DevOpsとセキュリティ強化に取り組む先進企業のインタビュー
北國銀行のセキュアなDevOpsを支える組織文化
部門の壁を越え連携と協調を実現するための取り組み

デジタルトランスフォーメーションの推進にあたり、顧客に製品やサービスの価値を素早く提供することを目的にDevOpsに取り組む組織が増えている。また、セキュリティの観点を開発・運用プロセスに組み込んだDevSecOpsというコンセプトにも注目が集まるなど、そのアプローチはますます重要視され、今後も多くの企業がDevOpsに取り組むといわれている。

しかし、DevOpsの実践において、開発部門や運用部門との連携、協調に課題を持つ組織も多い。トレンドマイクロが行った調査でもDevOpsの実践において95%のIT管理者がコミュニケーションの改善が必要と考えているという結果が出ている(※)。組織によっては、開発部門や運用部門だけではなく、様々な部門がステークホルダとなるため、部門の壁を越えた連携や協調をいかに実現するか、そうした組織文化をいかに築くかがDevOpsの実践に向けた課題といえる。

本稿では、先行してDevOpsを実践している組織の一つとして、北國銀行をとりあげ、DevOpsを支える組織文化と、文化形成の取り組みの一部を紹介したい。北國銀行は2019年9月にDevOpsで開発・運用する新インターネットバンキング「北國クラウドバンキング」を開始。システム部門を中心に事業部門やリスク管理部門など各部門とも連携し、部門の壁を越えた意思決定のもと開発を行ってきたという。DevOpsの実施にあたり、部門間の連携を強化したい、壁を取り除きたいリーダーにとって、参考となれば幸いである。

DevOpsに関する実態調査 2019

仮説思考でムダを排除し、スピーディかつフラットな組織を実現

変わらなければ生き残れない──デジタル技術を駆使した新興企業の成長ぶりを前に、強い危機感を抱いている企業は少なくない。石川県金沢市に本店を置き、主に北陸3県で事業を展開する北國銀行もそんな企業のひとつだ。地方銀行を取り巻く経営環境が厳しさを増す中、カードとリース、コンサルティングという3つの新規分野の開拓に取り組んでいる。

そんな北國銀行にとって大きな力となっているのは、やはりデジタルの力だ。2019年9月にはチャネル多様化の一環として、かねてから開発に取り組んできた新インターネットバンキング「北國クラウドバンキング」をスタートさせた。サービス基盤にはMicrosoft Azureを採用し、市場の変化や経営の意向を即座に反映し、また技術を行内に蓄積するために内製での開発を実施。さらにDevOpsのアプローチを取り入れるなど、デジタルトランスフォーメーションを進めている。

一連のデジタルトランスフォーメーションに取り組む北國銀行システム部上席調査役兼システム企画課長の岩間正樹氏は、「当行でも以前は新しいアプリケーションの開発に際して、各部門で互いに譲ることなく、平行線の議論が交わされることがよくありました。しかし、現在では部門の都合だけではなく、お客さまに提供できる価値を最大化するために、北國銀行としてどうするべきか、という最適解をスピーディに判断できるようになってきています」

岩間 正樹 氏
株式会社北國銀行
システム部
上席調査役兼システム企画課長

丸金 正和 氏
株式会社北國銀行
システム部 システム企画課
管理グループ(セキュリティチーム)課長代理

こうしたDevOpsに欠かせない部門間での協調・連携といった組織文化は、北國銀行が以前から行ってきた業務上のムダを排除し、情報共有のあり方をフラットにする様々な取り組みによって形成されたといえるだろう。そのひとつが『仮説思考』の徹底だ。「われわれは今、『仮説思考』で仕事を進めていこうとしています。これまでは、『これを実現するために必要な物は何か』を考えて、徹底的にエビデンスを精査して比較し、最終的に『このやり方でいこう』と、時間をかけて決めていました。今では『仮説思考』で、はじめに時間をかけて計画するのではなく、今ある情報をもとに計画を立て、やりながら仮説の検証を繰り返す、という方法で意思決定のスピードを速めようとしています」(岩間氏)

「北國クラウドバンキング」におけるクラウド基盤の採用も、仮説思考に基づいて決定されたという。クラウドならば、コスト面だけではなく、責任共有モデルに基づき、インフラに関する基本的なセキュリティ運用は事業者側が世界中のノウハウをきっちり適用した形で実現してくれるため、レベルアップできると期待した。さらにシステムの陳腐化を防ぎ、災害対策も容易なことなど、クラウドのメリットを評価したという。「当時は不明な点もありましたが、まずはクラウドを利用する前提で動き出し、その後に開発を担ったクラウドサービスベンダーのFIXER社をはじめとする有識者から情報を収集しながら、計画を進めていきました」と語る。

