金融DXを目指すSaaS開発をDevSecOpsの仕組み作りによって実現

Trust Base株式会社

Trust Baseは、パーパスとして「テクノロジーで信託の可能性を拡げ、多様な仲間と持続可能な未来と社会的価値・顧客価値を共創する。」 を掲げてデジタルトランスフォーメーションを推進し、 パブリッククラウド等の最新のテクノロジーを活用した金融業界に革新をもたらす様々なサービスを提供しています。

＜お話を伺った方＞

取締役CEO 田中様

DXプラットフォームセンター　センター長 中川様

DXプラットフォームセンター　マネージャー 坂元様

導入前の課題

—ミッションについて

田中様：弊社は三井住友信託銀行株式会社のDX戦略子会社です。銀行業務を担当されている方や、グループ会社向けに、新しいテクノロジーを利用したビジネスを企画したり、環境構築を検討して非連続な成長をサポートしています。元々は銀行のデジタル企画部が母体で、ITセクションでは実現が難しい事や、ROIが見込めない領域に対して、テクノロジードリブンで課題解決をしていました。

ただし、銀行には職務規定を含めた様々な規定が存在しているため、開発規定を変更することは非常に難しいです。何か新しい取り組みを行うにも、銀行と同じルールで進める必要があり、予算を取得するためには前年度中に申請しなければなりません。これでは新しいチャレンジを実行するまでに非常に時間がかかります。そこで弊社Trust Baseを設立し、自社でクラウド環境を構築しR＆Dをアジャイル的に推進していくことになりました。弊社側で構築したものを銀行に確認してもらい、「良いものである」と判断されたものを逆輸入していきます。両利きの経営で言うと、銀行が「知の深化」とすれば、私たちは「知の探索」をミッションに持っています。

—課題について

中川様：Trust Baseが立ち上がり、最初にチャレンジしたことは、AWS共通基盤を構築し、そこでSaaSを開発することでした。アジャイル開発のスピード感を失うことなく、セキュリティ品質を高める必要があり、そのためにはDevSecOpsの整備が課題でした。アジャイル開発をしながら並行して設定ミスや脆弱性を潰して行く必要がありますが、DevSecOpsの経験を持つエンジニアが社内にいませんでした。

ゼロからDevSecOpsを整備するにあたり２つの方針を決めていました。1つは、クラウドネイティブな開発に対応できるCNAPP製品を導入することです。もう１つは、そのCNAPP製品を使ったセキュリティ運用をセキュリティチームで担うのではなく、開発チームに任せることでした。そのため、CNAPP製品を選定するにあたっては、開発チームによる運用し易さや開発チームとセキュリティチームのコミュニケーションの取り易さを高いプライオリティに設定していました。

活用方法について

中川様：弊社ではCloudbaseを本番リリースする際の判断材料として使っています。まず、AWS上で開発したシステムを本番リリースする前にセキュリティチームがCloudbaseを使ってスキャンをおこない、設定ミスや脆弱性を開発チームに伝えます。次に、これらの改修を開発チーム側で完了でき次第、リリース判定会議を開き、この際にCloudbaseのレポートがリリースのための重要な判断材料になっています。

リリース後は、開発チームに対してCloudbaseの運用に必要な権限を委譲し、定期スキャンの対応は開発チームだけで行うようにしています。当初課題であったDevSecOpsの整備においては、セキュリティチームから開発チームにバトンタッチをするプロセスの構築にハードルがありましたが、Cloudbaseを利用することで難なくクリアすることができました。

坂元様：開発チームでは、アラートに対応しない場合、Cloudbaseにコメントを残すようにしています。リリース後に我々がメインでセキュリティ対策を実施することについては、全くハードルはありません。Cloudbaseでは、リスクへの対応方法が丁寧にドキュメント化されているためです。

このドキュメントがないと仮定すると、対応するかどうかの判断が難しい場合にはセキュリティチームに問い合わせをするしかありませんし、指摘された内容が理解できない場合は公式ドキュメントなどを用いて調べる必要があります。Cloudbaseを利用することで、この調査コストを削減し、開発に注力する事ができています。

導入後の効果について

中川様：マネジメントの観点で２つ効果を実感しています。1つ目は開発チームがセキュリティ対策を自走できるようになったことです。自分達で構築したものに対する設定ミスや脆弱性を早い段階で発見できることで、エンジニアのセキュリティ意識やスキルの向上にもつながったと思います。2つ目は、セキュリティチームのリソース配分を最適化できることです。Cloudbaseを使ったセキュリティ運用を開発チームに任せることで、セキュリティチームはより専門性の高い業務、例えば、WEBアプリケーションやプラットフォームの脆弱性診断、脅威インテリジェンスの分析にリソースを集中させることができるようになりました。

坂元様：開発チームで自走している事が効果の一つですが、それ以外にはマルチクラウドで開発においてセキュリティ対策を推進する場合、AWSではSecurity Hub、GoogleではSecurity Command Center、AzureではDefender for Cloudと、それぞれのクラウドに対して学習をしなければいけません。Cloudbaseがあれば、学習コストを削減する事ができるため、とても助かっています。

田中様：私はサービスのリリース判定の段階で、残っている脆弱性をチームに見せてもらっています。それぞれの脆弱性について、評価がMediumであっても今回対応しない理由を一つ一つ説明してもらいます。結果的に、その場面でビジネスジャッジが可能になります。弊社のチームメンバーはプロフェッショナルなので信頼をしていますが、Cloudbaseによってリスクが限定されている状態を担保できることに安心感を持っています。

展望

田中様：開発速度は上がっていると実感しています。ようやくアプリケーションを提供できる段階にきており、業務の中枢を担うSaaSを、アジャイルを担保しながらセキュリティの強度を高めて提供していきます。また、弊社のグループ会社である三井住友信託銀行とは別の環境でクラウドを構築しているため、将来的には銀行以外の方も利用できるプラットフォームに育てていきたいと考えています。