検索
連載

セブン銀行がコロナ禍の1週間でリモートの内製開発を開始――焦りや孤独感と戦いながらもゼロトラストな開発環境を実現できた要因とは特集:境界防御からゼロトラストネットワークへ、今求められる理由と対応方法(3)

アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、セブン銀行と開発パートナー企業の情報戦略テクノロジーによる特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」を要約してお伝えする。

Share
Tweet
LINE
Hatena

開発の内製化で柔軟な組織体制の構築に成功

 新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、緊急事態宣言が出される直前、セブン銀行の内製開発チームと開発パートナー企業の情報戦略テクノロジーは大きな決断を迫られていた。

 開発環境自体は既にクラウド上に構築されており、IP制限でセブン銀行のオフィスからアクセスできるよう設定されていた。しかし、基本的には出社が前提のソリューション。開発者が在宅勤務に移行した場合、全員に対して固定IPを割り当てることができるかどうかは分からない。悩む時間がない中で、両社が何とかたどり着いた最善の選択――それは期せずしてゼロトラストセキュリティを実現するものだった。

 アイティメディア主催「ITmedia Security Week 秋」の特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」では、リモート開発環境を構築するまでのいきさつや苦労話、柔軟かつ迅速な対応を実現したチーム作りのヒントなどが紹介された。

 セブン銀行と聞くと、駅やコンビニなどにあるATMを思い浮かべる人は多い。同行のATMは全国に2万5000台以上を展開しており、主要銀行口座との入出金や電子マネーのチャージなど、各種機能が利用できる。そのセブン銀行では、実はバンキング事業も手掛けている。口座の開設や各種取引が行える専用アプリも提供しており、このアプリやPoC(概念実証)のシステムを開発するのが、セブン銀行のデジタルバンキング部 DX推進Gだ。


セブン銀行 デジタルバンキング部 DX推進G 副調査役 斉藤大明氏

 同行では、開発は内製で行っている。最新動向を取り入れたソリューションを提供するには、外部に丸投げして年単位で開発する従来のスタイルは合わない。市場の変化に対して機敏に反応し、価値あるものを素早く提供するには、内製の開発環境を充実させることが重要だ。そして、「それを実現できたのはクラウドがあったから」とセブン銀行の斉藤大明氏は述べる。

 「特に最近は、PaaSでもGUIを数分いじれば開発環境が簡単に整います。『まずは社内向けの小さなシステムなどスモールスタートで始めてみる』というハードルが、クラウドのおかげで低くなりました。小さい成功体験を積み重ねるのに最適で、チームのスキルアップにつながりました」(斉藤氏)

 内製において、もう一つ重要なポイントは、ユーザー部門に対するアジャイルマインドの浸透だ。市場ニーズをうまくくみ取ってシステムなどへ反映させるには、小まめな開発や改修を繰り返すアジャイル開発への移行は必須。それを成功させるには、ユーザー部門と二人三脚で力を合わせて挑む必要がある。

 「うまく開発に巻き込んでいけるような体制を作り、チームとしての責任を共有し、根気強くアジャイルマインドを浸透させることに取り組みました」と斉藤氏。ふたを開けてみたら、開発経験がないユーザー部門の方が既成概念にとらわれないからか、むしろ「アジャイルネイティブ」に進化し、開発チームにもユーザー部門と同様、アジャイルな文化がきちんと浸透しているという。その結果、チームビルディング、ふりかえりの定着などから、「みんなでさらに良くしていこう」という雰囲気が醸成された。

 「今では、目標を持って主体的に開発する風土が培われており、最終的にはこうしたチームとしてのスタンスが外部開発パートナーとの良好な関係性や信頼構築にもつながっていると感じています」(斉藤氏)

 課題は、縦割りの統制が取れた組織の中で、自己決定が求められるアジャイルな組織が生き延びられるかどうかだ。しかし、「互いの良さを認め合い、歩み寄って最善の解法を見つけられる共存関係が構築できれば無理な話ではない」と斉藤氏は指摘。何よりも、そんな自律的な組織を認め、既存の組織文化から少し離れたところで、ある程度の裁量権を与えてくれるよう、上長の理解を得ることは重要だという。

 内製への移行後、同チームは前述のバンキングアプリの他、アニメキャラとのコラボツール「セブンコンシェルジュ」やAPI開発ポータルなど、5件程度をリリース。チームメンバーも当初は数人だったところが、最大20人以上増強された。そして、こうした体制が機能し、新しい文化が育まれていたからこそ、急なシステム再編にも柔軟に対応できたといえる。


開発の内製化で専用バンキングアプリなどを開発

リモート開発環境の課題をクリアしていったらゼロトラストになった

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  6. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  10. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
ページトップに戻る