PCI DSS監査体験記 - ROBOT PAYMENT TECH-BLOG
どうも!! ペイメントシステム課の川上です!! サブスクペイの中の人です!! 今回は、先日実施されたPCI DSSバージョン4の監査に参加した所感を書きます。 ちなみに私は、昨年サブスクペイにジョインするまでPCI DSSに関わったことはありませんでした。 ですので元シロウトなりに感じたことを綴りたいと思います。。。 PCI DSSってなんだっけ PCI DSSについては我らがボスが詳しく分かりやすく説明してくれています。 「PCI DSSなにそれおいしいの」状態の方は、まずはこちらをご覧いただければ幸いでございます(宣伝)。 tech.robotpayment.co.jp 備えよ常に ボスのブログでは「毎年監査を受け」ていることしか書かれていませんので、ここをもう少し掘り下げてみましょう。 PCI DSSに準拠するには、PCI SSC(PCI Security Standards Cou
TerraformコードをリファクタリングしながらDBバージョンアップを進めた話 - ROBOT PAYMENT TECH-BLOG
こんにちは。ROBOT PAYMENTでSREをしている @trunkatree です。 請求業務自動化サービスである 請求管理ロボ はAWS上にシステム構築しており、DB(データベース)にはAmazon Auroraを利用しています。インフラ構成管理にはTerraformを用いており、DBもそこに含めて管理しています。今回はDBバージョンアップ対応(= Auroraのアップグレード対応)の際に実施した、各環境のDBを順次バージョンアップしていくためのTerraformコードの工夫についてご紹介したいと思います。 はじめに 前置き 工程の概要 工程の詳細 1. 【事前作業】 1-1. module.database に対してcountを導入し module.database[0] にする 1-2. module.database-v2[0] を新規作成する 1-3. module.data
PCI DSSバージョン4.0について - ROBOT PAYMENT TECH-BLOG
こんにちは、開発統括室ペイメントシステム課マネージャーの戸田です。 前回 、決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介いたしましたが、このPCI DSSはバージョンによって要件が多少異なっております。 現在弊社はバージョン3.2.1に準拠しておりますが、PCI DSS自体は2022年3月にバージョン4.0にメジャーバージョンアップされました。 今回はバージョン4.0リリースの影響と我々の取り組みについて少しご紹介したいと思います。 バージョン3.2.1とバージョン4.0について 主な変更点 機密認証データの扱い 暗号化 フィッシング攻撃への対策 公開用WebアプリケーションへのWAF導入 決済ページスクリプトの管理 パスワード関連 カード会員データ環境へのアクセスのMFA実装 監査ログレビュー 内部脆弱性スキャン リスク分析 バージョン4.0に向けた取り組み バー
並列処理と排他処理 - ROBOT PAYMENT TECH-BLOG
こんにちは、ROBOT PAYMENTの開発統括室ペイメントシステム課のtaniguchikun です。 たまたま業務で並列処理と排他処理を実装することになったので、その辺について記事にしたいと思います。 並列処理とはなんぞや 例え話 排他処理 今回のキーワード ミューテックス セマフォ Lock関数(C#言語) チェックポイント 静的変数 サンプルコード ミューテックスの挙動確認 セマフォの挙動確認 ロック関数の挙動確認 並列処理とはなんぞや 恐らく本記事を読まれている方はエンジニアの方々だと思いますが、一応軽く解説をしたいと思います。 並列処理とは複数の処理を同時に行うといったものになります。 例え話 上記でピンとくる方は読み飛ばしていただいて問題ないです。 一般の方でプログラミングしたことがない方ですと例え話で説明した方がピンとくるものがあると思うので、現実世界のバスに例えたいと思い
請求管理ロボSREチームの方針とここ1年ほどの活動について - ROBOT PAYMENT TECH-BLOG
こんにちは、SREの @trunkatree です。 今日は請求管理ロボSREチームのここ1年ほどの活動についてご紹介したいと思います。 本ブログを通してSREチームがどんなことを目指して、どんなことを考えて、どんなことに取り組んでいるのかが伝わればいいなと思っています。 請求管理ロボシステムではちょうど1年ほど前に"開発チームで開発運用するモデル"へ移行していく方針を決め、SREチームはそれを念頭に置いて活動を続けています。 まずはそれに至った経緯からお話したいと思います。 "開発チームが開発運用するモデル"へ移行することになった経緯 "開発チームが開発運用するモデル"へ移行するにあたり考えたこと "開発チームが開発運用するモデル"へ移行するにあたりやっていくこと 2021年度やったこと Terraformのバージョンアップ、インフラリソースのTerraform化、TerraformのC
TerraformでFeature Toggleを実装する - ROBOT PAYMENT TECH-BLOG
