日本発唯一の国際カードブランドであるJCBは、タッチ決済やコード決済など、多様な決済手法の広がりとモバイルを中心とした金融の発達といった大きな変革期を迎えています。こうした動きに追随し、率先して新たなサービスを展開することを目的に、2021年度から中期経営計画「Plan 2024」を掲げ、「選ばれるJCB」を目指した取り組みを進めてきました。
顧客のニーズが変化する不確実な時代の中で新たなアイデアを迅速に形にし、価値あるサービスとして提供するのは、従来のオンプレミス環境を前提としたウォーターフォール開発では難しい側面があります。そこで、Google Cloud上でマイクロサービスアーキテクチャを取り入れた新たなプラットフォーム「JCB Digital Enablement Platform(JDEP)」を構築し、アジャイル・スクラム開発を取り入れて新たなプロダクトの開発に取り組んできました。
JDEPでは、開発を主管するシステム部門、ビジネス部門、当社事業に協力いただいているビジネスパートナーという様々な組織に所属するメンバーが、一つのチームとなって活動しています。
そんな複数の開発チームを、SRE(Site Reliability Engineering)チームやデザインチーム、QSATチーム(品質保証チーム)、そしてSECチーム(セキュリティチーム)といった専門性の高いチームが支援する形で、今や全体で500人規模の体制で開発を進め、加盟店向けのWebサービスや会員向けスマホアプリケーションなど、二桁に上るプロダクトを開発してきました。
その役割を担うのがSECチームです。具体的には、①JDEPが新たなスタイルで開発するサービスやプロダクトのセキュリティレベルを高めること、②クラウドに関する知見を集約するCCoEのようにセキュリティに関する知見を集約し、効率的に施策を実施すること、③蓄積したノウハウを社内のJDEP以外の領域にも展開していくことという三つの目的を持って設立されました。
ただ、こうした目的を達成するには、社内の知見だけではカバーしきれない部分があることも認識していたそうです。
こうした理由から、JCB社内のメンバーに、NRIセキュアのSEC Team Servicesによってオンラインで参加する専門家を加えたバーチャルチームとしてSECチームを組織し、活動を進めてきました。
JCBは以前にもNRIセキュアの支援を受けたことがあり、JCBのビジネスやシステムに関する知見がありました。さらに、アジャイル開発手法やクラウドネイティブといった新たな環境におけるセキュリティに関しても豊富な知見を持つことが選択のポイントでした。
特に、クラウドネイティブな環境でのセキュリティに深い知見を持つエキスパートがそろっている点に心強さを感じていました。
こうして設立されたSECチームは、アジャイル開発のスピードとセキュリティを両立させるさまざまな支援を行っています。
まず、開発の早い段階からセキュリティリスクを洗い出し、早期に対処する「シフトレフト」の考え方を取り入れ、静的アプリケーションセキュリティテスト(SAST)やソフトウェアコンポジション解析(SCA)のツールを評価・選定し、開発のパイプラインに組み込んで各チームに提供するとともに、定期的なセキュリティ診断も実施しています。
同様にSECチームでは、クラウド基盤やコンテナ環境において利用するクラウドセキュリティ態勢管理(CSPM)やワークロードのセキュリティを保護するCWPPからのアラートを棚卸して対応要否を判別し、プラットフォームのセキュリティを維持する運用プロセスを整えました。
また、常に最新のセキュリティ動向をウォッチし、必要なテーマが浮上すれば具体的に検討しています。その一例が、近年注目されているソフトウェアのサプライチェーン対策です。
この成果はJDEPの取り組みに留まらず、JCBのシステム部門内にも還元されています。
ユニークな取り組みとしては、開発チーム向けの「セキュリティ勉強会」の開催が挙げられます。SECチームではセキュアな開発を進めるためのガイドラインを策定していますが、
日々の開発業務の中で浮上した疑問や不安に応える「よろず相談窓口」も設け、セキュリティ専門家の観点からアドバイスして開発チームのセキュリティ理解の促進と対策を底上げしてきました。クレジットカード業界の国際標準、PCI DSSのバージョンアップ時にも、暗号化方式に工夫を加えることで迅速に対応できる方法を提案しました。
この結果、
JDEPの開発は、NRIセキュアとワンチームで進めてきたSECチームの活動を通して、開発プロセスの中にセキュリティを組み込むDevSecOpsに近づいています。
その中で、NRIセキュアの一歩踏み込んだ支援体制を評価しています。
JDEPは引き続き、高いレベルでの開発効率やアジリティとセキュリティの両立を追求し、サービスの競争力を高めていきます。
※本文中の組織名、職名は2024年7月時点のものです