ソニー銀行におけるクラウドの活用状況と今後の展望

ソニー銀行におけるクラウドの活用状況と今後の展望 2018 年 2 月 8 日ソニー銀行株式会社

0 はじめに本セッションの構成ソニー銀行の概要 AWS 導入の経緯 AWS 導入状況個別システム事例今後の展望 1

1 ソニー銀行の概要

ソニー銀行の概要企業概要商号ソニー銀株式会社本店所在地東京都千代区内幸町丁 1 番 6 号設 2001 年 4 2 開業 2001 年 6 11 資本 310 億円株主ソニーフィナンシャルホールディングス株式会社 100% 2016 年 1 本円ドルユーロなど 11 通貨に対応する Visa デビット付きキャッシュカード Sony Bank WALLET の取り扱い開始ソニー銀のキャッシュカードと世界中で使える Visa デビットが枚に Visa デビットは使ったその時引き落とし現のように使えます 3

2 AWS 導入の経緯

2 AWS 導入の経緯 AWS の導入目的 IT コストの最適化柔軟性俊敏性の向上 5

2 AWS 導入の経緯 AWS の選定 2011 年頃パブリッククラウドに注国内外のサービスについて情報収集調査を開始 2013 年初年末 AWSを詳細調査豊富かつ度な機能を有しコストも低廉であることを把握採可否の判断のため情報セキュリティシステムリスクでの評価を実施 2013 年末般社内業務システム銀業務周辺系システムにてAWS( 東京リージョン ) を活する針を決定 6

2 AWS 導入の経緯情報セキュリティシステムリスク評価 AWSセキュリティモデル機能の確認理解 ( 責任共有モデル等 ) 弊社の外部委託先評価項 ( 情報セキュリティシステムリスク ) に基づく確認導時の評価だけではなく年次にて最新版の評価項による継続的な確認も実施 7

2 AWS 導入の経緯情報セキュリティシステムリスク評価 - 責任共有モデル自社構築環境クラウド環境アプリデータミドルウェア OS ハードウェアデータセンター運用管理運用管理 ( 利用企業 ) アプリデータミドルウェア OS ハードウェアデータセンター運用管理 (AWS) 利用企業側の責任範囲 AWS 側の責任範囲 8

2 AWS 導入の経緯情報セキュリティシステムリスク評価外部認証 AWS では主要な外部認証を全リージョンに渡って取得維持 ISO 27001 ISO 27017 ISO 27018 PCI DSS Level 1 SOC 1 SOC 2 SOC 3 など多数を取得維持 9

2 AWS 導入の経緯 AWS 導入の対象範囲般社内業務システム銀業務周辺系システムを順次 AWS へ移中銀業務社内業務その他 AWS 東京リージョン銀業務周辺系 VPC 管理会計リスク管理顧客メール受信 DB 監査般社内業務系 VPC ファイルサーバグループウェア決裁ワークフロー管理系 ( ウィルス対策 ) 開発系 VPC ( 開発環境 ) 開発機構築系 VPC ( 構築テスト ) Web 系 VPC ( 情報提供系 ) イメージファイリング Backup(S3) Backup(S3) Direct Connect Internet VPN Direct Connect Internet VPN データセンター A データセンター B データセンター C IB/ 勘定系各種周辺系各種社内機開発機本社等本番アクセスルーム 10

3 AWS 導入状況 ~ 個別システム事例 ~

3 AWS 導入状況銀行業務周辺系システム - 管理会計管理会計システムをAWSへ移 ( オンプレ環境よりも稼働サーバ数の削減が可能 ) 業務利のない夜間休はインスタンスを停 ( 事前申請により夜間休利も可 ) 本社執務室銀系 VPC データセンター管理会計インスタンス管理会計パッケージ銀系業務端末銀系業務端末 DX Windows Remote Desktop (SG の IP アドレス制限 + アカウント認証 ) サーバ機能クライアント機能管理系ミドルウェア Microsoft Access DX 情報系システム Oracle Database 銀系業務端末 12