こんにちは。ROBOT PAYMENTでSREをしています @trunkatree です。 今回は、TerraformでFeature Toggleを実装する機会があったので、それについてご紹介したいと思います。 きっかけ Feature Toggleとは 実装 おわりに きっかけ 今年はじめ頃、請求管理ロボでは本番環境とは別にデモ環境を用意し提供することになりました。このデモ環境は、お試しやシステム連携の開発等で利用していただく環境です。そのため基本的には本番環境と同じ機能を提供し、必要に応じて先行リリースを行うような運用をしています。 アプリケーションに加えTerraformでの開発も必要な機能を先行リリースしたいという話が出てきました。環境ごとに別のソースコードをデプロイしたい場合、環境ごとにブランチを分ける運用(例えば本番環境はmainブランチでデモ環境はdemoブランチなど)にす
サブスクペイのPCI DSS対応 - ROBOT PAYMENT TECH-BLOG
こんにちは、ペイメント事業部システム課マネージャーの戸田です。 今回はサブスクペイのシステム基盤である決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介します。 PCI DSSとは 要件ごとのPCI DSS対応状況 要件1、2 安全なネットワークとシステムの構築と維持 要件3、4 カード会員データの保護 要件5、6 脆弱性管理プログラムの維持 要件7、8、9 強力なアクセス制御手法の導入 要件10、11 ネットワークの定期的な監視およびテスト 要件12 情報セキュリティポリシーの維持 今後の課題 まとめ PCI DSSとは まずPCI DSSとは何かご存じでしょうか? 簡単にご説明すると、クレジットカード情報を安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準となります。 詳しくはPCI SSCや日本カード情報セキュリティ協議会などのドキュメ
AWS App Runnerを使って簡単にデプロイできました - ROBOT PAYMENT TECH-BLOG
こんにちは。ROBOT PAYMENTでエンジニアをやっております 牧野です。 今回は、NestJS を使って最速リリースを目指している話 こちらの記事の続編としてAWS関係やCI/CD周りの記事を書いていこうと思います。 結論として、インフラ側のアーキテクチャは以下のような感じになりました。 AWS App Runner まずコンテナを運用する要のAWSアーキテクチャとして、AWS App Runnerを利用しています。 docs.aws.amazon.com 簡単に説明すると ざっくり面倒なインフラ設定(ネットワーク、オートスケーリング、ロードバランシング、SSL、CI/CDなど)これらをまとめて(隠蔽して)提供しているサービスです。 メリット ECRへのコンテナイメージのpushをトリガーに自動デプロイ 個別にELBやAutoScalingを組み合わせた設定が不要 ロググループの自動
新規プロダクトのAWSサービスコスト見積もり - ROBOT PAYMENT TECH-BLOG
こんにちは。ROBOT PAYMENT (以下、ロボペイ)でエンジニアをしているtakamoriです。 私が所属しているチームでは、新規SaaSプロダクトを開発しており、その中でAWSサービスのコスト見積もりを行いました。 そこで今回は、AWSサービスのコスト見積もり方法を書いていきたいと思います。 ※ 注意 ※ 今回の見積もりでは、無料利用枠を考慮していません。 無料利用枠を加味すると、実際の使用料金は見積もりより安くなる可能性があります。 また、見積もりの入力値は、実際のプロダクトで利用する値とは異なる参考値です。 対象のAWSサービス AWSサービスの見積もり方法 AWSサービス見積もりの難しいポイント 見積もり詳細 AWS Amplify 必要なパラメーター パラメーター試算 結果 Amazon Simple Storage Service (S3) 必要なパラメーター パラメータ
リモートワークはコミュニケーションが大事 - ROBOT PAYMENT TECH-BLOG
こんにちは、株式会社ROBOT PAYMENTの本体チームに所属するエンジニアの林です。 新卒で入社してから3年目になります。入社した時は、ちょうどコロナが始まる時期でした。当時を振り返ると、新卒の私にとって、いきなりのリモートワークはなかなかに不安でした。今回はリモートワークで気づいたことを書きます。 リモートワークから生まれた課題 仕事に集中しにくい 時代の変化に鈍感になった 対面でコミュニケーションを取れない コミュニケーションの機会を作ろう おまけ リモートワークから生まれた課題 仕事に集中しにくい 自宅での仕事はオフィスで働いているような緊張感がないので、仕事に集中できないことがありました。 時代の変化に鈍感になった ずっと自宅で仕事しているため、通勤回数やオフィスにいる時間、外食も減りました。その結果、日常の中での思わぬ経験が減るため、時代の変化やトレンドに鈍感になりました。例
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
サブスクペイのシステム開発の流れ - ROBOT PAYMENT TECH-BLOG
こんにちは、ペイメント事業部システム課マネージャーの戸田です。 今回はサブスクペイのシステム基盤である決済システム開発フローについて紹介します。 決済システムの開発サイクル 決済システムの開発フロー 要望確認 リリースプランニング インセプションデッキ作成 要件定義 設計開発 ユニットテスト チェックシート作成 テスト POレビュー ドキュメント整備 リリース手順更新 リリース 課題 まとめ 決済システムの開発サイクル まずリリースサイクルですが、請求管理ロボは毎週リリースされますが、サブスクペイは毎月リリースのサイクルで開発を行っています。 リリースが月単位なのは、現在システム環境のほとんどがWindowsサーバーを利用しており、毎月のWindows Updateの適用で一時的にサービス停止を行うため、そのタイミングでリリースも行っております。 また、サブスクペイはクレジットカード情報を
