6月 30, 2023
Why You Should Adopt DevSecOps for Financial App Development

金融アプリ開発にDevSecOpsを導入すべき理由

今日のデジタル社会において、「店舗型のビジネスからオンラインへ」という流れがあります。金融業界も例外ではなく、銀行や保険の店舗は年々減少しており、業態にもよりますが、2001年比で4~33%減少しました。PayPay銀行や楽天銀行のように、そもそも店舗を持たずに金融サービスを提供している銀行も存在します。金融業界のDX化の要素の1つに「アプリ開発」があります。既に多くの銀行が専用の金融アプリの開発に着手していますが、本記事では、開発および運用の各フェーズでセキュリティを考慮しながら開発を進めていくDevSecOpsによるアプリ開発について解説します。 

目次

金融アプリとは?

そもそも金融アプリとは何でしょうか。その概要を簡単に説明します。 

金融アプリとは、実店舗の代わりにスマホやWebで各種金融サービスが受けられるアプリのことを指します。 

金融アプリの機能として、口座の開設や口座残高の参照、入出金の確認、お金の振り込み、資産運用などが含まれます。また、消費者にとっては、営業時間が決まっている店舗と異なり、これらのサービスを24時間利用することができるというメリットがあります。 

金融機関にとっても、店舗を削減し、オンラインによるサービスの提供に移行することで、店舗運営にかかる家賃や人件費などのコストを大幅にカットすることができます。 

一方で、個人情報を多く扱う金融機関において、アプリ開発をはじめたとしたサービスのオンラインへの移行は様々なハードルが存在し、メリットがあるものの簡単にはシフトできないという業界特有の事情もあります。具体的には、次の項でご紹介します。 

金融アプリ開発の課題

ここでは、金融アプリを開発する際にハードルとなる金融業界における課題について解説します。 

業界特有の厳しい規制

まずはじめのハードルとして業界特有の厳しい規制が挙げられるでしょう。顧客の氏名や住所などの基本的な個人情報のみならず、口座情報や保険情報を管理したり、金融資産を預かったりしていることもあり、金融機関は、金融業規制を必ず遵守し、コンプライアンス態勢を整備することが求められます。そもそも金融業はだれでも営めるわけではなく、それぞれ関連する法律をクリアして許認可・登録の取得を済まさなければなりません。 

例えば、銀行法、金融商品取引法、信託業法(兼営法)、保険業法、貸金業法、資金決済法、金融サービス提供法等の法令にもとづく、許認可・登録などが必要です。 

また、許認可・登録が済んだからといって、好き勝手できるわけではなく、その後も業界の規制やルールに則って運営していく必要があります。万が一、個人情報の流出やATM等のシステム障害が発生した際には、金融庁から厳しい業務改善命令と呼ばれる行政処分が下され、処分を受けた金融機関は、再発しないように改善計画を提出し、その計画に沿った進捗状況を定期的に金融庁に報告する義務が発生します。さらに、業務改善命令を受けるとメディアでも報道されるケースが多く、個人だけでなく取引先の法人からも信頼を損なってしまうでしょう。 

少し長くなってしまいましたが、業界特有の厳しいルールや規制があることで、金融機関はDXに一歩踏み出せないケースがよくあるということです。金融アプリのメリットを十分理解していたとしても、業界柄セキュリティやプライバシーへの十分な配慮が求められるわけです。 

規制を遵守し、優れたUI・UXに向けた継続的な改善

これまで、金融アプリを開発する際にハードルとなる業界特有の規制についてご紹介しました。ここでは、金融アプリ開発時~開発後の運用保守におけるハードルについて解説します。 

上述したように、金融機関は、さまざまな規制やルールを遵守したアプリを開発しなければなりません。そのため、開発段階では、顧客の口座情報が正確に表示されるか、送金・着金がエラーなく行えるか、2段階認証の導入などあらゆる金融サービスがエラーなく処理できるアプリの開発が求められます。特に、プライバシーとセキュリティの確保に重点を置いた開発を進めていく必要があります。 

また、無事アプリの開発が終了したとしても、次は顧客満足の向上に向けたUI・UXの向上に向けた継続的な改善が必要となるでしょう。例えば、アプリから口座開設をする際、本人確認書類の提出が求められるケースがほとんどです。顔写真付きのパスポートや運転免許証、マイナンバーカード、住民票、健康保険証の提出が求められるでしょう。これらの本人確認書類を提出するステップとして、事前に撮影した画像のアップロードの場合もあれば、その場でスマホカメラを通して撮影・認証する場合があります。後者においては、アプリのシステム上の問題があって上手く読み取れないケースが考えられます。これは、顧客満足度の低下につながり、最悪ここで口座開設を諦め、他社のサービスを利用するというビジネス機会の損失につながるかもしれません。それではアプリの開発にかけた多額のコストが無駄になってしまうため、絶対に避けたい事態です。 

