ラックのエンジニアたちが「プラスワン」の思いで挑戦する「金融×セキュリティ」のクロス領域とは?
金融システム開発にもスピードが必要。顧客のつぶやきを、アジャイルで実現
ラック(本社・東京)は、1986年にシステム開発事業で創業、金融系を中心に企業の基盤システムなどのインフラ開発に携わってきた。1995年にはいち早く情報セキュリティ事業を開始し、現在では企業・官公庁・団体にセキュリティ技術を駆使したトータルソリューションサービスを提供、サイバーセキュリティ分野のリーディングカンパニーと目される企業だ。
創業以来、事業の中核を担ってきたのが金融事業部だ。主要顧客は、銀行、証券、保険、信販などの金融機関で、メガバンクから地方企業まで多岐に及ぶ。基盤システムの構築力と、メインフレームからスマートフォンアプリの開発まで、幅広い領域における開発力に特徴がある。また、セキュリティ診断やコンサルティングサービスにおいても、顧客からの信頼を得ている。
ただ近年の金融業界では、FinTechを含めた新しいテクノロジーを活用したDX(デジタル・トランスフォーメーション)の強化が叫ばれ、顧客のニーズも深化かつ多様化している。その変化について、金融事業部長の森山伸一氏はこう語っている。
「システム更改というスケジュールに沿って、大掛かりなシステム構築が行われるというのがこれまでのビジネスでした。しかし近年の変化としては、お客様がぼそっと漏らす“つぶやき”がヒントとなり、直近の課題を解決していくこともよくあります。
開発のスタイルにも変化がありますね。金融業界はミッションクリティカル度の高いシステム開発が他業界以上に強いため、設計書を綿密に作り込み、テストを何度も繰り返すということがこれまでは多かったのですが、近年は短期で結果をみたいとスピード感が要求されるようになっているのです」
株式会社ラック 金融事業部長 森山 伸一氏
そのため、アジャイル開発で取り組む案件が増え、顧客とコラボレーションして、PoC(概念実証)から始める事例も多くなってきたのだという。森山氏がその一例として挙げるのは、金融系企業が自社のDXを推進するために、企業内に存在する膨大なデータを、部門を超えて活用したいというニーズだ。
社内に分散した営業情報、社員の間でやりとりされた様々なコミュニケーション情報、さらにはセキュリティ対策機器を運用している企業の場合、膨大なイベントログの検索・分析を手作業ではなく、これを一括して自動化したいといったニーズがあるのだ。
こうしたニーズに応えて、ラックはアメリカのElastic(エラスティック)社と協業し、ドキュメント検索、インフラ監視、セキュリティ保護などに定評のあるElasticStackを活用したソリューションを2020年から提供するようになった。
Elastic製品とラックのインテグレーション力を組み合わせることで、例えば企業内に蓄積されているドキュメントやプレゼンテーションのデータ、イントラネットで共有された情報、社員が議論しているチャットや社内SNSの情報などを横断的に検索できるようになる。ツールごとに検索手段を使い分ける必要がないのだ。
オープンソースを活用し、金融機関のDX推進を支援
顧客のニーズの変化を技術的な観点から把握しているのは、プロダクト開発グループマネジャーのザナシル・アマル氏だ。ザナシル氏はモンゴル出身で高校時代に来日し、ラックに入社して以来、クレジットカード会社などを顧客にセキュリティを中心とした技術のエキスパートとして活動してきた。
「ミッションクリティカルかつ保守的で堅牢なシステム開発は重要ですが、新しいテクノロジーのトレンドは金融機関といえど無視することはできません。顧客企業のエンジニアからも新しい技術を導入したいという要望が強くなっています。
例えば、社内の情報共有や顧客サービスにチャットボットやAIの音声認識を活用したいというようなニーズ。CRMのデータに顧客とのチャットボットのログや生の声を登録できないかといったものですね。こうしたデータが含まれるようになると、情報も膨大になってきます。これらを横断的に検索できるツールがないかと探し、行き着いたのが、Elasticでした」
株式会社ラック 金融事業部 サービス第四部
プロダクト開発グループマネジャー ザナシル・アマル氏