サーバーレスな非同期メール配信サービスを作ったら組織の未来が見えた話 - ROBOT PAYMENT TECH-BLOG
こんにちは、SREチームの田中(@j_untanaka)です。 先日、請求管理ロボのメール送信処理を改善するための内部的なサービスをリリースしました。 今回はその技術的な側面と、開発を通して得た所感などを書いてみたいと思います。 課題だったこと 機能 技術スタック、システム構成 よかったこと 技術選定 開発期間 メンバーのモチベーション この経験を生かして 課題だったこと 請求管理ロボではメール送信にSendGridを使用しています。 サービスの性質上、請求書送付やユーザへのお知らせ通知等大量にメール送信する場面があるのですが、多くの機能においてメール送信(SendGridへの送信リクエスト)を1件ずつ直列に実行していたことにより、利用者の増加にともないパフォーマンス低下を招いている状況でした。 APMでボトルネックを確認すると、やはり外部サービスへのリクエストとなっている分SendGri
ペイメントサービスプロバイダー(PSP)ってなに? - ROBOT PAYMENT TECH-BLOG
こんにちは、ROBOT PAYMENTのペイメント事業部システム課の谷口です。 本記事では「ペイメントサービスプロバイダー(PSP)とはなんぞや」という点で執筆させて頂きました。 ペイメントサービスプロバイダー(PSP)ってなに? 弊社(株式会社ROBOT PAYMENT)の一部決済処理の仕組みをご紹介したいと思います システム構成(下記図) もしPSPを使用しないと何をしないといけないのか PSPを活用される事で得られることは何か 弊社(株式会社ROBOT PAYMENT)と他社PSP様では何が違うのか 総括 ペイメントサービスプロバイダー(PSP)ってなに? PSPとは簡潔に言いますとクレジットカードや口座振替、コンビニペーパーレス等の各種決済手段を取り扱っている仲介人とイメージして頂けますと想像しやすいかと思われます。 ビジネスモデルはBtoBtoCになります。 弊社(株式会社ROB
ROBOT PAYMENTのCREを考えてみた - ROBOT PAYMENT TECH-BLOG
こんにちは、株式会社ROBOT PAYMENT(以下、ロボペイ)でCREを担当している山下です。 私が所属するCREチームは発足してもうすぐ1年が経過し、手探りではありますが少しずつ存在意義が明確になってきました。 そこで今回は、ロボペイのCREチームについて書いていきたいと思います。 ■CREってなに? ■ロボペイのCREのはじまり ■目指すCREの形 ■最後に ■CREってなに? そもそもCREとは何か・・・。 (CREチームが発足した当初、 メンバーみんなでCREについて考えたのを思い出します笑) CREとは、Googleから始まった専門職で、 Customer Reliability Engineer(顧客信頼性エンジニア) 『お客様の基幹アプリケーションにおける主要な要素を、コードからデザイン、実装、運用手順に至るまで綿密に調査します。そこで見つけたものを取り出し、アプリケーショ
E2E自動テストサービスAutifyを導入しました - ROBOT PAYMENT TECH-BLOG
はじめに Autify導入前の状況と課題 初期(2016年頃〜2018年頃) 中期(2019年〜2020年) 現在(2020年〜) Autify導入時のススメ方 導入、運用時の工夫 Autify導入後の現状 今後について さいごに はじめに こんにちは。 請求管理ロボPMの田本(@tamotamo97)です。 今回はE2E自動テストサービスのAutifyを導入するに至った経緯と導入してからどうなったかを書いていこうと思います。 品質向上(ここでいう品質は主にシステム不具合)に関しての施策はどの会社でも色々な施策を実施されていると思います。 1ケースとしてご参考になれば幸いです。 Autify導入前の状況と課題 Webサービスに限らずシステムを運用していくに当たり、不具合はつきものです。 不具合にも色々ありますが、その中でも既存機能の不具合は新規機能よりも既存ユーザーに大きな影響があるため、
SREとして仕事をしていて最近思うこと - ROBOT PAYMENT TECH-BLOG
この記事は Qiita の SRE Advent Calendar 2019 7日目に寄せて書きました。 こんにちは。請求管理ロボシステムチームの @trunkatree です。 今回は私の所属するSREチーム(私と @j_untanaka さん)が仕事をしていて最近思うことをまとめてみます。若干フワッとした内容ですが、毎日つづく Advent Calendar の息抜きだと思ってどうかお付き合いください。 前置き クラウド時代は情報収集が大切 SaaSに合わせる設計思想 終わりに 前置き 最初に自己紹介がてらチーム体制について注釈させてください。 私たちは「請求管理ロボ」という SaaS を自社で開発運用しています。サービスや基盤の概要はこちらの記事( 請求管理ロボシステム基盤の概要 )をご確認いただければと思いますが、システムはAWSで動いています。 システムチームでは現在10名のエン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
