金融リファレンスアーキテクチャ日本版アップデートのお知らせ

「金融リファレンスアーキテクチャ日本版」は、金融で求められるセキュリティと可用性に関するベストプラクティスを提供するフレームワークとして 2022 年 10 月に正式版として発表し、多くのお客様にご利用いただいております。
この度、皆様からいただいたご意見を踏まえ、多くのアップデートを行ったv1.1をGithub上で公開しました。変更点の概要は以下のとおりです。

[v1.1での変更点]

1. 新ワークロードデータ分析プラットフォーム – Simple data lake の提供
金融ワークロードとしてデータ分析プラットフォームを新たに追加しました。Amazon S3, AWS Glue, AWS Step Functions によるデータレイクとETLジョブ実装、そしてAmazon QuickSightのサンプルダッシュボードを提供します。

2.勘定系ワークロードレジリエンス対応サンプルアプリケーションの提供
勘定系ワークロードに信頼性の高いリージョン間フェイルオーバーの構成・手順を確認できるサンプルアプリケーションを追加しました。

3.金融リファレンスアーキテクチャ日本版体験型ワークショップの提供
金融リファレンスアーキテクチャを体験していただけるワークショップコンテンツを提供します。

4.AWS Control Tower 新機能への対応
大阪リージョンへの対応などControl Tower 新機能を取り込みました。

5.ガバナンスベースおよび金融ワークロードでのCDKコードのリファクタリング
AWS Cloud Development Kit (AWS CDK)のベストプラクティスを取り込み、CDKテンプレートコードのリファクタリングを行いました。

1. 新ワークロードデータ分析プラットフォーム Simple data lake の提供

新しいサンプルワークロードであるデータ分析プラットフォームは、金融機関に求められる水準のセキュリティを備えつつ、将来的なニーズの変化や利用規模拡大に柔軟に対応可能で、コスト最適なデータ分析基盤を構築できるリファレンスアーキテクチャを提示します。

金融ワークロード: データ分析プラットフォーム Simple data lake

データ分析プラットフォームに求められるユースケースや利用されるコンポーネントは多岐に渡りますが、本リリースではプラットフォームのコアとなる Amazon S3 を用いた Simple data lake のアーキテクチャサンプルを提供します。
データレイク上のデータは以下に示す3層構造のデータ保存戦略で管理されます。

この戦略は多様なニーズの変化への対応余地を残しつつ利活用を促進すると共に、データ分析プラットフォーム利用者間での統制と管理の境界を確保するのに役立ちます。ソースシステムから連携されたデータは raw バケットに格納された後、順を追って変換され、 normalized バケット、 analytics バケットに格納されます。
本サンプルアーキテクチャでは、上記のデータ配置戦略の中でどのようなユースケースが実現できるかのリファレンスを示すため、架空の銀行である「AWS 銀行」の入出金明細、口座情報、顧客、インターネットバンキング契約のデータを題材に実際のデータライフサイクルを示します。

加えて、データを分析結果を可視化するユースケース例として Amazon QuickSight を用いたマーケティングダッシュボードも用意しており、データ分析プラットフォームに取り込まれたデータの加工から可視化に至るまでのライフサイクルを観察できます。

2. 勘定系ワークロードレジリエンス対応サンプルアプリケーションの提供

金融リファレンスアーキテクチャの4つのサンプルワークロードの一つ、勘定系ワークロードは、汎用的なトランザクション処理に向けたマルチAZ、マルチリージョンアーキテクチャです。このアーキテクチャをより深く理解するため、実際に動くサンプルアプリケーションについてご要望の声を頂いておりました。これを受けて今回、以下の機能を有するデモ用のサンプルアプリケーションを開発し、また、信頼性の高いリージョン間フェイルオーバーを実現するための機能をワークロードに追加しました。

残高参照
口座預入れ
口座引落し

マルチリージョン対応マイクロサービスサンプルアプリケーション

デモアプリケーションのアーキテクチャ概要を以下に示します。

このサンプルアプリケーションの主な特徴は以下の通りです。

トランザクション管理、補償トランザクションによる排他制御、アトミック性
マイクロサービスの管理においてSagaパターンのオーケストレーションを採用
トランザクションのステートをDynamoDB Global Tableに保持し、データのリコンサイルに活用可能
コントロールプレーンに依存しない、データプレーンによる信頼性の高いアプリケーション閉塞
Amazon Route53 ARCを活用したデータプレーンによる信頼性の高いリージョンフェイルオーバー
AWS FIS（Fault Injection Simulator）を活用したフルマネージドでの様々な障害の注入が可能

今回ご提供するCDKコードを使ってこれらを自動構築することが出来ます。入出金の疑似トランザクションを連続的に発生させながら人工的な障害を注入し、その上でリージョンフェイルオーバーを行うなど、様々な障害、復旧手順のシミュレーションにお使い頂けます。

デモシナリオ例：ネットワーク障害により、東京リージョンから大阪リージョンへの切替を行うシミュレーション

3. 金融リファレンスアーキテクチャ日本版体験型ワークショップの提供

金融リファレンスアーキテクチャ日本版が提供する各コンテンツとCDKを、ユーザー自身で理解し学習するための体験型のワークショップを準備しました。トレーニングコンテンツは下記のサイトから参照することができます。

https://catalog.us-east-1.prod.workshops.aws/workshops/55a386bd-ea95-4b6e-b15f-0098915be0be

