MIXI、オンライン決済基盤『MIXI M』の PCI 3DS 準拠にマネージドサービスの AWS KMS を活用し、内製でセキュアな仕組みを実現

ID・決済基盤への 3D セキュアサービス導入

人気のスマホゲーム『モンスターストライク』をはじめとするデジタルサービスに加え、プロスポーツチームの運営やスポーツベッティングサービスなど、幅広い事業を展開する MIXI。同社はエンターテインメントとスポーツを通じて、新しい体験価値の創出に取り組んでいます。同社が展開する『MIXI M』は、モバイルウォレットアプリ『6gram』を前身として発展させた、認証から決済までをワンストップで提供する基盤システム＆ウォレットサービスです。個人情報や決済情報、アセット情報を一元管理する機能に加え、プリペイドカード機能も備えた統合プラットフォームとなっています。MIXI が提供するサービスのバックグラウンドで稼働しており、ゲームのアイテムを購入できる Web ショップ、競輪・オートレースの車券が購入できる『TIPSTAR』など、さまざまなサービスと連携して認証から決済までのプロセスをシームレスに提供しています。

MIXI M の開発チームは十名程度で構成され、一般的な金融サービス事業者と比較すると小規模であるため、開発・運用工数の削減は常に最優先事項です。「開発担当、運用担当といった役割分担を設けず、メンバー全員が幅広く対応できる体制を整えています。私自身マネージャーですが、システムに問題が発生した際は自ら対応することもあります」と語るのは、開発本部 MIXI M 事業部の田岡文利氏です。

同チームは 6gram を立ち上げた当初から AWS のマネージドサービスを活用し、開発や運用の負担を軽減してきました。さらに 2022 年 11 月頃からは、プリペイドチャージやクレジットカード決済の安全性を高めるため、3D セキュアの内製化を検討しました。3D セキュアは、オンライン決済時にカード発行会社のシステムと接続して追加の認証を行い、ユーザーの購買意思を確認する仕組みで、より安全な決済を実現するものです。内製化に際しては、セキュリティ基準である PCI 3DS への準拠が不可欠となります。また、厳格な暗号鍵管理のため「FIPS140-2 Level3 以上」または「PCI PTS 認定の HSM（ハードウェアセキュリティモジュール）」の利用が義務付けられています。

PCI 3DS 要件の中でも、特に秘密鍵を保管する HSM の運用が課題でした。検討当初は HSM インスタンスで動作する AWS CloudHSM、またはオンプレミス環境に HSM サーバーを設置するという 2 つの選択肢がありましたが、少人数のためマネージドサービスを中心にシステムを構成している同社にとっては、運用負荷の増大に懸念がありました。

マネージドサービスを活用して PCI 3DS に準拠

その頃同社は、マネージド型の暗号キー作成・管理サービスの AWS Key Management Service（AWS KMS）で使われる HSM が 2023 年 5 月にアップグレードされ、FIPS 140-2 Level3 に対応したことを AWS 担当者との相談の中で知りました。そこで、AWS KMS を使った実装を目指すこととしました。「AWS の担当者とは日頃から連絡を取っており、PCI 3DS への対応についても相談していました。AWS のセキュリティスペシャリストを交えたミーティングで、AWS KMS がこの基準を満たすようになることを知って決断しました。当社はもともと暗号鍵の管理に AWS KMS を使用していたため、導入に際してもデメリットがないと判断しました」と、開発本部 MIXI M 事業部の浅見公輔氏は語ります。

MIXI M では以前から AWS Fargate をはじめとするマネージドサービスを活用し、クレジットカード情報の安全な取り扱いに関する国際基準である PCI DSS にも準拠したシステムを構築していました。3D セキュア対応のための AWS KMS で管理される鍵の操作は REST API を介して実行されており、リクエストが定義内であれば、アクセスの増減に伴う追加の作業は不要となります。また VPC endpoint を活用することで、プライベートな経路で API を呼び出しています。AWS KMS で管理する鍵に対する変更や使用状況は AWS CloudTrail に記録されて確認が可能です。さらに、AWS KMS への論理アクセスはキーポリシーで管理されており、鍵へのアクセスを許可された IAM ユーザーや IAM ロールを鍵側から制限できるようにしました。

少人数・低コストで内製化と安定運用を実現

田岡氏は「3D セキュアの内製化において、AWS KMS の採用は非常に効果的でした」と語ります。システムの変更方法によっては PCI 3DS の取得を目指すために、運用中の PCI DSS 環境にも影響が及ぶ可能性もあり、データセンターのラックに HSM サーバーを置く場合、専用線や設備投資なども必要となるため負担が大きくなります。「HSM 環境の開発経験がない中で、自前での構築・運用は大きな負担となるところでした。ゲームイベント時には Web ショップの利用が急増することもあるため、変動に柔軟に対応できるマネージドサービスの活用は、我々の方針とも合致していました。結果的に、多大な労力や費用をかけることなく、安全な決済環境を構築できました」（田岡氏）

外部の専用サービスを利用して 3D セキュアを提供する場合、契約料や手数料が発生します。今回の内製化によって、一般的な 3D セキュアサービスを利用する場合と比べても、非常に低コストで実現できました。

「内製化したことで、きめ細かな対応が可能になりました。外部の 3D セキュアサービスを利用する場合、接続の問題やシステム障害に左右されることが多いのですが、当社はサービス開始以来、マネージドサービスに起因する障害は一度もなく、安定して運用できており、事業における機会損失も避けられています」（浅見氏）

3D セキュアの内製化は稀少なケースで、未知への挑戦でもありましたが、AWS KMS の採用によりスムーズな移行を実現することができ、業界内でも注目を浴びています。MIXI M のチームは、状況に応じて自社開発と外部サービスを使い分けるという選択肢も確保できました。MIXI M には、ID に基づくさまざまな決済データが蓄積されており、解析や不正検知などデータ活用の可能性は広がっています。

一方で、取り扱う情報の機密性を考慮して慎重に検討を進めていく必要があります。田岡氏は「現状ではエンジニアがデータ活用の領域に踏み込むにはハードルが高く、対応しなければならない部分も多くあります。今後、より使いやすいマネージドサービスが提供されることで、安全かつ効率的なデータ活用が可能になり、ユーザーの皆様により良いサービスを提供できると考えています」と今後の AWS への期待を語りました。