セブン銀行がコロナ禍の1週間でリモートの内製開発を開始――焦りや孤独感と戦いながらもゼロトラストな開発環境を実現できた要因とは：特集：境界防御からゼロトラストネットワークへ、今求められる理由と対応方法（3）

アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、セブン銀行と開発パートナー企業の情報戦略テクノロジーによる特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」を要約してお伝えする。

[谷崎朋子，＠IT]

開発の内製化で柔軟な組織体制の構築に成功

　新型コロナウイルス感染症（COVID-19）の感染拡大に伴い、緊急事態宣言が出される直前、セブン銀行の内製開発チームと開発パートナー企業の情報戦略テクノロジーは大きな決断を迫られていた。

　開発環境自体は既にクラウド上に構築されており、IP制限でセブン銀行のオフィスからアクセスできるよう設定されていた。しかし、基本的には出社が前提のソリューション。開発者が在宅勤務に移行した場合、全員に対して固定IPを割り当てることができるかどうかは分からない。悩む時間がない中で、両社が何とかたどり着いた最善の選択――それは期せずしてゼロトラストセキュリティを実現するものだった。

　アイティメディア主催「ITmedia Security Week 秋」の特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」では、リモート開発環境を構築するまでのいきさつや苦労話、柔軟かつ迅速な対応を実現したチーム作りのヒントなどが紹介された。

　セブン銀行と聞くと、駅やコンビニなどにあるATMを思い浮かべる人は多い。同行のATMは全国に2万5000台以上を展開しており、主要銀行口座との入出金や電子マネーのチャージなど、各種機能が利用できる。そのセブン銀行では、実はバンキング事業も手掛けている。口座の開設や各種取引が行える専用アプリも提供しており、このアプリやPoC（概念実証）のシステムを開発するのが、セブン銀行のデジタルバンキング部 DX推進Gだ。

セブン銀行 デジタルバンキング部 DX推進G 副調査役 斉藤大明氏

　同行では、開発は内製で行っている。最新動向を取り入れたソリューションを提供するには、外部に丸投げして年単位で開発する従来のスタイルは合わない。市場の変化に対して機敏に反応し、価値あるものを素早く提供するには、内製の開発環境を充実させることが重要だ。そして、「それを実現できたのはクラウドがあったから」とセブン銀行の斉藤大明氏は述べる。

　「特に最近は、PaaSでもGUIを数分いじれば開発環境が簡単に整います。『まずは社内向けの小さなシステムなどスモールスタートで始めてみる』というハードルが、クラウドのおかげで低くなりました。小さい成功体験を積み重ねるのに最適で、チームのスキルアップにつながりました」（斉藤氏）

　内製において、もう一つ重要なポイントは、ユーザー部門に対するアジャイルマインドの浸透だ。市場ニーズをうまくくみ取ってシステムなどへ反映させるには、小まめな開発や改修を繰り返すアジャイル開発への移行は必須。それを成功させるには、ユーザー部門と二人三脚で力を合わせて挑む必要がある。

　「うまく開発に巻き込んでいけるような体制を作り、チームとしての責任を共有し、根気強くアジャイルマインドを浸透させることに取り組みました」と斉藤氏。ふたを開けてみたら、開発経験がないユーザー部門の方が既成概念にとらわれないからか、むしろ「アジャイルネイティブ」に進化し、開発チームにもユーザー部門と同様、アジャイルな文化がきちんと浸透しているという。その結果、チームビルディング、ふりかえりの定着などから、「みんなでさらに良くしていこう」という雰囲気が醸成された。

　「今では、目標を持って主体的に開発する風土が培われており、最終的にはこうしたチームとしてのスタンスが外部開発パートナーとの良好な関係性や信頼構築にもつながっていると感じています」（斉藤氏）

　課題は、縦割りの統制が取れた組織の中で、自己決定が求められるアジャイルな組織が生き延びられるかどうかだ。しかし、「互いの良さを認め合い、歩み寄って最善の解法を見つけられる共存関係が構築できれば無理な話ではない」と斉藤氏は指摘。何よりも、そんな自律的な組織を認め、既存の組織文化から少し離れたところで、ある程度の裁量権を与えてくれるよう、上長の理解を得ることは重要だという。

　内製への移行後、同チームは前述のバンキングアプリの他、アニメキャラとのコラボツール「セブンコンシェルジュ」やAPI開発ポータルなど、5件程度をリリース。チームメンバーも当初は数人だったところが、最大20人以上増強された。そして、こうした体制が機能し、新しい文化が育まれていたからこそ、急なシステム再編にも柔軟に対応できたといえる。

開発の内製化で専用バンキングアプリなどを開発

リモート開発環境の課題をクリアしていったらゼロトラストになった

　そんなセブン銀行の内製チームを支える外部開発パートナーが、情報戦略テクノロジーだ。開発環境は冒頭で述べた通り、社内システムとは別に「Microsoft Azure」「Azure DevOps Services」上で展開しており、認証は「Azure Active Directory」で管理。IP制限による開発環境へのアクセス管理を実施していた。