3 AWS 導入状況銀行業務周辺系システム - リスク管理市場系リスク管理システムをAWSへ移サーバの負荷特性に応じてインスタンスタイプを切替え最適なコスト管理を実現 AZ 規模の災害発時には即時に別 AZへ切替えてインスタンスを再起動し業務を継続本社執務室銀系 VPC AZ-A リスク管理システム銀系業務端末 DX [ 中 ] x3.xlarge 4CPU 30G Mem [ 夜間 ] x3.large 2CPU 15G Mem 負荷特性に応じて中と夜間でインスタンスタイプを切替え銀系業務端末 AZ-C AZ 規模の災害発時には別 AZ へ環境構築銀系業務端末 13

3 AWS 導入状況銀行業務周辺系システム - イメージファイリング申込書類 ( 紙 ) の部を電保管し閲覧可能とするイメージファイリングシステムをAWSへ移専スキャナでイメージ化 OCR 機能をいて効率的にAWS 上のデータベース (RDS) に蓄積保存されたイメージデータはRDSの機能で暗号化本社執務室銀系 VPC S3 イメージファイリングシステム Backup Backup 銀系業務端末 DX EC2 Instance EBS Local Volume Backup Backup 専スキャナイメージデータを RDS で保存 RDS の機能で暗号化 Backup Backup 14

3 AWS 導入状況銀行業務周辺系システム - 顧客メール受信お客様からの問い合わせメールを受信しSalesforceに連携するシステムをAWSに構築 AWS 上のメールGWにてウィルススキャンを実施 Proxy 経由で外部からパターンファイルをアップデートオンプレ同等のリスクコントロールをうためオンプレFW/ セキュリティ監視を経由する処理式ユーザーウィルススキャン提供ベンダパターンファイルアップデート Proxy 経由銀系 VPC DMZ Subnet Trust Subnet Managed Subnet メール GW#1 (AZ-A) メール GW#2 (AZ-C) メール受信データセンター FW セキュリティ監視 Salesforce 顧客応対管理 15

3 AWS 導入状況銀行業務周辺系システム -DB 監査新たな式で DB 監査システムを AWS に構築各データベースの DB 監査ログを元管理メインデータセンタ銀系 VPC DB 監査ログ DB 監査ログ DB 監査ログ DB 監査サーバ (30 保管) DB 監査ログ DB 監査ログ DB 監査ログ本番アクセスルーム本番作業端末 S3 (180 保管 ) Glacier ( 期保存 ) 業務トランザクションに伴いデータベースにアクセスした証跡は DB 監査ログに保存 DB 監査ログは DB 監査サーバへ集約し統合管理をう執務室 ( 事務部 ) 銀業務系端末 16

3 AWS 導入状況銀行業務周辺系システム - バックアップオンプレ環境のバックアップファイルを AWS 上の各サーバと同様に S3 へ保存保管 ( 従来はテープにて保存保管 ) オンプレ環境から AWS 環境へのデータ転送保管は多層的な暗号化によりセキュリティを確保データセンター銀系 VPC オンプレシステム管理サーバ管理サーバオンプレシステム社内仮想環境仮想 VMシステム対象ファイルを圧縮暗号化 DX DirectConnect でセキュアに転送 EBS 上で暗号化システム S3 ( 定期間保持 ) S3 暗号化 Glacier ( 期保存 ) Glacier 暗号化仮想 VM システムシステム 17

3 AWS 導入状況一般社内業務システム - ファイルサーバ全社員が利する社内ファイルサーバを EC2+EBS で構築稼働後の負荷状況に応じてインスタンスタイプの調整を実施本社執務室般系 VPC ファイルサーバ S3 DX EC2 File Server EC2 File Server Backup Backup EBS Data EBS Data EBS Data EBS Data Backup Backup 般系業務端末 18

3 AWS 導入状況一般社内業務システム - グループウェア全社員が利するグループウェア ( スケジュール管理情報共有 ) を AWS へ移環境構築ソフトウェアバージョンアップバックアップ構築データ移を実施着から完了までトータル期間数間で実現センタ A 般系 VPC グループウェア ( オンプレミスサーバ ) Backup AWS 移グループウェア EC2 Instance Data Volume S3 AMI Backup WAN DX 本社執務室般系業務端末般系業務端末般系業務端末般系業務端末般系業務端末 19

