金融機関の厳重な要件を叶える「ガードレール」型セキュリティ
この目的を実現するうえで、Google Cloudを選択したポイントはどこにあったのか。木美氏は「柔軟性」と「俊敏性」の双方を備えていることを挙げた。「元々三菱UFJ銀行にはクラウド共通基盤があったものの、中規模以上かつ重要なシステムでの使用のみに限られていました。これ以外にも様々な制約があったことから、個別に事業を素早く立ち上げるという点にフォーカスした基盤を作る必要がありました」と話す。
具体的な要件については、下図の3つを示した。まず、クラウド基盤が開発のスピードに悪影響を与えないこと。次に、銀行として求められるセキュリティ基準に準拠していること。そして、多くの人が利用する共通基盤としての“ガードレール”が敷かれていることだ。
金融機関ならではのセキュリティ基準について、三菱UFJ銀行の吉原祐介氏は「共通基盤に求められるセキュリティとしては、暗号技術や管理方法、さらに認証などさまざまな基準を満たす必要がありますが、やはり業態ゆえにボリュームは膨大です」と補足した。また、3つ目の要件について木美氏は「従来的な考えですと、構成変更の際は人手によってセキュリティをチェックする必要がありましたが、これには時間がかかるため、本来の目的である事業開発のスピード加速を実現できません。そこで、ある程度道筋を定め、それに沿っていれば細かい人手のチェックが不要になる『ガードレール』のようなセキュリティを実現できないかと考えました」と振り返る。
具体的に、Google Cloudのどのような点が同行の求める条件と合致したのか。木美氏はセキュリティと開発スピードを両立するにあたって、実行中のリソースを一元的に可視化できる「Security Command Center(SCC)」が特に魅力的だったと語る。「脅威検出を筆頭に、包括的にセキュリティを管理でき、かつ組織全体へ一括展開できる点は非常に効果的です。また、セキュリティ境界を定義できる『VPC Service Controls(VPC SC)』によって、リスクに応じた制限ができる点も役立っています」とした。
また、開発の観点から考えるとコンテナイメージをGoogle Cloudにデプロイするだけでアプリケーションを実行できる「Cloud Run」もポイントだと指摘。リクエスト・イベント経由でコンテナを実行でき、インフラの管理が不要であることから「開発に集中できるようになった」と効果を示す。