新しいコミュニティの立ち上げをこの目で見ることは、記者としても望外の喜び。数多くの専門勉強会が存在する都内のJAWS-UGにおいて、新たに生まれたのがX-Tech JAWS（エクステックジョーズ）になる。10月20日に行なわれた第1回の勉強会のうち、まずは前半をレポートする。

異業種同士の交流の場として生まれたX-Tech JAWS

　立ち上げ宣言から、約1ヶ月というスピードでX-Tech JAWSを立ち上げた吉江瞬さん。Security-JAWSの運営メンバーでもあり、NW-JAWS（Network-JAWS）とのコラボレーションも仕掛けてきた。そんな吉江さんは、新たなコミュニティを立ち上げた経緯について、「セキュリティエンジニアとして長らくFinTechの勉強会に参加してきたけど、ほかの業界のことを知りたくなった」と説明する。

　実際、クラウドの普及によって、あらゆる業界でテクノロジーと既存ビジネスとの混交が始まりつつある。これら一連の動向は「X-Tech」と呼ばれており、金融業界のFinTechをはじめ、農業業界のAgriTech、教育業界のEdTech、保険業界のInsuTechなど、さまざまな分野でスタートアップや新しいサービスが生まれ、産業構造を激変させつつある。「カジノやナイトライフなどの業界ですら、Vice（不道徳）を冠したViceTechが起こりつつある」（吉江さん）。こうしたさまざまなX-Techを追うべく、幅広い業界をまたいでAWS活用を共有するX-Tech JAWSを立ち上げることにいたったという。

　X-Tech JAWSのコンセプトは、業界に特化したAWSの使い方をビジネスとテクノロジーの両サイドから共有しつつ、異業界とのコラボレーションを促進することだ。現在、開催頻度はSecurity-JAWSと同じ、3ヶ月に1回程度を予定。また、「Amazon Chime」などを使いながら、関東以外のJAWS-UGとのコラボレーションも進めていきたいという。

　第1回はAdTechとしてAWSJ、FinTechとしてBASE、FoodTechとしてRetty、LoveTechとしてエウレカ、LegalTechとして弁護士ドットコムが登壇。業界動向とともに、テクノロジー面の活用も勉強できたエキサイティングな内容だった。各セッションのサマリを紹介していこう。

リアルタイム性重視のAdTech概要　課題は人材（AWSJ）

　トップバッターとして広告業界のAdTechについて語ったのは、アマゾン ウェブ サービス ジャパン（AWSJ）の唐木奨さんになる。AdTech業界の人が参加者の中に誰もいないというアウェイ感の中、まずはインターネット広告とアドテクについて説明した。

　現在、インターネット広告の市場は1兆円規模を超え、TV広告の次にまでのし上がってきている。最近のトレンドはやはりスマホと動画で、5年前に比べてスマホは10倍、動画は4倍と急成長を遂げている。こうしたインターネット広告を支えるAdTechは、費用他効果の高い広告を適切なメディアに出すためのテクノロジーの総称になる。

　AdTechシステムは、大きく広告主側のプラットフォームであるDSP（Demand Side Platform）と、メディア側のプラットフォームであるSSP（Supply Side Platform）から構成され、両者がリアルタイムにビッティングするという形で広告配信が実現されている。メディア側のSSPから属性情報を含んだリクエストを複数のDSPに投げ、DSPはその属性情報にフィットした広告内容を応札。これに対して、SSPは最適なDSPを選択し、選ばれたDSPがメディアに広告配信するという流れになる。この間、わずか100ミリ秒程度と低遅延。レスポンスでの強みはもちろん、SSPのリクエストに応じた広告をいかにインテリジェンスに提供するかが大きな鍵となる。

　唐木さんは、次に実際のアドテク事例を披露。たとえば、LINEと連携したメッセージを配信するデジタル・アドバータイジング・コンソーシアム、広告効果測定に利用しているオプト、マーケティングデータを集めたDMP（Data Management Platform）で活用しているインティメイト・マージャーなどがAWSをヘビーに利用しているという。