3 AWS 導入状況一般社内業務システム - 決裁ワークフロー全社員が利する決裁ワークフローシステムをAWSへ移オンプレミス環境の問題点は AWSの特性を活かし解消移切替はきな問題もなく完了現在安定稼働中センタ WF Server1 WF Server2 般系 VPC 開発系 VPC 本番環境 A 本番環境 B EC2 EC2 EC2 同期 Instance1 Instance2 Instance3 AWS 本番環境 B 本番環境 A 移本番環境 A 本番環境 B 本番環境 A,B LTO 開発環境 A,B S3 Backup 必要時のみ起動 Server1 と Server2 は相互テイクオーバー ( 障害時は寄せデータ同期が必要 ) Server2 には開発環境も相乗り LTO の倒な運障害時にはインスタンスの再起動により復旧相互テイクオーバーの必要なし開発環境は別インスタンス化必要時のみ起動停時は課なし Backup は S3 化することで LTO を廃 20

3 AWS 導入状況運用 - システム監視勘定系システムの統合監視システムで AWS 環境の各サーバも元的に 24 時間 365 監視 AWS 環境の各サーバはオンプレミスの勘定系等と同様専ルームからのみアクセス可能 Cloudwatch で監視出来ない項は運監視ソフトウェアの OSS Zabbix で補完銀系 VPC 管理会計データセンター統合監視本社本番アクセスルームリスク管理顧客メール受信 DX DB 監査イメージファイリング IB/ 勘定系各種周辺系通常業務執務室 < システム監視項と監視法 > サーバ監視機能監視項監視式サーバ機器監視 H/W 監視ストレージ機器監視ネットワーク機器監視 AWS 責任範囲 Hypervisor 監視 Hypervisor 監視 VM 監視 VM 監視 CPU 監視運監視ソフトメモリ監視 Zabbix リソース監視ディスク監視 CloudWatch ネットワークI/O 監視ディスクI/O 監視プロセス監視プロセス監視ログ監視システムログ監視ミドルウェアログ監視アプリケーションログ監視運監視ソフト Zabbix 21

3 AWS 導入状況運用 - 稼働状況モニタリングコスト最適化 AWS 稼働状況を定期的にチェックしインスタンスタイプ直しおよびリザーブドインスタンス購を検討 PDCAサイクルによりAWSコストを最適化 Plan < 新規サーバ構築時 > 業務特性に基づく必要処理量稼働時間の特定 Do サイジングに基づいた AWS インスタンの構築構成変更リソース状況 (CPU メモリ Disk) の監視ログ収集 <CPU 利率 > < 継続利サーバ要件変更時 > 利者の増減に伴う必要業務処理量の変化業務特性の変更に伴うシステム稼働時間の変化 Plan Do CPU 割当てが過剰? インスタンスを停可能な時間がある? Action 直し結果に基づきインスタンスタイプ変更やリザーブドインスタンス化を実施 <CPU 利率 > Action CPU を効率よく利リザーブドインスタンスの併でコスト最適化 Check Check 過剰なインスタンスタイプ割り当てのチェック直し夜間休システム停とリザーブドインスタンスのコストを較最適な課形態の検討 22

3 AWS 導入状況導入の成果コスト削減と短期構築の実現オンプレ環境にべインフラコストを30 50% 程度削減インフラ導構築期間が半減個別案件施策において急きょ新規サーバが必要となった場合も柔軟に対応可能新たなシステム構成式の実機検証も低コストかつスピーディーに対応可能 23

3 AWS 導入状況導入のポイントクラウドデザインパターンオンプレ環境において最適であったシステム構成式がクラウド環境においても最適とは限らない AWSの特徴機能を理解しクラウド環境に適したシステム構成式を検討する必要がある AWSサイトのコンテンツなども参考にしクラウドデザインパターンを整理蓄積していくことが重要 24

4 今後の展望

4 今後の展望今後の展望 2017 年から2018 年にかけて般社内業務システム銀業務周辺系システムのAWS 移が概ね完了する込み弊社環境に即したクラウドデザインパターンの整理般的知と弊社内のAWS 移ケースを踏まえ業務途特性ごとのデザインパターンを整理書化 ( 属化排除標準化 ) 26

4 今後の展望今後の展望 AWS の新機能を把握し適切に活し続ける体制の強化社内体制強化 AWS 移済みシステムへの新機能適継続的なデザインパターン更新基幹系 ( 勘定系 ) での AWS 採可否の具体的検討既に採可否判断の検討着済み弊社情報セキュリティシステムリスク関連の評価項等の直し中 2018 年よりAWS 阪ローカルリージョンが開設予定当該リージョンの活により国内利における可性向上が可能 27

以上ご清聴ありがとうございました