ザナシル氏は、技術導入の背景をさらに詳しく明かす。
「顧客の営業効率化や音声アシスタントのニーズから、データ検索のために新しい技術が必要になり、あらゆる製品をリサーチしました。Elasticはオープンソースとして開発されており、技術者がオンプレミスの端末やクラウド環境ですぐ試せて、ソリューションをすぐ開発できるところにメリットを感じました。その一方で、商用のサポートもしっかりしている。検索のクオリティやパフォーマンスが高いことも魅力でした。
そこで、正面突破でElasticの日本法人に話を聞きに行くと、同社でも新しいユースケースを求めているところだったため、話がどんどん進んでいった。実証実験の効果を顧客企業と共に確認してから、Elasticとのパートナーシップを組みました」
当初、顧客は費用対効果の面で二の足を踏んでいたが、サイバーセキュリティのためのログ検索にもElastic製品が使えることを提案すると、身を乗り出してきたという。もともとセキュリティソリューションに強みを持つラックが、そこまで推しているツールだということもあり、顧客も納得したのだ。
現在は、Elasticとのパートナーシップを力に、ラックは同社製品の特徴を活かしたソリューションの幅を広げ、金融業界内での横展開を進めているところだ。
顧客のため、自分のために常に進化を。「+One」という標語を掲げる理由
金融領域を専門とするSIerは少なくないが、一般的な傾向としては保守的なマインドに支配され、新しい技術導入にはなかなか踏み込めないのが現状だ。しかし、ラックはその壁を容易に乗り越えている。なぜ、それができるのか。
「ラックは、もともと金融機関向けのアプリ開発を主軸とした会社と、セキュリティを事業ドメインにした会社と、インフラのビジネスを主としてる会社、3社が統合してできた会社です。それぞれの強みを発揮しながら、長い期間、金融機関に対してサービスを提供してきました。その実績によって培われた顧客との信頼関係が、新しい取り組みを進める上でも有効に働いていることはたしかです」
さらに、森山氏は話を続ける。
「さらに当社には、技術革新部というノウハウや人材を組織横断的に推進する組織があります。特定の業種や顧客にこだわらず、アジャイル開発など新しい開発手法を磨きながら、社内教育や現場の応援などを通して、各事業部を支援しています。
金融事業部は製品のスキルを深める一方で、技術革新部が新しい開発手法を検討する。こうした両輪の関係がうまく働いているので、すべて事業部内だけで解決しなくてもよい。事業部が新しい技術導入に前向きなのも、こうした社内協業がスムーズだからです」
そしてもう一つ、金融事業部が戦略的ソリューションを次々に打ち出すことができている背景には、「+One(プラスワン)」という標語を掲げるメンバーのマインドセッテイングもあると思われる。
従来のメニューにだけにとどまることなく新しいサービスを開発しよう、従来の技術に甘んじることなく新しい技術を導入していこうという意味での「プラスワン」だ。この標語を掲げた最初の人が、森山氏である。
「とにかく進化し続けることが、大切だということなんです。それは個々の技術者もそうですし、各部門や会社全体にも言えること。さらには、私たちが支援して顧客がプラス方向に成長していくという意味でも、私たちは常にプラスワンの姿勢で仕事に取り組んでいます」
森山氏がこのキャッチフレーズを社内で提唱するようになったのは、今から6~7年ほど前だという。
「その頃、私はカード会社のインフラ構築に携わっていました。この“プラスワン”を、クラウドなどの新技術を勉強してねという指令にも思えたし、それを組織として応援していくというメッセージであるとも捉えました」と、ザナシル氏は振り返る。
エンジニアの一人ひとりが、自分のスキルを高めるべく積極的に自己投資する。プラスワンという掛け声に押されるようにして、エンジニアたちはマインドをチェンジしてきたのだ。
金融取引における「不正検知」にAIを積極活用。進む産学共同研究
いまや世界の金融界では、インターネットテクノロジーを駆使した革新的かつ破壊的な商品やサービスの潮流が生まれている。これまで変化に乏しかった金融商品・サービスを、ICTを活用することによって、利用者の目線から「安く、早く、便利」に変えていこうとする動きだ。これは従来の金融機関のビジネスそのものを大きく変えることにもなる。