　ログ分析や機械学習などが多用されているが、現状ではAdTechに特化した構成や技術はあまりないようだ。「性能、迅速さ、開発の速さなど、一般的にAWSにフィットしている要件でAWSが採用されています」と唐木氏は語る。課題はAdTech業界のエンジニアの少なさ。唐木さんはさらなるクラウド活用が見込まれるAdTech業界の人材募集をアピールして、セッションを終えた。

AWSを使えば、PCI DSS準拠も容易に進められる（BASE）

　次にFinTech事業者としてセキュリティに関する知見を披露したのは、オンライン決済サービス「PAY.JP」やID型決済サービス「PAY ID」を展開するBASE株式会社 PAY Division Managerの高野兼一さん。高野さんはまず両サービスの紹介から行なった。

　PAY.JPはAPIによる連携とわかりやすい料金形態が売りのクレジットカード決済を提供する事業者向けサービス。定期課金やApple Pay、QRコード、PAY IDなど多様な決済手段をサービスしているという。一方のPAY IDはQRコードを使って簡単に決済できる個人向けの支払いサービスで、ユーザーは約80万を超え、40万を超える店舗で利用できるという。高野氏は、「店舗側はQRコードを貼るだけなので、運用も楽で、ユーザーも簡単に決済が行なえます。イベントやフリマ、屋台など電子機器を置きたくないところで導入が進んでいます」とアピールする。

　続いて高野さんはクレジットカード業界の概要に説明を移す。クレジットカード業界はVISAやMasterなどの「ブランド」、加盟店の審査や管理、取引管理を行なう「アクワイアラ」、カード発行、与信や取引管理などを担当する「イシュア」のほか、共同ネットワークの事業者などから構成される。このうちPAY.JPとPAY IDを展開するBASEは、サードパーティの決済代行業者であるPSP（Payment Service Provider）に分類されるという。

　最新動向として、「カード情報の非保持化」が挙げられる。日本クレジット協会及び経済産業省により策定された「実行計画2017」では、2018年3月まで非対面加盟店はセキュリティ対策強化のため、カード情報の非保持化（自社で保有する機器・ネットワークにおいて「カード情報」を『保存』、『処理』、『通過』しないこと）、もしくはグローバルなカードブランドによって規定された「PCI DSS」に準拠することが求められている。一方で、カード会社や決済事業者は2018年3月までにPCI DSSの準拠を完了する必要がある。そして、PAY.JPとPAY IDは400以上の監査項目を満たすPCI DSS 3.2に完全準拠している。

　BASEはPCI DSSに準拠しているAWSを活用することで、多くの要件を満たすことができるという。たとえば、安全なネットワークとシステムのために、アプリとカードデータの会員管理（Vault）で異なるVPCを用意し、VPC PeeringとRouteTable、Security Groupなどでアクセス制御を行なっている。また、カード所有者のデータを守るために、クレジットカード番号を AWS KMS (Key Management System) によって生成されたCMK (Customer Master Key) を用いて暗号化している。その際、CMK自身はKMSから不出のHSA Backing Key と呼ばれる KEK (Key Encryption Key) を用いて暗号化されるので、平文の暗号鍵を保管するリスクの排除を実現している。その他、Amazon Inspectorを試験的に運用し、脆弱性診断を実施。もちろん、IAMで権限や認証、パスワード管理などでユーザアカウントを管理するほか、CloudTrailでAWSでの監査証跡をとっている。

　高野さんは、「AWSをフル活用することで、PCI DSSに準拠したシステムをスマートに実装できる。3年くらい使っているが、セキュリティに関しては間違いない選択肢だった」と語る。また、PAY.JPが提供しているCheckoutライブラリなどのJavaScriptモジュールを使えば、加盟店はPCI DSSに準拠する必要なく、セキュアな購入フォームでカード情報の非保持化に対応できるという。高野氏は、「支払いという行為は生活に根ざしたものなので、どんな業界でもコラボレーションできるので、よろしくお願いします」とアピールした。

　前半を聞いただけでも、業種ごとに特化したビジネス動向や技術要件が学べ、非常に有用だったX-Tech JAWS。AWSがさまざまな業界にディープに浸透している様を理解できた。勉強会後半はFoodTechのRetty、LoveTechのエウレカ、LegalTechの弁護士ドットコムのセッションをお届けする。