はじめに
NTTデータ テクノロジーカンファレンス 2019(NTTデータ テクノロジーカンファレンス 2019 ~ 未来を創る NTT DATA の確かな技術力 ~)
【事例】横浜銀行のマルチクラウド戦略とそれを支える「A-gate」
の聴講メモです。
横浜銀行のA-gate採用はNTTデータのニュースリリースにも掲載されています。
横浜銀行にてパブリッククラウド活用ソリューション「A-gate™」を採用 | NTTデータ
この採用に至る経緯を横浜銀行から、A-gateの提供するサービスについてNTTデータから説明が行われました。
聴講メモ
A-gate採用の経緯
スピーカー:横浜銀行 ICT推進部 主任調査役 森口 富裕 氏
横浜銀行がクラウドを導入した理由は「アジリティー獲得」と「コスト削減」のため。
(1) アジリティー獲得
自前の仮想化基盤を保有しているが、その基盤のハードウェア増強は物理サーバーと同様のスピード感になってしまう。また、ハードウェア増強に伴う1回の投資額が大きくなる。これを解決したかった。
(2) コスト削減
パブリッククラウドの検討当初、どのベンダーからもクラウドは安いものではなく、構築期間短縮の為に使うものであるといわれてきた。それが2018年後半からコストメリットのある試算が出るようになってきた。自前の仮想化基盤とAzureでのコストを比較すると、システムによってコストがトントンだったり逆に増えるケースもあったが、大幅に減らせるケースもあった。
横浜銀行がマルチクラウドを導入した理由について。
クラウドといえど、いつ障害が起こるかわからない。いつ価格改定があるかわからない。こうしたリスクを踏まえつつ、オンプレミスとのバランスをとりたい。
クラウドベンダーを比較すると、今はAWSが優勢だがAzureが追い上げている。この先の展開はわからない。
クラウドベンダー毎に特徴があり、それぞれに合わせていかないといけない。
クラウドの課題として「ID管理」「ネットワーク」「ストレージ」があった。
(1) ID管理
オンプレミスであればシステム毎にIDを管理すればよかった。
クラウドではアカウント毎に数百以上のアクションを付与すべきか否か決めなければいけない。
(2) ネットワーク
オンプレミスであれば外部とのネットワークは意図して敷設するものであり、管理が明確だった。
クラウドでは外部とのネットワークが設定だけで可能となる。S3のようなストレージのアクセスコントロールであったり、サーバの配置などを逐一考えなければいけない。
(3) ストレージ
オンプレミスであれば物理的なストレージがデータセンター内にあるため、簡単に触れられないし、外部にさらしてしまうリスクも低い。
一方でクラウドでは設定ミスで外部にさらしてしまうリスクが高い。
クラウドであっても正しく管理できれば安全といえる。ただ、その管理を正しく行うにはノウハウやコストが必要となる。これをA-gateで解決した。
「オンプレミス」と「クラウド」における開発体制の違いについて。
(1) オンプレミス時代
横浜銀行 - SIer - 開発ベンダー(複数)という階層構造になっていた。
SIerが間に入って複数の開発ベンダーに依頼することで、開発をスケールしやすいというメリットがあった。
(2) クラウド時代
開発ベンダーがSIer抜きで直受けしたいと提案してきた。これだと横浜銀行の管理負担が大きい。また、開発基盤がバラバラになる。
ここにA-gateを間に挟むことで開発の共通基盤としつつ、これまでの体制(横浜銀行 - SIer - 開発ベンダー)を維持することができた。
A-gateで提供するサービス
スピーカー:NTTデータ 第二金融事業本部 金融ソリューション事業部 課長 伊藤 利樹 氏
A-gateは「スタートアップコンサル」「仮想データセンター」「マネージドCCoE」から構成されている。
(1) スタートアップコンサル
- 基礎知識の提供
- ガバナンス体制及び構築支援
- ルール整備支援
これらについて、NTTデータのこれまでの構築ノウハウから落としどころを提示できる。
(2) 仮想データセンター
- 権限分掌機能
- ポリシー違反検知修復機能
(3)マネージドCCoE
- ガイドラインの整備と更新
- 新サービスの検証と審査
- 初期払出機能
ID管理の支援について。
アカウントは請求の単位であり、権限分掌の単位でもある。
セキュリティガバナンスを考慮し、システムや環境単位でのアカウント分離を推奨している。これにより、オペミス防止・影響の極小化・請求内容の明確化が期待できる。
組織として「役割の定義」と「各操作に対する権限分離」を考える。例えば、管理レイヤー・許可する操作・リスク管理担当にわけて定義及び管理する。
ユーザー・グループ・ロールという単位で管理を行う。
権限分掌の裏側はNTTデータが得意なパワープレイで行う。実体は数キロステップのJSON設定ファイルとなっている。
A-gateは常に設定を監視しており、ストレージの公開設定を誤った場合でも検知して即座に修正が行われる。
監視ルールに違反し、かつ例外登録がなされていない場合は自動的に直前の状態へ修復される。また、その内容はメールで通知される。
A-gateはガバナンスを効かせるための機能提供がメインとなっている。
A-gate上でのシステム開発はベンダーフリーとなっている。NTTデータが開発を請け負うこともできるが、営業が下手なもので…!