AWS が 主要な外部認証を全リージョンに渡って取得/維持していること、加えて セキュリティ情報を積極的に公開/開示している姿勢を高く評価しました。
攻め続けながらも守るところは固く、という AWS の姿勢は、これからの金融機関にとっても共感できる部分が多いと感じています。
2001 年にインターネットを活用した個人のための資産運用銀行として開業したソニー銀行株式会社は、円預金、外貨預金、仕組預金、投資信託、住宅ローンなどさまざまな金融商品/サービスを提供してきました。親会社であるソニーの開拓者スピリットを引き継ぎながら、現在も新しいビジネスに挑戦し成長し続けています。
ソニー銀行では、IT 投資に関しても最新のテクノロジを駆使することで、お客様の金融に関する自由度を高め、新たなライフスタイルを創造することに貢献していくというポリシーのもと、守りのコストを高くなり過ぎないように抑えつつ、新商品開発などの攻めのコストを重視しています。
「クラウドは、当社の QCD(Quality/Cost/Delivery)をバランスよくレベルアップするためのキーテクノロジーとして位置づけられています。」と、ソニー銀行株式会社 執行役員(システム企画部担当) 福嶋 達也 氏は言います。
金融業界において創造的なビジネスを追求していくためには、その根幹となる技術の動向を定常的にチェックする必要があります。ソニー銀行がクラウドに最初に注目したのもそうした技術動向調査の過程でのことでした。
2011 年より調査を重ね、クラウドの中でも AWS がもっとも多彩な機能を有しており、またコストも低廉であることが判明しましたが、実際に採用すべきかどうかの判断を行うため、ソニー銀行では2013 年にセキュリティ面およびシステムリスク面の評価を実施しました。
「AWS 以外のクラウドサービスもありましたが、当時から AWS の技術的優位性は圧倒的で、インフラにわざわざ AWS 以外のクラウドを選んで技術のキャッチアップ側に回る必要性を見い出せませんでした。」(福嶋氏)
これまでソニー銀行で活用してきた既存のリスク評価スキーム (業務委託先チェック、情報セキュリティチェック、システムリスクチェック) に加え、野村総合研究所などが実施していた FISC 安全対策基準の適合性調査結果など、外部のベンダによるノウハウも活用し、評価を行いました。
2013 年はまだ金融機関におけるクラウド利用、とりわけ IaaS 的な利用が本格化していなかったという事情もあり、慎重に評価する必要があったと言います。
「このとき留意したのは、"対象を正しく理解し、論点を明確にした上で評価を実施する"という点です。漠然としたイメージに惑わされることなく、コストやリスクなどファクトベースでもって既存環境との比較を行うことに注力しました。これは金融機関にかぎらず、クラウドの導入を検討する際の重要な視点だと言えます。」(福嶋氏)
ソニー銀行がリスク評価でもっとも検討を必要としたのは、AWS 特有の責任共有モデルです。この責任共有モデルにおいて、クラウド移行後も OS より上のレイヤは従来どおり自社およびメインベンダで運用を行い、AWS の責任範囲は OS より下のレイヤであるデータセンターとハードウェアなどの分野に限定しました。
また、セキュリティ面に関しては、AWS が ISO/IEC 27001、PCI DSS、SOC1 など主要な外部認証を全リージョンに渡って取得/維持していること、加えて FISC 安全対策基準への適合性などセキュリティ情報を積極的に公開/開示している姿勢を高く評価したと言います。
これらの調査/評価の結果、2013 年末に銀行業務のうち帳票管理やリスク管理、管理会計といった周辺系システムおよび開発環境の一部、そして一般社内業務システムを AWS 東京リージョンで構築することを決定し、導入に至りました。
AWS への移行は 2013 年末から段階的に開始されており、これまでキャンペーンサイト、Web コンテンツ管理(ワークフローシステム)、電子ファイリングシステム、オペレーションログ保管、顧客照会メール受信システム、管理会計システム、DB 監査システム、ファイルサーバなどの移行がほぼ完了しました。
「導入後のコストに関しては、控えめに見積もってオンプレミス時代の 30% は軽減できています。試算時よりもストレージの容量などを少なく抑えることができているので、実際には50%以上の削減効果が得られていると思います。」(福嶋氏)
オンプレミスでは、土日には使わないサーバーを OFF にする、ウイルス対策のサーバーは使うときだけ ON にする、といった使い方はできませんが、クラウドであればこうしたことが簡単にできます。このため、そうした柔軟性がもたらすコスト削減効果が非常に大きいと考えられています。
ソニー銀行では、リソースの調達に時間がかからなくなったことも非常に大きなビジネスメリットとなっています。トランザクションのピーク時を見越して余分なハードウェアを購入する必要もなく、そもそもサイジングの必要性がありません。アプリケーションの開発やテスト環境の構築も以前より格段に迅速に行うことができるようになっています。さらに、クラウドに移行したことで運用/管理の自動化が進んだため、ビジネス全体がスピードアップしたことを強く実感しているようです。「インフラがビジネスの足手まといだった時代はクラウドで終わろうとしているのではないでしょうか。」(福嶋氏)
また、セキュリティに関しても、共有責任モデルや FISC 安全対策基準への取り組みといった点は、実際に金融機関でクラウドを導入する上でも非常に役に立ったといいます。「今後クラウドの導入を検討する企業の皆様も、この点の理解を深めていただくのがよいのではないかと考えています。」(福嶋氏)
ソニー銀行では、2017 年度までには帳票管理システム、リスク管理システム、個人融資システムなど、社内システムで移行可能なものについて、すべて AWS への移行を完了させる予定です。
また、金融機関のシステム、それも基幹系のシステムであればなおさら、止まらないことを前提にしたアーキテクチャであることが求められます。ソニー銀行は AWS に対して "止まらないアーキテクチャ"に対してよりいっそう強くアプローチしていくこと" を期待しています。
「国内でのクラウド普及が進んできたとはいえ、金融機関での導入はまだそれほど多くないという話も聞いています。もし導入に向けて悩んでいる企業がいらっしゃるのであれば、まずクラウドの何に対して不安に思っているかをファクトベースで明確にするのがよいかもしれません。金融機関であればとくに責任共有モデルについて、しっかりと理解することが大切だと考えます。」(福嶋氏)
そのためには FISC 安全対策基準などを活用し、"漠然とした不安"をひとつひとつ論理的に潰していくことが重要であると言います。
「AWS を使っていると、Java などの黎明期に感じたオブジェクト指向への本格的なパラダイムシフトがインフラの世界にもやってきたと実感します。そうした中で AWS は確実に安定と実績が積み上がってきているのではないでしょうか。攻め続けながらも守るところは固く、という AWS の姿勢は、これからの金融機関にとっても共感できる部分が多いと感じています。」(福嶋氏)
AWS クラウドが金融サービスにおけるデータ管理にどのように役立つかに関する詳細は、クラウドでの金融サービスの詳細ページをご参照ください。