7ヵ月で300回の構成変更も柔軟に対応
実際に基盤を構築していくにあたって苦労したことを聞かれると、吉原氏は「内部・外部を問わず単独犯による不正をいかに防ぐか」という点を挙げた。効率化や自動化を進めることは、チェックの目を“緩める”ことにもつながる。その穴をついた不正を未然に防ぐために、SCCなどを活用した。本番環境の操作については、Infrastructure as Code(IaC)を実現する「Terraform」コードを用いた自動構築プロセスから行うように整備。コードの解析やレビューのプロセスを機械的に設けることで、第三者の目が入り、構築前に犯行を防止できる仕組みを整えたのだ。
その他にも、金融機関ならではの厳重なポリシーに対してGoogle Cloudが準拠しているかを確認することにかなり時間をかけたという。吉原氏は「ここに関してはGoogleに設けられたルールの定義を1行ずつ確認するといったレベルで細かくチェックしました。我々としてもかなり厳しく確認した部分です」と振り返った。
では、実際に導入した後はどのような成果が生まれているのか。木美氏は、具体的な数字を交えながら次のように話す。
「当初の目的通り、ビジネスとして優先度の高いものからスピーディーに着手できるようになり、また要件変更にも柔軟に対応できる環境が整いました。たとえば、あるアプリの開発において、リリースまでの7ヵ月で300回、リリース後の半年では60回以上の構成変更を大きなストレスなく運用できています。金融機関ならではの強固なセキュリティが求められる中で、このような数字が実現できていることは大きな成果です」(木美氏)
セキュリティ面に関して、吉原氏は「従来、クラウド環境で起きるセキュリティインシデントといえば、ユーザーの設定ミスに起因するものが多く、またオンプレミス環境でもパッチの適用忘れなどによって引き起こされていました。こうした問題もマネージドな機能がそろっていることで解消できています」を効果を説明する。また石田氏は「三菱UFJ銀行として、クラウドへの積極的な姿勢を示せたことも今回の取り組みのメリット」だとして、ビジネス面でのブランディング効果もあったことを示した。そして「この取り組みによって強固なセキュリティとアーキテクチャを実現したことで、“横並び思考”に陥りがちな金融業界だけでなく、日本企業全体の取り組みが進むきっかけになったら」と話す。
最後に、今後の展望について問われた木美氏は「利用促進」を挙げた。「今回、第一段階として共通基盤を構築しましたが、その先で利用者や実際に開発されるアプリをいかに増やしていくかが次の目的です。そのために、クラウドならではの魅力に加え、私たち自身も手を動かしながら、様々な活用法を提案していきたいと考えています」とコメントし、講演を締めくくった。