北國銀行では、マネジメント層を含め、さまざまな機会をとらえては、この仮説思考を繰り返し提唱してきた。さらに「仮説思考ができているか」を人事評価項目のひとつに加えるなど、さまざまな角度から実践に取り組んでいる。例えば、企画書の作成においても、時間をかけて作り込むのではなく、ラフな状態でも企画の方向性がわかれば、その段階で一度共有することで、後戻り時に発生するムダを排除。また共有する際も、根回しはせずに他部署を含め関係者全員に一同に共有することで、情報伝達のスピードを速めているという。

全体最適で過度なセキュリティ対策から脱却

こうした取り組みの結果、情報共有のあり方もフラットなものに変わり、コミュニケーションの風通しもよくなった。「北國クラウドバンキング」の開発においても、本来の目的を共有したうえで、ステークホルダが一同に会し、最適解を導くための建設的な議論が行われてきたという。「セキュリティ対策においても、以前は事業部門と経営管理部門の意見がすりあわず、どうしても利便性を犠牲にして過度なセキュリティ対策を実装しがちでしたが、現在は部門を超え、同じ目的を持つチームとして議論できる環境が整ってきました」(岩間氏)。実現すべきことと、それによって生じるリスク、リスクをカバーするために取りえる手段について、適切にバランスを取りながら意思決定を行ってきたという。

ひとつの例がユーザ認証だ。不正利用を防ぐには二段階認証だけではなく、三段階認証やデバイス認証と認証を強化するのが早道ではあるが、不正アクセスのリスクがゼロになるわけではない。そればかりか、セキュリティ強化を追求していくと利便性が落ちてしまい、お客さまに新しいチャネルを提供する、というそもそもの目的から外れてしまう。そこで、「金融業界のセキュリティスタンダードを満たしたうえで、不正利用によって生じた損失は銀行側が補償する」といった形でリスクを受容する方が、全体として見た場合にコストも低くなり、またお客さまへ提供できる価値も最大化できるのではないかという具合に、さまざまな側面から意見を出し合って最適解を見出している。

セキュリティソリューションの選定に当たってもこうした観点が重視されている。Azure基盤の保護には、トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security」を採用。クラウドの利便性を損なわずに、パッチ運用の柔軟性とセキュリティを両立させる観点から決まったことだと、セキュリティ業務を担当する北國銀行 システム部 システム企画課 管理グループ(セキュリティチーム)課長代理の丸金正和氏は説明した。

また、Microsoft Azure基盤でのシステムの設計・開発を担当し、同時にアジャイル開発やDevOpsのアプローチについても支援しているクラウドサービスベンダーFIXERの三井陽一氏も、「北國銀行様は、金融機関として高いレベルのセキュリティを維持した状態で、ユーザの利便性とのバランスを見ながら全体最適を図っている」と語る。

三井 陽一 氏
株式会社FIXER
Chief Security Architect

文化だけでなくプロセスにもセキュリティを浸透

北國銀行では個人向けインターネットバンキングに続き、法人向けサービスの開発も進めている。その中で、CI/CDを取り入れ、コンテナを活用したマイクロサービス化の取り組みを開始。こうした取り組みと並行して、セキュリティを重視する文化が形成されている北國銀行では、ここからさらに一歩踏み込み、開発や運用、サービス提供といったプロセスの中に自然とセキュリティが組み込まれるようなDevSecOpsの実現を目指していく。その中で適切なレベルのセキュリティを担保するため、コンテナイメージに含まれる脆弱性や不正プログラムをチェックするトレンドマイクロの新製品「Trend Micro Deep Security Smart Check」にも期待しているという。

技術の進化も早いが、サイバーセキュリティを取り巻く脅威の変化も早い。岩間氏は「その変化に追いつくべく、セキュリティソリューションの側も、利便性を損なわない形で進化していると思います。そうした技術を積極的に採用し、トレンドマイクロやFIXERなどのパートナーと協力しながら、全体最適でより良いサービスを構築していきます」と述べている。

より良い価値を素早くお客さまに提供するために、仮説思考や全体最適というキーワードのもと、業務のムダや組織の壁を排除し、DevOpsに必要となる協調や連携といった文化を浸透させてきた北國銀行。「最近では業務部門が、リスク管理部門が考えるものよりも強固なセキュリティ対策やリスク管理を自ら起案することもあり、各部門がそれぞれの役割を超えた議論がなされるようになってきました。今後も共通の目的のもと、部門の壁を超えた議論を行う土壌をいかし、デジタルトランスフォーメーションを推進していきたいと思います」と岩間氏は最後に述べた。

記事公開日 : 2019.11.21
※ 記載内容は2019年9月現在のものです