検索
連載

セブン銀行がコロナ禍の1週間でリモートの内製開発を開始――焦りや孤独感と戦いながらもゼロトラストな開発環境を実現できた要因とは特集:境界防御からゼロトラストネットワークへ、今求められる理由と対応方法(3)

アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、セブン銀行と開発パートナー企業の情報戦略テクノロジーによる特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」を要約してお伝えする。

Share
Tweet
LINE
Hatena

開発の内製化で柔軟な組織体制の構築に成功

 新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、緊急事態宣言が出される直前、セブン銀行の内製開発チームと開発パートナー企業の情報戦略テクノロジーは大きな決断を迫られていた。

 開発環境自体は既にクラウド上に構築されており、IP制限でセブン銀行のオフィスからアクセスできるよう設定されていた。しかし、基本的には出社が前提のソリューション。開発者が在宅勤務に移行した場合、全員に対して固定IPを割り当てることができるかどうかは分からない。悩む時間がない中で、両社が何とかたどり着いた最善の選択――それは期せずしてゼロトラストセキュリティを実現するものだった。

 アイティメディア主催「ITmedia Security Week 秋」の特別講演「タイムリミットは1週間 コロナ禍でリモートになったセブン銀行の内製開発チームがゼロトラストに移行するまで」では、リモート開発環境を構築するまでのいきさつや苦労話、柔軟かつ迅速な対応を実現したチーム作りのヒントなどが紹介された。

 セブン銀行と聞くと、駅やコンビニなどにあるATMを思い浮かべる人は多い。同行のATMは全国に2万5000台以上を展開しており、主要銀行口座との入出金や電子マネーのチャージなど、各種機能が利用できる。そのセブン銀行では、実はバンキング事業も手掛けている。口座の開設や各種取引が行える専用アプリも提供しており、このアプリやPoC(概念実証)のシステムを開発するのが、セブン銀行のデジタルバンキング部 DX推進Gだ。


セブン銀行 デジタルバンキング部 DX推進G 副調査役 斉藤大明氏

 同行では、開発は内製で行っている。最新動向を取り入れたソリューションを提供するには、外部に丸投げして年単位で開発する従来のスタイルは合わない。市場の変化に対して機敏に反応し、価値あるものを素早く提供するには、内製の開発環境を充実させることが重要だ。そして、「それを実現できたのはクラウドがあったから」とセブン銀行の斉藤大明氏は述べる。

 「特に最近は、PaaSでもGUIを数分いじれば開発環境が簡単に整います。『まずは社内向けの小さなシステムなどスモールスタートで始めてみる』というハードルが、クラウドのおかげで低くなりました。小さい成功体験を積み重ねるのに最適で、チームのスキルアップにつながりました」(斉藤氏)

 内製において、もう一つ重要なポイントは、ユーザー部門に対するアジャイルマインドの浸透だ。市場ニーズをうまくくみ取ってシステムなどへ反映させるには、小まめな開発や改修を繰り返すアジャイル開発への移行は必須。それを成功させるには、ユーザー部門と二人三脚で力を合わせて挑む必要がある。

 「うまく開発に巻き込んでいけるような体制を作り、チームとしての責任を共有し、根気強くアジャイルマインドを浸透させることに取り組みました」と斉藤氏。ふたを開けてみたら、開発経験がないユーザー部門の方が既成概念にとらわれないからか、むしろ「アジャイルネイティブ」に進化し、開発チームにもユーザー部門と同様、アジャイルな文化がきちんと浸透しているという。その結果、チームビルディング、ふりかえりの定着などから、「みんなでさらに良くしていこう」という雰囲気が醸成された。

 「今では、目標を持って主体的に開発する風土が培われており、最終的にはこうしたチームとしてのスタンスが外部開発パートナーとの良好な関係性や信頼構築にもつながっていると感じています」(斉藤氏)

 課題は、縦割りの統制が取れた組織の中で、自己決定が求められるアジャイルな組織が生き延びられるかどうかだ。しかし、「互いの良さを認め合い、歩み寄って最善の解法を見つけられる共存関係が構築できれば無理な話ではない」と斉藤氏は指摘。何よりも、そんな自律的な組織を認め、既存の組織文化から少し離れたところで、ある程度の裁量権を与えてくれるよう、上長の理解を得ることは重要だという。

 内製への移行後、同チームは前述のバンキングアプリの他、アニメキャラとのコラボツール「セブンコンシェルジュ」やAPI開発ポータルなど、5件程度をリリース。チームメンバーも当初は数人だったところが、最大20人以上増強された。そして、こうした体制が機能し、新しい文化が育まれていたからこそ、急なシステム再編にも柔軟に対応できたといえる。


開発の内製化で専用バンキングアプリなどを開発

リモート開発環境の課題をクリアしていったらゼロトラストになった

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ページトップに戻る