまで活用してきた AWS Identity and Access Management (AWS IAM) の仕組みで実現できることにメリットがありました。 - ランニングコスト
AWS CloudHSM は時間課金制で HSM の料金が発生するため、最小構成(2台)でも月額 $3,400 程度となり、スケールアウトする際には1台ずつ追加が必要です。一方、AWS KMS はリクエスト単位で費用が発生するため、リクエスト数に応じて無駄なくコストを支払うことができます。そのため、想定していた費用を大きく削減することができました。
アーキテクチャ
MIXI M における 3D セキュアの実装に関わるアーキテクチャの一部を紹介します。
お客様は以前より MIXI M で Amazon API Gateway などマネージド型サービスを積極的に活用しており、また PCI DSS に準拠しています。
AWS KMS で管理する鍵を使用する操作は REST API を介して実行します。 AWS KMS で定義されたリクエストクォータの範囲内であればアクセスの増減に対して追加の作業は発生しません。VPC Endpoint を活用することでプライベートな経路で API を呼び出します。AWS KMS で管理する鍵に対する変更や鍵の使用は AWS CloudTrail に記録され確認が可能です。AWS KMS への論理アクセスはキーポリシーで管理しており、鍵へのアクセスが可能な IAM ユーザーや IAM ロールを鍵側から限定することができます。
お客様からの声
田岡 文利様 (株式会社 MIXI 開発本部 MIXI M 事業部)
PCI 3DS 準拠は弊社にとって前例がなく、非常にチャレンジングな課題でした。弊社担当の AWS アカウントチームに問い合わせたところ、ニーズを瞬時に理解いただき、迅速にセキュリティスペシャリストとのミーティングを設定していただけました。ミーティングでは数々の有益な情報をご提供いただき、結果として安全性と信頼性を担保しながら迅速に PCI 3DS 準拠への対応を行うことができました。
浅見 公輔様 (株式会社 MIXI 開発本部 MIXI M 事業部)
MIXI M では小規模チームでフルスタックに開発と運用を行っており、運用と開発のコスト削減は常に最優先事項です。AWS KMS を利用することで PCI 3DS で必要となる運用コストを大幅に削減でき、3D セキュアのシステム開発に集中できました。私達は AWS のフルマネージド型サービスをフルに活用していますが、フルマネージド型サービスの活用による開発・運用コストの削減は大きなベネフィットがあると改めて確認しました。
まとめ
お客様は AWS KMS を利用することで運用コストを低く抑えつつ 3D セキュアの実装と PCI 3DS 準拠を達成しました。今後も マネージド型サービスのメリットを活かしてアーキテクチャを最適化し、サービス向上につながる様々な機能の実装を進めていきたいとのことです。
著者
- 秋山 周平(ゲームソリューションアーキテクト)
- 中島 智広(シニアセキュリティソリューションアーキテクト)