セブン銀行がコロナ禍の1週間でリモートの内製開発を開始――焦りや孤独感と戦いながらもゼロトラストな開発環境を実現できた要因とは:特集:境界防御からゼロトラストネットワークへ、今求められる理由と対応方法(3)
アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、セブン銀行と開発パートナー企業の情報戦略テクノロジーによる特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」を要約してお伝えする。
開発の内製化で柔軟な組織体制の構築に成功
新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、緊急事態宣言が出される直前、セブン銀行の内製開発チームと開発パートナー企業の情報戦略テクノロジーは大きな決断を迫られていた。
開発環境自体は既にクラウド上に構築されており、IP制限でセブン銀行のオフィスからアクセスできるよう設定されていた。しかし、基本的には出社が前提のソリューション。開発者が在宅勤務に移行した場合、全員に対して固定IPを割り当てることができるかどうかは分からない。悩む時間がない中で、両社が何とかたどり着いた最善の選択――それは期せずしてゼロトラストセキュリティを実現するものだった。
アイティメディア主催「ITmedia Security Week 秋」の特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」では、リモート開発環境を構築するまでのいきさつや苦労話、柔軟かつ迅速な対応を実現したチーム作りのヒントなどが紹介された。
セブン銀行と聞くと、駅やコンビニなどにあるATMを思い浮かべる人は多い。同行のATMは全国に2万5000台以上を展開しており、主要銀行口座との入出金や電子マネーのチャージなど、各種機能が利用できる。そのセブン銀行では、実はバンキング事業も手掛けている。口座の開設や各種取引が行える専用アプリも提供しており、このアプリやPoC(概念実証)のシステムを開発するのが、セブン銀行のデジタルバンキング部 DX推進Gだ。
同行では、開発は内製で行っている。最新動向を取り入れたソリューションを提供するには、外部に丸投げして年単位で開発する従来のスタイルは合わない。市場の変化に対して機敏に反応し、価値あるものを素早く提供するには、内製の開発環境を充実させることが重要だ。そして、「それを実現できたのはクラウドがあったから」とセブン銀行の斉藤大明氏は述べる。
「特に最近は、PaaSでもGUIを数分いじれば開発環境が簡単に整います。『まずは社内向けの小さなシステムなどスモールスタートで始めてみる』というハードルが、クラウドのおかげで低くなりました。小さい成功体験を積み重ねるのに最適で、チームのスキルアップにつながりました」(斉藤氏)
内製において、もう一つ重要なポイントは、ユーザー部門に対するアジャイルマインドの浸透だ。市場ニーズをうまくくみ取ってシステムなどへ反映させるには、小まめな開発や改修を繰り返すアジャイル開発への移行は必須。それを成功させるには、ユーザー部門と二人三脚で力を合わせて挑む必要がある。
「うまく開発に巻き込んでいけるような体制を作り、チームとしての責任を共有し、根気強くアジャイルマインドを浸透させることに取り組みました」と斉藤氏。ふたを開けてみたら、開発経験がないユーザー部門の方が既成概念にとらわれないからか、むしろ「アジャイルネイティブ」に進化し、開発チームにもユーザー部門と同様、アジャイルな文化がきちんと浸透しているという。その結果、チームビルディング、ふりかえりの定着などから、「みんなでさらに良くしていこう」という雰囲気が醸成された。
「今では、目標を持って主体的に開発する風土が培われており、最終的にはこうしたチームとしてのスタンスが外部開発パートナーとの良好な関係性や信頼構築にもつながっていると感じています」(斉藤氏)
課題は、縦割りの統制が取れた組織の中で、自己決定が求められるアジャイルな組織が生き延びられるかどうかだ。しかし、「互いの良さを認め合い、歩み寄って最善の解法を見つけられる共存関係が構築できれば無理な話ではない」と斉藤氏は指摘。何よりも、そんな自律的な組織を認め、既存の組織文化から少し離れたところで、ある程度の裁量権を与えてくれるよう、上長の理解を得ることは重要だという。
内製への移行後、同チームは前述のバンキングアプリの他、アニメキャラとのコラボツール「セブンコンシェルジュ」やAPI開発ポータルなど、5件程度をリリース。チームメンバーも当初は数人だったところが、最大20人以上増強された。そして、こうした体制が機能し、新しい文化が育まれていたからこそ、急なシステム再編にも柔軟に対応できたといえる。
リモート開発環境の課題をクリアしていったらゼロトラストになった
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「ゼロトラストとは」で検索してもよく分からない?――米国政府による定義「SP 800-207」を読み解く
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、米国政府が考えるゼロトラストの定義と実践の姿について。 - 「ゼロトラスト」を理由に閉域網を捨てるのは間違い
コロナ禍で在宅勤務が急増した結果、ゼロトラストへの関心が高まっている。ゼロトラストを採用した企業ではテレワークが急増しても「VPN渋滞」にならなかった、などとニュースなどで紹介されている。ゼロトラストでは「企業ネットワーク=閉域網」の在り方はどうなるのだろう? - 当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。