SRE Kaigi 2026 で「クレジットカード決済基盤を支えるSRE」という発表をしました

こんにちは。株式会社スマートバンク SRE部の capytan です。1/31(土)開催のテックカンファレンス SRE Kaigi 2026 にて「クレジットカード決済基盤を支えるSRE - 厳格な監査とSRE運用の両立」というタイトルのトークをしました。素晴らしい場をいただき、多くの方にご覧になっていただけました。この場を借りてお礼申し上げます。

また、セッションを軸に多くの企画や運営に工夫がなされているテックカンファレンスだと感じました。SRE Kaigi 2026を作ったすべての人に感謝申し上げます。

発表では、当社のPCI DSS対応について、以下の3点を軸に実践例を紹介しました。詳細はスライドをご覧ください。

スコープ最小化：準拠対象を限定する設計（AWSアカウント分離など）
マネージド活用：改ざん検知・鍵管理などをクラウドの責任分界に寄せる
自動化：証跡収集などを可能な限り手作業から外す

セッション紹介と当日資料

2026.srekaigi.net

speakerdeck.com

発表の経緯

プロポーザルを考えていた当時、2025年5月に入社して日が浅く、スマートバンクの開発・運用を新鮮な視点で見られる状態でした。これがプロポーザル執筆の起点になっています。

また、スマートバンクは対外発信が盛んな会社なので、自分も発信していくぞ、というモチベーションが高まっていました。

そこで「金融サービスの開発・運用や監査対応って実際どうなの？」という素朴な疑問を持つ人に向けて、現場の実感を共有したいと思いプロポーザルを書きました。

実際に当社の監査対応をしてみた感想ですが、スマートバンクでの監査対応は正直に言って「負荷が大きい」と感じています。しかし、一方で当社の開発現場で行われていることを見てみると、通常のWebアプリケーションのベストプラクティスから外れたことはほとんどやっておらず、愚直に堅牢な実装を心がけ、基本に忠実な運用をしていると強く感じました。

この実体験をSREコミュニティで話すことで「日々の開発・運用で愚直に堅牢な実装をしていくことの大事さ」や「コンプライアンス対応への向き合い方」の実例を提供できたらいいな、というのが今回のトークの核になっていました。

トークの要点について

PCI DSS の厳しさについて

PCI DSS 準拠の対応は12要件カテゴリ・約400の詳細要件と多岐にわたります。準拠するのも大変なセキュリティ基準です。一方で、準拠しないとカード決済サービスを提供できないため、スマートバンクの事業継続上も必須の要件であり、乗り越えるべきハードルとして存在しています。

FY2025のPCI DSS v4.0.1 対応（年次審査）では、ベストプラクティス要件の対応が重く、SRE4名が審査期間中ほぼ対応に張り付く状況もあり、現在も改善活動を進めています。

どのように準拠に立ち向かったか

道半ばとはいえ、FinTechスタートアップとして多種多様な開発・運用業務も行う必要があります。対応負荷を下げ、PCI DSS準拠のハードルを越えるため、スマートバンクのシステム設計で何が大事であったかと振り返ると「セキュリティ要件をインフラレイヤーで吸収する」ことが監査対応業務を明快に進める上で大事だったと発表内で説明しています。

大きく分けて、「スコープの最小化」「マネージドサービスの積極的な活用」「自動化の徹底」の3つの柱があります。それぞれ、準拠スコープを最小化するためにAWSアカウントを分離したり、PCI DSS準拠のマネージドサービスを活用することで改ざん検知や鍵管理を行ったり、証跡収集の自動化といった実践例を紹介しました。