みんなの銀行に備わる文化と価値観、「システム障害は必ず発生する」
ふくおかフィナンシャルグループ(FFG)傘下のデジタル専業銀行である「みんなの銀行」。2019年に準備会社を設立し、2021年1月、システムの本格稼働とともに開業した。現在は金融機能やサービスを、APIなどを通じて提供するBaaS(Banking as a Service)事業も展開している。
同行におけるサービス開発の多くは、同じくFFG傘下のゼロバンク・デザインファクトリーに所属するエンジニアが担当している。そして宮本氏は、両社のCIOを兼任し、組織全体のITシステムを統括する。
宮本 昌明氏
金融の分野はミッションクリティカルな性質上、システム障害対策にもより一層注力しなければいけない。宮本氏は、「障害は“必ず発生するもの”だと考えています。開業以前から、障害が発生した際にはシステム担当者など特定の個人に責任を問うのではなく、銀行員からエンジニアまでが全員でリカバリーする文化を醸成することが重要だと考えていました」と話す。
開業時から、オンプレミスが混在しない「フルクラウド環境」だというみんなの銀行。クラウド環境では、自責以外の障害も発生する。そのため同行では、アプリケーションレベルでリトライ処理を組み込み、不要なアラートを抑制するなどの対策を講じている。そこで対処できない場合はアラートを発報し、調査を開始する。現在はこの過程の自動化を進めており、迅速な障害要因の特定と、対応体制の確立を目指しているという。また、必要に応じて業務側へのエスカレーションも行うと宮本氏は説明する。
同行がフルクラウド環境を選んだ背景の一つには、「サービスの改善サイクルを早めて、プロダクトの質を高めていきたい」という理由がある。
「サービスやアップデートを頻繁にリリースすることは、障害発生リスクを高める要因にもなります。しかし、お客様のニーズや声に迅速に応えるためには避けられないことです。ですから、短期にテストをしっかりとして一定の品質を確保できれば、リリースする方針を採用しています。これは、みんなの銀行の存在意義にも関わります。リリース頻度を下げてしまえば、クラウド活用の利点であるスピードやアジリティを失ってしまうからです。我々は、この考えをチーム全体で共有しています」(宮本氏)
クラウドネイティブなアプリケーションには、オンプレミス環境とは異なる設計思想が必要だ。瞬断やリソース負荷の急増を前提としたアプリケーション設計が求められる。たとえば、アプリ上で振込や入金を行う操作を設計する場合、クラウド側の瞬断による内部的なリトライが発生しても、1回しか振込が実行されないような仕組みにしなければならない。何度も振込が行われてしまったら大変だ。
また、障害が発生した場合にも早期に復旧するため、運用をなるべく自動化し、アラートが発報された場合には、そのアラートを埋め込んだメンバーが対処する仕組みを採っていると宮本氏。アラートが発報されると電話が鳴り、それを設定した人、あるいはプロジェクトマネージャーなど、状況に応じた担当者が対処することになっている。つまり、アラートを出した人に責任が跳ね返ってくる仕組みというわけだ。
「アラート削減は、各自が考えるべき課題です。自分が設定したアラートには自分で対処し、不要なら最初から出さないようにします。運用担当者だけが対応に追われる状況は避け、全員がシステムの安定性に関与する文化にしていきたいのです。こうすれば、アラートが出ないように皆が工夫するようになります」(宮本氏)
CIOのようなリーダーの立場にある場合は、技術面だけでなくビジネス面からシステム障害と向き合うことも重要だ。障害がビジネスに与える影響は多岐にわたり、短期的な損失だけでなく、長期的な競争力や顧客信頼にも影響を及ぼす可能性も十分に考えられるからだ。さらに宮本氏は、他社のセキュリティインシデントを自分ごととして捉えている観点から、「セキュリティ投資は決して節約すべきではない」と考えている。
「私が特に重視しているのは、『セキュリティ』、『品質』、そして『保守/運用』の3点です。これらをおざなりにした開発は絶対に認めないと、常々チームには伝えています」(宮本氏)
今、金融庁はすべての金融機関に対し、セキュリティやガバナンスの強化を求めている。みんなの銀行は比較的新しく、銀行の中ではそれほど大規模ではないというが、他のネット銀行に劣らないセキュリティと品質を維持していると宮本氏。規模が小さくても、業界の標準を満たす、あるいはそれを上回る体制を整えていると語る。
内製化にも本腰、理想は“自走型”のエンジニアリング組織
みんなの銀行、およびゼロバンク・デザインファクトリーには、宮本氏が参画した当初はエンジニアのメンバーがいなかったため、開発のほとんどを外部のパートナーへ依存していた。しかし、今では135名のエンジニアを含むシステム人財が在籍しており、内製の割合を増やしている。エンジニアの採用プロセスは厳格で、書類選考から入社までの採用率は約5%程度だ。新しいことへの学習意欲や、問題を見つけて自ら開発・改善できる自走力を重視しているという。結果として優秀なエンジニアが集まり、「未経験の分野でも自主的に学び、迅速に成果を出す文化が醸成されている」と宮本氏は話す。