ビジネスシーンを変える新しい技術という点では、AI活用も重要なテーマになる。ザナシル氏やラックのセキュリティエンジニアがいま力を入れているのが、金融取引における不正検知サービスを、AIの機械学習で強化する技術の開発だ。
経済活動に欠かせない金融は、他の業界以上の強固なセキュリティが必要になるが、同時に不正のターゲットにもなりやすい。とりわけデジタル取引が浸透することで、インターネットバンキングへの不正ログインやクレジットカードの不正利用が増えていると言われる。
その手口も、フィッシング詐欺やスキミングなど従来の方法に加え、システムを攻撃して不正に情報を入手するなど、たえず高度化しており、それを防御する側との“いたちごっこ”が繰り返されているのが現状だ。
「現状でも不正検知にはAIが使われていますが、現状では全く新しい犯罪手法が登場すると、それに気づくのに早くても2週間、1カ月とかかかってしまいます。それはあらかじめ人間が記述したルールに従って判断するのが、AIのルールベースだからです。これでは対応が間に合いません。
そこで、与えられたデータからAIが独自にルールを構築し、判断を行う機械学習が重要になります。さらに機械学習の中でも、人間が正解を与えない“教師なし学習”でどこまで不正検知が強化できるか、いまその研究を進めているところです」(ザナシル氏)
この研究は協業していた大学の研究室でも展開されている。その中には、システムに含まれる脆弱性をAIを用いて発見するファジング技術や、ディープラーニングを活用した敵対的生成ネットワーク(GAN)で未知の脅威を検知する技術などが含まれている。
「サイバーセキュリティ×金融システム」というかけ算がラック金融事業部の強み。しかし、この強みをさらに最大化するためには、外部との共同研究だけでなく、社内のAI人材を強化することも欠かせない。ラックではAIエキスパートの育成プランを策定中で、近い将来、その人数を倍増させる計画だ。
「金融犯罪対策センター」設立には業界第一人者という自負
もう一つ、セキュリティサービスの強化という点で見逃せないのが、2021年5月に金融事業部の金融コンサルティングサービス部門に設置された「金融犯罪対策センター(FC3:Financial Crime Control Center)」だ。
FC3は、ラックが培ってきた高度なサイバーセキュリティ技術を、多くの金融機関や捜査機関とともに犯罪対策を行なってきた知見と融合し、巧妙化が進む犯罪手口への最適な対策を提供するチーム。個別の金融機関のセキュリティ対策を支援しながら、その情報は産官学共同で設立された非営利団体「日本サイバー犯罪対策センター(JC3)」とも共有し、一般の企業向けにも発信される。
「金融機関や金融サービス事業者が、サイバー攻撃などを受けた時の“駆け込み寺”の役割を果たしたい。一民間企業の一組織ではありますが、技術レベルや研究レベルはやっぱりFC3が一番だ、と言われるようにはなりたいですね」(森山氏)
ラックがその知見を広く公開し、ある種の公的な役割も担っていくのは、「サイバーセキュリティ×金融システム」の事業ドメインを深掘りすると同時に、その分野の第一人者であるという自負と使命感があるからだろう。
「金融業界における技術やサービスの変化は、これからますます進むでしょう。これだけの規模で業態が変わるのを間近で見られるなんて、エンジニア生活で一度あるかないかぐらいのチャンス。こうした金融テクノロジーと業態の変化を見越しながら、そこに確かな技術を提供することは、今後のエンジニアとしてのキャリアを考える上でもとても重要なことだと思っています」(森山氏)
ラック金融事業部の2人が語ってくれたように、「金融×セキュリティ」という領域がいかにテクノロジー的にもビジネス的にも成長可能性の高い分野であるかが見えてくる。そこには、エンジニアが生涯かけてチャレンジするのに、ふさわしいだけの魅力がある。
株式会社ラック
https://www.lac.co.jp/
株式会社ラックの採用情報
https://en-gage.net/lac_career/