2010.04.19

「NTTデータのペイメントソリューション」

通信環境のIP化に向け、新CAFISネットワーク誕生

安全、信頼、利便性の強化と、低価格化を目指す

　2000年以降、通信システムの多くは、「IP（Internet Protocol）」で構築されるようになっている。「CAFIS®」を取り巻くネットワークも例外ではない。NTTデータでは、IP環境への全面移行を視野にCAFISの再構築と機能強化を進めている。

通信インフラの変化とCAFISネットワークの対応

　「CAFIS®」*1のサービス開始は1984年。この四半世紀の間、通信環境の変化に合わせ、対応回線の充実や安全性、処理能力の強化を行ってきた。そしてここ数年、通信インフラに占めるTCP/IPの比重がますます高まるにつれて、CAFISも体質改善を余儀なくされている。

　現在、CAFISへのプライマリ接続パターンは、DDX-P、各種専用線、電話網ダイヤルアップでのX.25などのレガシー接続、そしてデジタル専用線によるTCP/IP接続の4つだ。このうちTCP/IP接続を除く3種類の仕様は、すでに時代のニーズとズレが生じている。

　まずDDX-P網は、提供元であるNTTコミュニケーションズが、今年3月末をメドにサービスを停止する。各種専用線接続と電話網ダイヤルアップも、ネットワーク機器の老朽化、保守の終了という課題を抱えており、CAFIS全体のTCP/IPへの移行は急務といえる状況だ。

新CAFIS IP-VPNの構築が進む

より高機能、安全な通信網を目指す

　CAFISの全ユーザーのうち、約半数がすでにTCP/IPで接続し、少しずつ移行も進んでいる。この流れに呼応し、ネットワークの強化も行われているようだ。NTTデータ第一金融事業本部カード＆ペイメント事業部商品企画担当課長代理の木村正樹氏は、「弊社としては最終的にIPに統合する計画ですが、当然、お客様にはただ移行をお願いするだけではなく、現状の『CAFIS IP-VPN網』を強化して、より高度なサービスをご提供します」と話す。

　具体的には、AES暗号に対応することでの「安全性強化」、複数の接続ルートを設定することでの「信頼性強化」、アクセス回線を多様化しいろいろなニーズに応える「利便性強化」、そしてもう1つは「低価格化推進」だ。これまで同社が培ってきたTCP/IP技術の蓄積を生かし、より高機能、低コストのサービス実現を目指す。

3年後の全面移行を視野に

移行期はプロトコル変換装置を提供

　新しいCAFIS IP-VPN網への全面移行は、3年後の2013年を予定している。当然ながら、DDX-PのX.25などレガシー（旧）手順でつないでいる企業が、一気にTCP/IPに切り替えることは容易ではない。レガシーの設備をIP化するには、ある程度のコストもかかる。

　「そうしたご事情も考慮し、移行するまでの暫定措置として、レガシーをIPに変換するためのCAFISプロトコル変換装置をご用意しました。一部のお客様には、すでにお使いいただいております。この装置を設置することで、お客様側の手順は変えずに、CAFISセンターとIPで接続できます」（木村氏）

　変換装置は、レガシー手順別に「CAFIS Lip®」と「CAFIS IPter®」の2種類がある。前者はアナログ専用線接続、後者がDDX-P接続で接続している企業向けだ。変換装置の配置に際しては、サーバシステム、ネットワーク機器などに改修が生ずることはないとのことだ。

　決済ネットワークに限らず、通信インフラのIP化が進む。信頼性、安全性強化、低コスト化、そして新サービスの開発に向け、新しい技術、アイデアが次々に注入されるIPの基盤の上で、CAFISネットワークもさらなる進化が期待される。

図1　新CAFIS ネットワークの全体像。現状のIP-VPN を強化し、
多機能のCAFIS IP-VPN にすべての企業を収容する [図をクリックで拡大]

お問い合わせ

株式会社NTTデータ第一金融事業本部カード＆ペイメント事業部商品企画担当

〒108-0074 東京都港区高輪2-19-13 高輪センタービル4F

TEL： 050-5546-9468　FAX： 03-3440-6983

URL： http://solution.cafis.jp/

リーディングカンパニーとしてセキュリティ対策で先行

PCI DSSでは6部門で認証取得し業界のモデルケースに

　情報通信システムは、インターネットなどオープンシステムの普及による利便性向上と引換えに、開かれた環境において、安全を確保する義務も負った。すべての企業は、経営方針としてのセキュリティポリシーから実装レベルに至るまで、安全対策を施すことが求められる。NTTデータは、決済インフラという経済社会の動脈を運営する企業として、セキュリティ対策で他社をリードしている。

セキュリティへの要求は加速

安全と低コスト化の並立を目指す

　情報システムが拡張するに伴って、セキュリティへの要求は、年々厳しくなっていく。多くの企業は、情報セキュリティマネジメントシステム「ISMS」*1への対応、そして対策を陳腐化させないため、継続的審査の実施が求められている。カードセキュリティでのより具体的な対策・実装を規定する国際基準「PCI DSS」*2も、定期的に要求事項が更新され、継続的な取り組みが重要である。認証取得はゴールではなく、環境変化、技術の進歩に合わせ、ブラッシュアップしていかねばならない。