[コンテンツ内容]

金融リファレンスアーキテクチャ日本版概要
TypeScript および CDK入門
ガバナンスベースのデプロイ
金融ワークロードベストプラクティスのデプロイ

実際に手を動かしながらハンズオン形式で CDK テンプレートとして提供される各リソースをAWSアカウント環境にデプロイし、デプロイした内容を確認できる構成となっています。ガバナンスベースは AWS Control Towerによるマルチアカウント環境を前提としていますが、本ワークショップではシングルアカウント環境にデプロイする手順としています。
※イベント形式でのワークショップの実施にご興味があるお客様は担当のSolution Architect までご相談下さい。

4. AWS Control Tower 新機能への対応

2022年7月から2022年4月までにリリースされたAWS Control Tower の各種アップデートに合わせて、金融リファレンスアーキテクチャ日本版のガバナンスベースのリソースを更新しました。

4-1. Control TowerコントロールとFISC安全対策基準第10版とのマッピング表を更新

2022年11月のリリースで AWS Control Tower ガードレールはコントロールに名称変更され、従来からある予防的統制・発見的統制に加えてプロアクティブな統制機能を追加するようになりました。また、一部のAWS ConfigルールをControl Towerコントロールに包含するようになり、コントロール数が360以上に大幅に拡大されています。
この変更に伴い、従来から提供していた Control TowerガードレールとFISC安全対策基準実務基準（第10版）とのマッピング表を、新しいコントロールに合わせて更新しました。

FISC 安全対策基準実務基準と Control Tower ガードレールでの対策

4-2. AFC(Account Factory Customization）への対応

2022年11月にリリースされた AFC（Account Factory Customization）を利用することで、AWS Control Towerからリソースをプロビジョニングする際、新規および既存のアカウントを任意のCloudFormation Stack を使用してカスタマイズすることができるようになりました。
これまで BLEA for FSI ガバナンスベースが提供するAWSアカウント環境での基本的な統制機能は、ゲストアカウント上でCDKテンプレートを実行することでプロビジョニングしてきましたが、このガバナンスベースのプロビジョニングをAFCを使ってゲストアカウント作成時に自動的に実行できるように拡張しました。詳しいセットアップ手順については下記を参照下さい。

Control Tower AFC を利用したガバナンスベースの自動プロビジョニング

4-3. Control Tower の大阪リージョンGAへの対応

2022年4月に AWS Control Tower が大阪リージョンに対応しました。これに伴い、これまで提供していた大阪リージョン専用のガバナンスベース(base-ct-guest-osa)の提供を止め、通常のガバナンスベース（base-ct-guest）を大阪リージョンにもデプロイできるように改修を行いました。詳しいセットアップ手順については下記を参照下さい。

ゲストアカウントでの大阪リージョンへのガバナンスベースのセットアップ手順

5. ガバナンスベースおよび金融ワークロードでのCDKコードのリファクタリング

金融リファレンスアーキテクチャガバナンスベースおよび各金融ワークロードは、実際にAWSアカウント環境にデプロイするための CDKテンプレートを提供しています。これらのCDKテンプレートは、AWSアカウント上にセキュアな統制環境を構築するOSSのBLEAをベースに開発を行っています。BLEAは2023年4月にリリースされた v3.0で最新のAWSのセキュリティとCDKのベストプラクティスに対応するためにCDKコードに大幅なアップデートを行いました。BLEA for FSI でも同様な変更を下記の7つののリソースに対して実施しました。

対象リソース：

CDKテンプレート	プロジェクトのパス
BLEA for FSI ガバナンスベース(ゲストアカウント）	/usercase/base-ct-guest
BLEA for FSI ガバナンスベース(ログアカウント）	/usecases/base-ct-logging
金融ワークロード勘定系システム	/usercases/guest-core-banking-sample
金融ワークロード顧客チャネル	/usercases/guest-customer-channel-sample
金融ワークロードオープンAPI ベーシック	/usercases/guest=openapi-base-sample
金融ワークロードオープンAPI 金融グレード (FAPI)	/usercases/guest=openapi-fapi-sample
金融ワークロードマーケットデータ	/usercases/guest-market-data-sample

変更点の詳細についてはこちらを参照下さい。

まとめ

金融リファレンスアーキテクチャ日本版の全てのコンテンツとコードは、パブリックの GitHub リポジトリから参照でき、Git リポジトリとしてローカル環境にクローンすることもできます。フィードバックや質問については Issue として GitHub サイト上に登録いただけます。ご利用される皆様からのニーズや意見に基づいて今後の改善方針を決めていきたいと考えておりますので、ご質問やフィードバックをお待ちしております。

謝辞

アマゾンウェブサービスジャパン合同会社技術統括本部・金融グループ/グローバルフィナンシャルサービスの下記メンバーでv1.1の開発を行いました。

木村、保坂、北嵐、深森、疋田、Yu Wu、小宮、神部、中嶋、吉澤、都築、遠藤、有岡、Bhavesh Dave

Amazon Web Services ブログ

金融リファレンスアーキテクチャ日本版 アップデートのお知らせ

1. 新ワークロード データ分析プラットフォーム Simple data lake の提供

2. 勘定系ワークロード レジリエンス対応サンプルアプリケーションの提供

3. 金融リファレンスアーキテクチャ日本版 体験型ワークショップの提供