同行は、指示型の管理ではなく、エンジニア主導でプロダクトやSRE、DevOpsを進化させていく“自走型組織”を理想としている。エンジニアのエンゲージメントを高め、組織の成長を加速させることが狙いだ。そのため、「0を1にするフェーズでは、設計レビュー・統制/カルチャー作りの意味で細かく口を出したが、1を1.1や2.0にする現フェーズでは、極力存在感を出さないように努めている」と宮本氏。エンジニアの自主性を尊重する立場を取っているという。
「とは言っても、それは『放置する』ということではありません。私は毎日すべての社内動向を細かくチェックしており、誰が何を発言し、調査し、提案しているかを把握しています。待つのではなく、日頃から密にコミュニケーションを取り、皆の意見を理解しながら私の考えも伝え、望ましい方向性を示せるように心がけています」(宮本氏)
開発については、開業当初は大手パートナー企業のエンジニアが開発に多数参加していたため、パートナーが提供するDevOps環境を利用していた。ところが、内製開発を進める上で、「自前の環境を持たなければ、必要な部分を迅速に修正できない」という問題があった。そこで、現在ではソースコードの管理ツールやCI/CD環境の整備を行い、それが完了したらデータベース周りの設計ツールなども順次整備していく。
内製化を進める中で組成されたのが、開発したサービスの高可用性化を担うSREチームだ。開発部隊とは分離・独立して存在するこのチームは、インフラエンジニアとアプリエンジニアによる3名で構成されている。メンバーは、みんなの銀行全体のミッション・ビジョン・バリュー(MVV)をもとに、「SREが果たすべき役割は何か」を独自に定義し、チームとしてのMVVも策定。それを全社のMVVと連携させている。現在は、サービスやシステムの運用における様々な摩擦点を特定し、自動化開発の推進やメトリクス監視の強化、ダッシュボードの改善に取り組んでいるとのことだ。
エンジニアリング組織の長期的なビジョンについては、「AIなどの新しい技術と、自分たちの開発力の融合を目指している」と宮本氏は話す。
「新しい技術やツールを取り込みながら、DevOpsやSRE、そしてテストや運用の自動化を積極的に進めています。これにより、サービス開発により多くのリソースを集中できる、組織とプロセスの構築を目指しているのです。メンバー自らが考え、追求し、実践することを重視しています。自主的な改善と進化を続ける組織こそが、私が想い描く理想の姿です」(宮本氏)
リスク管理の向上とコスト削減を両立、さらなる理想の追求へ
理想を追求しながらも、コスト管理を疎かにするわけにはいかない。内製開発は外部に委託するよりもコスト効率が高いうえ、クラウドの従量課金制も効果的な費用管理を可能にする。みんなの銀行では、リスク管理や顧客体験の向上、システムの自動化・高度化を進めながらも、コスト削減を実現している。
クラウドはオンプレミスに比べて柔軟性があるため、ハードウェアのスペックが向上すれば一時的にコストが上がることもあるが、最終的には低下していく。性能向上によって必要なインスタンス数が減る場合もあり、こうした変化をこまめに見ながら、テスト環境や本番環境を含め、削減できるものを減らしているという。
「みんなの銀行では、クラウドのコスト情報を全エンジニアに公開しています。これにより、各エンジニアが自分たちのリソース使用量とそれに伴う費用を正確に把握できるようになりました。この透明性の実現によって、ストレージサービスに予想外の高コストがかかっていることが明らかとなり、すぐに使用方法を見直してコストを大幅に削減できました」(宮本氏)
宮本氏の理想は、メンバーが100%プロパーのエンジニア組織を構築すること。そうしてノウハウと技術力を社内に蓄積し、資金も自社のために使う。プロダクト改善、API開発、DevOps、SREなど、やるべきことは尽きない。セキュリティ強化のため、自社サービスに対しサイバー攻撃を仕掛けて脆弱性を診断する、レッドチームの内製化も目指したいと語る。
こうした理想を実現するため、FFGではエンジニア向けの新しい人事制度を導入した。今後も社内の声を集めながら、制度のブラッシュアップとバランスのとれた組織づくりに取り組んでいくという。
経営陣から現場の社員一人ひとりまで、セキュリティ、品質、そして保守運用への理解を浸透させているみんなの銀行。宮本氏は、様々な課題解決のため、業界を超えた幅広いネットワーキングへの参加と情報収集を行っている。特に、技術的に先進的な企業や個人の取り組みには細かく注目し、常に革新的なアプローチを模索していると話す。多様な情報源から学び、自社に適したアイデアを見出すことで、継続的な改善と革新を推進しているのである。システム障害についても同様だ。最後に宮本氏は、改めてリスクと向き合う者の心構えを述べた。
「必要な対策をしなかった場合、具体的にどんな結末を迎えることになるのか。これを社内に向け説明することが重要です。BCPやセキュリティの製品は、単なるコストではなく、業務継続やリスク回避に不可欠だと全員に理解してもらわなければなりません。他社で起こっている事例を挙げ、対策の重要性を示すのも効果的でしょう。経営層に対しては、リスクのリアリティを具体的に説明しつつ、前向きな提案として伝えることで、必要な投資への理解を得やすくなるはずです」(宮本氏)