つまり、開発して終わりではなく、顧客に自社のサービスを長く利用してもらえるようにUI・UXの継続的な改善が求められるというわけです。 

さらに重要なことに、個人や法人の大切な資産を取り扱う金融機関において、何かアクシデントが発生した際に、早急に対応できる体制づくりも必要と言えます。それは、アプリ開発・運用においても言えることです。 

このように、金融業界におけるアプリ開発は、一筋縄ではいかないことがよくわかります。でも、諦める必要はありません。これらの課題を克服し、金融サービスのデジタル化を支援する開発手法が存在します!次の項で詳しくご紹介します。 

解決策としてのDevSecOps

ここでは、前項でご紹介した、金融機関が簡単にはアプリ開発に踏み出せない2つの理由を乗り越えるための開発手法であるDevSecOpsについて解説します。DevSecOpsとは何で、なぜ金融アプリ開発に導入すべきなのかについてご紹介します。 

DevSecOpsとは?

DevSecOpsとは、開発(Development)、セキュリティ(Security)、運用(Operations)を合わせた言葉です。具体的には、開発と運用が密に連携し、開発期間の短縮とリリース頻度の向上を目指す「DevOps」にセキュリティ(Security)も取り入れた開発モデルのことです。つまり、開発スピードを維持しつつ、各フェーズでセキュリティも確保するということです。 

 
 

システム開発には、「要件定義」「設計」「プログラミング」「テスト」「リリース」「運用・保守」というプロセスがあります。従来の開発モデルであるウォーターフォールモデルでは、開発サイクルの後期において、品質保証を担当するチームによってテストが行われていました。かつては、ソフトウェアの更新も年に1,2回ほどと低く、この方法でシステムの品質を管理することができていました。 

 

一方、社会ニーズや消費者ニーズが急速に変化する近年においては、より柔軟かつ迅速に対応できるアジャイルやDevOpsという開発モデルが採用されるようになりました。これらは、数週間単位の開発サイクルを前提としており、セキュリティ要件を満たしているかの素早い確認が求められるようになりました。 

 

従来の開発方法では、セキュリティー上に何か問題が発生すると、その修正に膨大な時間とコストが発生し、開発の遅延につながる場合がありました。 

DevSecOpsでは、脆弱性の排除を目的として、あらかじめ各工程においてセキュリティ対策を実施します。これにより、セキュリティ要件を満たしながら、迅速に開発を進めていくことが可能になります。また、DevSecOpsでは、開発、運用、セキュリティの担当者が独立しているのではなく、密に連携する開発モデルであるため、セキュリティに配慮しながらも開発スピードを落としません。セキュリティ上に問題が発生した際に、簡単かつ迅速、低コストで対処することができます。 

 

さらに、DevSecOpsのもう一つのメリットは、自動化です。自動化により、ソフトウェア開発とセキュリティ対策の統合が促進され、効率性と信頼性が向上します。開発プロセスの一部としてセキュリティテストを自動化することで、セキュリティの欠陥を早期に発見し修正することが可能となります。自動化により、開発チームは継続的にテストを実行し、セキュリティリスクを低減することができます。また、自動化は一貫性を確保し、人為的なミスを減らすことができます。これにより、ソフトウェアのデプロイメントプロセスが迅速化され、リリースの頻度が増加します。  

 

このように、金融機関は、DevSecOpsによる金融アプリ開発体制を整備することで、迅速かつセキュリティを確保しながら、規制を遵守することができるでしょう。また、開発・運用・セキュリティの各担当者が連携し、かつプロセスの自動化により、万が一のアクシデント発生時においても、素早く対処することが可能でしょう。さらに、ユーザーのサービス体験を向上させるための機能追加も従来の開発モデルより速く実施することができ、ビジネス機会の損失も避けることができます。 

 
 

以上が、金融アプリ開発にDevSecOpsを導入すべき理由となります 

まとめ

本記事では、金融機関がデジタルトランスフォーメーションの一環として、アプリ開発に簡単には着手できない理由として、業界特有の規制やルール、それらを遵守したうえで、顧客のニーズを満たすために継続的な改善が求められるという2つの点をあげました。そして、その解決策としてのDevSecOpsの採用を提案しました。開発・運用・セキュリティの各部門が連携することで、規制を遵守しながらも、開発スピードは落とさず、ユーザーのニーズにも答え続けることができるでしょう。 

 

本記事を読んだ読者の中で、DevSecOpsによるアプリ開発のパートナーをお探しの企業様がいらっしゃましたら、是非CMC Japanにお任せください。当社オフショア拠点であるCMC Globalは「ISO9001」「ISO27001」「ISTQBプラチナパートナー」に認定されており、世界標準の品質とセキュリティを保証することが可能です。また銀行システムにおけるeKYCソリューション仮想通貨取引所の運用保守・追加開発など、金融業界において、AIやブロックチェーン技術などの最先端技術を適用した豊富なソリューション提供実績があります。 

お客様のプロジェクトに応じて、最適なソフトウェア開発体制を整備し、規制に遵守し、セキュリティに考慮したソリューションを提供いたしますので、お気軽にお問合せください!