　「セキュリティ確保といった安全に対する使命感、責任感は、どの企業様も当然持っておられます。ただ、安全対策に力を入れるほど、負担も増えるしコストもかかる。いかに効率よく、そして低コストで、安心、安全な環境、サービスをご提供するか？知恵の絞り所です」

　NTTデータ第一金融事業本部カード＆ペイメント事業部課長の小倉和人氏は、高い安全性の確保と、効率化、低コスト化の並立は難題としながらも、着実に歩を進めていく姿勢を示した。

決済ソリューションにおける対応

認証取得と点検作業を継続する

　「CAFIS®」を中心としたカード決済ソリューションを提供する同社は、足元を固める意味でも、その主要なシステムにおいて国際基準への準拠を鋭意進めている（図2）。まず、カード決済のインフラ、CAFISを運営する組織の方針として、2005年にISMS認証を取得した。

図2　決済ソリューションにおけるPCI DSS への取り組みの状況 [図をクリックで拡大]

　2006年3月には、CAFISのPCI DSS対応も開始し、2008年2月に準拠を終えている。「CAFISは、カード会社様、加盟店様など、カード関連の事業者様が、安心してご利用いただける決済ネットワーク。インフラを提供する企業として対応は重要です」（小倉氏）。安全性を対外的に明示する手段としても、PCI DSSのような客観的・具体的な指針は重視しているとのことだ。

　現在は、最新バージョンのPCI DSS 1.2に準拠。当然ながら、基準の更新への対応を含め、継続的に取り組む。「BlueGate®」*3、「CDS®」*4など、関連ソリューションにおいても同様のポリシーで準拠、継続審査、点検を行っていくという。

今後に向けたセキュリティの施策

キャッチアップと先取りも重要

　図示した6つのソリューション以外でも、決済関連サービスにおいて、国際基準への対応を検討している。技術面での安全強化も推進しており、その1つに、より強固な暗号方式の適用がある。暗号化アルゴリズムをより強度の高いものに、鍵長をより長いものにといった要素について、方針・適用を協議しているとのことだ。

　「セキュリティはいまや当たり前の話ですが、要求はどんどん厳しくなる。それにいかにキャッチアップしていくか？後追いではなく、先を見越した対応、前向きの姿勢も必須と考えます。繰り返しになりますが、実践するのは容易ではない。ただ、リーディングカンパニーを自負する以上、それを目指すしかありません」。小倉氏は最後にもう一度、より安全な決済環境を維持、そして一歩一歩改善していく意欲を示した。

お問い合わせ

株式会社NTTデータ第一金融事業本部カード＆ペイメント事業部カードネットワーク担当

〒108-0074 東京都港区高輪2-19-13 高輪センタービル4F

TEL： 050-5546-8039　FAX： 03-3448-1992

URL： http://solution.cafis.jp/

〈注釈1）
*1　「CAFIS®」Credit And Finance Information System の略。クレジットカード会社・金融機関・企業・加盟店などの間で、クレジット情報（与信照会、売上など）、および資金移動情報（デビット・サービスなど）のオンライン・トランザクションを中継するサービスで、月間トランザクションが2 億8 千万件を超える日本の決済インフラです。
●「CAFIS」「CAFIS Lip」「CAFIS IPter」は、日本国内における株式会社ＮＴＴデータの登録商標です。●その他、文中に記載されている商品・サービス名、および会社名は、それぞれ各社の商標または登録商標です。

（注釈2）
*1　ISMSとは、経済産業省から公表された情報セキュリティ管理に関する国際標準の導入に基づき、財団法人日本情報処理開発協会（JIPDEC）が2002 年4 月から運用開始している情報セキュリティマネジメントシステムの適合性評価制度です。現在ではISO/IEC 27001:2005として国際規格化されています。
*2　PCI DSSとは、国際カードブランドが中心となり、カードビジネス関連事業者向けに、機密として扱うべきカード会員情報や、取引情報の保護に関して、セキュリティ基準を確立するため、2004 年12 月に策定した基準です。
*3　「BlueGate」EC サイトでのクレジットカードなどインターネット決済に必要な基本サービスやアプリケーションをCAFIS 上でプラットフォーム化し、共同利用型のサービスとしてEC サイト事業者向けに総合的に提供するサービスです。
売り上げ規模に応じて決済処理方式を選択でき、3D セキュアなど最新の機能に対応しています。
*4　「CDS」Credit Data Transfer System の略。売上データや無効通知データ、有効性チェックデータの伝送・通知など、加盟店・クレジットカード会社間の大量のデータのやり取りを迅速に行うシステムです。
●「CAFIS」「INFOX」「CDS」「BlueGate」「PastelPort」は、日本国内における株式会社ＮＴＴデータの登録商標です。
●その他、文中に記載されている商品・サービス名、および会社名は、それぞれ各社の商標または登録商標です。