金融コンサルタント対談

大久保：

金融機関は勘定系システムを保有する関係上、メインフレームを提供するベンダーが周辺系システムを含めてシェアをとっていることが多く、独自仕様によるベンダーロックイン状態が課題となっていました。ハードウェア保守期限を契機としたシステム更改検討のタイミングにおいて、海外の先進事例をもとにパブリッククラウドを選択肢に含めてみてはどうかという提言し、リスクベースアプローチによってシステムリスクの所管部門が中心となり経営層を含めて検討を重ねた結果、まずは周辺系システムからパブリッククラウドに挑戦してみようという行内での流れになりました。AWSの東京リージョン開設（2011年）が検討開始のきっかけです。

外間：

私が所属していた銀行も同様にベンダーロックイン状態となっており、現場からの新しいことへ挑戦したい気持ちと、システム部門トップの号令でスタートしました。私は2015年までパブリッククラウドをユーザーとして使うことはありましたが、実際に構築したことはなく、サービス名もほとんど知らないような状態でした。最初はシステムを企画するメンバーがプロジェクトチームを立ち上げてAWS導入が決まり、ネットワーク・セキュリティ部分を担当する形でプロジェクトチームメンバーに入りました。

外間：

計画段階ではやはりセキュリティが一番の課題にあがりました。当時は自行のセキュリティガイドラインがクラウド対応していないことから、思考錯誤しながらガイドラインを整備しつつ、代替コントロールなどの検討を行いました。例えば外部データセンターで重要情報を取り扱う場合は現地での立ち入り監査」を求める規定がありますが、クラウドでは場所が公開されていないので現地の検査はできません。それをAWSが開示する第三者の監査法人のレポートをもって守られていると見なせるか、契約書含めての議論など多岐にわたりました。

導入段階では銀行内に有識者がいなかったため、OSより上の層は比較的何とかなりましたが、クラウド独自のサービスなどに苦戦しました。リリース日が先行して対外的に公表されてしまっていて遅延は許されない状態でしたので、2016年1月からプレミアコンサルティングパートナーであったサーバーワークス社に初期構築設計の支援をお願いし、難局を乗り切りました。今でもあの支援がなかったら数か月レベルでリリースが遅れていたと思います。
運用段階では既存の運用との統合が課題となりました。金融機関は100以上、多いところでは1000を超えるシステムを保有しているため、1つの運用システムで統合的に管理しているところがほとんどです。OSより上の層は監視エージェントを入れればよいですが、それ以下の層の監視も統合的に監視しないと運用負荷が大きく変わるため、工夫が必要でした。

大久保：

まず、業務面では、新商品・新サービスの開発において、リリース後に失敗したら「インスタンスを停止（削除）すればよい」という精神的な余裕が生まれました。日本初となるAIを活用したスコアレンディングサービスの基盤では、アクイジションの指標となる前例が見当たらないため、スモールスタートという手段を選択し早期にリリースできたことは大きなメリットだと思います。オンプレ前提の場合には、50台程度のGPUマシンを調達する必要がありましたので、もちろんコスト効果も絶大です。そのほか、ハードウェアを所有しないメリットとして、これまでの減価償却から経費精算が可能になること、ライフサイクルの延命や運用コストの最適化等が挙げられます。また、Infrastructure as Codeによる環境構築の自動化や人的リスクの低減、災害対策サイトにおける再現性の向上についても付随効果として享受しています。

外間：

大久保さんがあげたメリットに加え、現場でみていて後輩が手を動かせる機会が増えたことの恩恵があったと感じていました。アウトソーシングや共同化の流れで銀行員はどうしても管理作業中心で、若手もそういった傾向に多かったですが、やはり技術は実際触ってみて覚えたほうが覚えも早く、活気が出たと思いました。

大久保：

リスク管理部門や内部監査部門の実務影響を最小化するため、導入当時はオンプレミスの運用・管理と全く同じ体制で、既存の申請関連ドキュメントを流用してきましたが、トレーサビリティーの向上により監査業務についても効率化していこうという流れになり、その辺りは良い意味で計画を変更した記憶があります。

外間：

「サーバーレス」によるオペレーションからの解放などを目指していましたが、金融機関はパッケージソフトウェアが多く、特定のOSを準備する必要があるため、IaaSでの利用が中心となった点が計画段階と大きく違いました。これはクラウド導入により内製化が進めば解決していく可能性がある問題と捉えています。

大久保：

クラウドに特化したアーキテクト軍団であり豊富な経験があります。パブリッククラウドでは特に初期構築フェーズが重要であり、例えばVPCのIPアドレス等あとから変更できない設定もあります。業務要件や重要度に即したアーキテクチャ設計、ネットワークを含めた監査証跡の取得・監査作業の効率化等は業界によらず共通的であるため、エンタープライズシステムのリフト＆シフトにおいて優位性があります。

外間：

今までサーバーワークス社は金融業界へは大きく参入せず、スポットの対応が多かったのは、AWSの技術に特化し有資格者が多いものの、金融業界の文化やセキュリティの考え方が独特であり、分野への理解が不足していた点が挙げられます。この点については元々銀行員だった我々がサポートし、言葉・考え方のずれや金融機関に求められるセキュリティレベルの実装支援できる体制を整備したため、今では金融機関のお客様に安心して弊社にお任せいただけると自負しております。

大久保：

社会情勢から行員の働き方についても改革が求められています。環境の変化に対応できるインフラの整備は急務であり、安心・安全そして安定的にクラウドを活用するためには、有識者による支援が不可欠です。重要業務システムの位置づけは各行によって判断基準が異なるため、適材適所に配置できるよう、伴走させていただけますと幸甚です。体制検討の段階からご支援が可能です。

外間：

FISCの安対基準第9版はパブリッククラウド対応がされており、AWSJ側もFISCの安全対策基準ベースでのセキュリティチェックのリストを準備しているため、日本の金融機関の文化に即したドキュメント整備がされています。

そのため、今一度各金融機関の持つセキュリティガイドラインを上記ドキュメントを元にパブリッククラウド向けに見直しすることで、パブリッククラウドを使うハードルは下がってきてますので、この機会に導入を本格的に検討してみるべきと思います。

※ この事例に記述した数字・事実はすべて、事例取材当時に発表されていた事実に基づきます。数字の一部は概数、およその数で記述しています。