当初の開発環境へのアクセス方法

情報戦略テクノロジー 技術戦略推進部 開発推進2G スペシャリスト 寺原歩氏

　緊急事態宣言を前に、当初は「この体制をそのまま社員の自宅にも適用できるのではないか」と検討した。しかし、固定IPのためモバイルルーターを用意するには時間が足りず、そもそもIP制限では個人宅の端末は何でも開発環境へアクセスできてしまう問題が浮上した。また、「セブン銀行のオフィスという物理セキュリティが効かないため、不正が行われても分からない問題も判明した」と、情報戦略テクノロジーの寺原歩氏は説明する。

　「これを解決するため、IP制限ではなくデバイス認証に切り替えることを決断しました。また、ログの取得と異常検知時のアラート通知を導入することで、不正対策を実現しました。そう決まったとき、気付いたんです。あれ、これってゼロトラストじゃないかって」と、情報戦略テクノロジーの鶴身卓矢氏は笑う。

再構築後のリモート開発環境

　まずは、製品調査および製品選定を実施。検討の結果、ローカル端末のパスワードポリシー設定やスクリーンショットや画面録画のロック、端末紛失時の画面ロック対応、ログの収集およびアラート通知、Azure Active Directoryとの連携、二要素認証の対応などが実装された「Microsoft Intune」に決定。各端末にフィルタリングソフトを導入してもらうために手順書を作成、ソフトを配布。その後、フィルタリングソフトを削除できないようローカル端末の管理者権限を剥奪（はくだつ）した。

　「ただ、管理者権限がないと開発環境にソフトウェアやツールをインストールできない問題があって、これは課題になっています」（鶴身氏）

　ログは、Azureやブラウザの操作ログ、Azure DevOpsや「Office 365」の監査ログ、端末の情報やアプリのインベントリ情報などを収集しているという。

取得するログの種類

焦りと孤独と戦う1週間

　苦労したのは、Azureを詳細に知る人が少ないことだったと鶴身氏は明かす。「社内には概要設計はできるけど、詳細に触っていないから細かいところまで詳しくない人がほとんど。また、『Amazon Web Services』（AWS）よりも参考資料が少ないため、学ぶのに苦労しました」

情報戦略テクノロジー 開発育成部 育成4G Gリーダー 鶴身卓矢氏

　また、「アジャイルでスモールスタートからとにかくやってみよう」という検証駆動型と、「慎重に製品選定すべきだ」という計画駆動型の意見がぶつかり、調整が大変だったそうだ。

　「私もインフラ案件に関わったとき、多数のベンダーに電話して説明を仰ぎ、2〜3カ月かけてじっくり選定する流れを経験しており、その重要性はよく理解しています」。そう述べる鶴身氏は、「斉藤さんに相談しながら何とか調整に成功した」と吐露。「本来やるべきと信じているステップを飛ばして進めるのは、とても勇気が必要なことだと学んだ」

　だが、何よりも鶴身氏を苦しめたのは、緊急事態宣言の実施前に環境を作り上げないといけないという“焦り”、知り合いの医療従事者から事態は深刻と聞かされたことでの“焦り”、Myセブン銀行アプリのリリースが直近に控える中、ほぼ単独で作業せざるを得ないという“孤独感”だった。

　課題はまだまだ山積している。前述した管理者権限の奪取によってソフトウェアなどをインストールできない問題の他にも、アラート通知を未登録デバイスがアクセスしてきたとき以外にも、他のリスク要因でも通知されるように整備したいと鶴身氏は述べる。

　「まだゼロトラストの1歩目を踏み出したばかり」と述べる3氏。IDのリスク特定および修復などを自動実行する機械学習ベースの「Azure Active Directory Identity Protection」も、ゼロトラスト環境の向上につながると考え、目下検討中という。

ゼロトラストの1歩目

　1週間という短期間でありながら、ゼロトラストのリモート開発環境への移行を達成したセブン銀行と情報戦略テクノロジー。それは、以前からアジャイルの文化を社内に醸成し、社内外でうまくコミュニケーションをとれる関係性を育み、迅速な展開でも互いに受け入れられる信頼関係を作り上げていたからだ。本事例は、コロナ禍という厄災を進化やチャンスに変えたといえるだろう。

　「これからの開発の在り方やパートナー企業との関係性を考える上で一助になれば幸いです」（斉藤氏）

特集：境界防御からゼロトラストネットワークへ、今求められる理由と対応方法

社内ネットワーク内部であれば安全だ、いったん認証されたユーザーやデバイスは安全だと判断するのではなく、アクセスごとにセキュリティを確認するのが、ゼロトラストネットワークの考え方だ。外部だけではなく、内部にも脅威が存在することを前提としている。つまり、従来の境界防御とは異なる考え方だ。ゼロトラスト「ネットワーク」と呼ぶものの、IPとポートを監視するのではなく、ユーザーとアプリケーションを対象にセキュリティを維持する。これによってクラウドもセキュリティの対象となる。ゼロトラストネットワークを実現する手法は複数あり、外向き、内向きの通信を全てモニターする次世代ファイアウォールを置く、ネットワークを分割して同心円状に最も重要な情報を保護するといった取り組みが進んでいる。

境界防御からゼロトラストネットワークへ、今求められる理由と対応方法