ソニーペイメントサービス|新セキュリティ基準への準拠とAWSインフラ開発の内製化を支援。ご担当者様・ゆめみ担当者による特別座談会
安心・安全な決済環境の提供を通じ、ペイメントとITで未来を創ることを掲げるソニーペイメントサービス株式会社。
同社は、群雄割拠の決済領域でさまざまなサービスを提供する一方で、システム開発・運用の多くを外部ベンダーに依存しているという課題を抱えていました。加えて、クレジットカード決済の新しいセキュリティ基準「PCI 3DS」に対応するため、インフラ環境の刷新が必要な状況でした。
これらの課題を解決するため、セキュリティの専門知識を持つメンバーを含むゆめみのチームがプロジェクトパートナーとして参画。ソニーペイメントサービスの開発チームと一体となり、新基準に適合するAWS環境の構築を進めながら、アジャイル開発のための体制づくりに取り組みました。
その結果、2024年9月には「PCI 3DS」への準拠を達成し、インフラの内製化も実現。さらに、内製化をより進めるための新しいチームが設立されるなど、組織全体が進化を遂げました。
本記事では、難易度の高いセキュリティ基準の取得とインフラ内製化を同時に推進した本プロジェクトの挑戦を、座談会形式で振り返ります。
クライアント
座談会参加メンバー
ソニーペイメントサービス株式会社
IT部門 IT基盤部 基盤管理課 係長 森山 秀哉様
IT部門 IT開発部 開発課 係長 半田 真様
IT部門 IT開発部 開発課 小柴 敦様 ※コメントのみ
株式会社ゆめみ
SRE/セキュリティエンジニア 砂岡 雪
アジャイルコーチ 静 高志 ※オンライン参加
左から、ゆめみ 砂岡、ソニーペイメント 森山様、半田様(現地取材の参加メンバー)
ベンダー依存からの脱却、セキュリティ基準の取得という2つの課題
ーーまずは、今回のプロジェクトの背景にあった課題についてお聞かせいただけますでしょうか。
半田様:当社では以前から、システム開発・運用を外部ベンダーに依存していることが課題となっており、この状況を変えていく必要がありました。
実際のところ、私たちは要件をまとめて指示を出すだけの役割で、実装のほとんどをベンダーに任せている状態で。そのため、障害が発生した際の初動の遅れや、開発がブラックボックス化してしまうといった問題を抱えていました。
森山様:新しいプロジェクトを始める際に、ベンダーへの発注や契約手続きに時間がかかってしまうことも大きな課題でした。カード決済業界では、加盟店様から新機能の要望をいただくことが多いのですが、そういった要望にタイムリーに応えられないと、どうしても競合他社に遅れをとってしまいます。
こうした課題を解決するために、2023年から会社として内製化に向けた体制づくりを進め、少しずつ実績を積み上げようとしていました。
ーー加えて今回は、新たなセキュリティ基準の取得に向けた技術支援のニーズもありましたね。
森山様:はい。カード決済を扱う上で重要な基準である「PCI DSS」と「PCI 3DS」への準拠が必要でしたが、特に後者については社内の知見が十分ではありませんでした。これはかなりチャレンジングな取り組みだったので、この分野に詳しい知見を持つパートナーさんのサポートが必要だと考えていました。
ワンチームとなり、共に手を動かせるパートナーを探していた
ーー開発内製化とセキュリティ基準の準拠という2つの課題に対して、ゆめみをパートナーとして選んだ背景を教えていただけますか?
森山様:まず第一に技術力ですね。セキュリティ基準については、砂岡さんを含めてゆめみさんがエキスパートということで、今回参画いただく決め手となりました。
砂岡:経験と技術力の両方を評価していただいたと以前に伺い、率直に言って大変嬉しく思っています。
ーー開発内製化についてはいかがでしょうか。
半田様:ゆめみさんにお声がけした2024年2月の時点では、内製開発を進めていきたいという思いはあったものの、具体的な進め方については知見がない状態でした。そのため、プロジェクトに参加していただき、チームとして一体となって進めていけるパートナーさんにお願いしたいと考えていました。
森山様:もともとウォーターフォール開発はある程度経験がありましたが、アジャイル開発の経験が不足していました。そこで相談させていただいたところ、静さんにアジャイルコーチとして参加していただくことになりました。
ーーその後、2024年3月のプロジェクト開始時には、どのような状態をゴールとして設定されていましたか?
森山様:まずは、先ほどお話したPCI DSSとPCI 3DSの認定を取得すること。そしてその認定基準を満たすAWS環境の構築を完了させることです。
また体制面については、内製化を推進するという観点から、私たちも一緒に手を動かすことで知識を吸収し、インフラ内製化を実現できるアジャイル開発の体制をつくることを目指していきました。
スピーディな内製開発を実現するため、チーム・体制づくりを実施
ーーでは最初に、開発内製化に向けたチーム・体制づくりという観点から、取り組みの内容を詳しくお聞きしたいと思います。どこからスタートしたのでしょうか?
静:まず最初に、このチームが1つのチームになるための準備として、ドラッカー風エクササイズ(※)を実施しました。それぞれの得意不得意や、お互いの期待を共有することで、メンバー同士の理解を深めることが目的でしたが、皆さん覚えていらっしゃいますか?
ゆめみ 静 高志(※オンライン参加)
※『アジャイルサムライ』の著者 Jonathan Rasmusson が提唱したチームビルディングのための手法
森山・半田様:よく覚えています。
静:その次に、現状について共通認識を持つために、スクラムにおける役割の整理や、プロジェクトを進める上での目的、スケジュールなどをすり合わせていきました。
実は最初、皆さん「スクラムにあまり自信がない」とおっしゃっていたのですが、実際に一緒にやってみると全くそんなことはないと感じました。アジャイル開発では、全員が声を出してチームを改善していくことが大切なのですが、その素養が皆さんにしっかり備わっていて素晴らしかったです。
その上で、チームの改善に必要な振り返り会を実施していきました。最初はSlack上で「これについてどう思いますか?」と聞くだけでしたが、KPT(※)のようなフレームワークを使うようになり、最終的にはKPTに「Thanks」と「モヤモヤ」も追加されたんです。
※Keep(良かったこと)、Problem(悪かったこと)、Try(挑戦すること)の3要素でふりかえりを行うためのフレームワーク
実際のふりかえりボード
静:出来事やタスク以外のことも話せることが良いチームの条件なので、心情の変化も扱えるような振り返り会に進化していったのが良かったと思います。
半田様:この振り返りのフォーマットは、今も継続して使わせていただいています。Thanksやモヤモヤを通じて感情面も共有できることで、チーム作りに非常に役立ったと感じています。
森山様:最初はメンバー同士、少し距離感があったのですが、最初のワークや振り返り、朝会での雑談などを重ねていく中で、徐々に仲良くなっていく感覚がありました。
静さんには当初、お互いの呼び方や言葉遣いについても、コミュニケーションしやすい方法を提案していただきました。丁寧すぎる言葉で話していると、どうしてもコミュニケーションコストがかかってしまうんですよね。今では前置きを省いていきなり要件の話ができるような関係性になって、開発もスムーズに進むようになりました。
半田様:打ち合わせを設定するにしても、いちいち手続きを踏まずに「ちょっとこの後で話せますか」くらいの感じで会話できるようになったので良かったですよね。
ーーもともとスピーディな開発を実現したいという目的もあったと思いますので、コミュニケーションコストが下がったことは後押しになりますね。
静:そういえば森山さんのドラッカー風エクササイズのコメントの中に、「意見を出しやすい場を作っていきたい」と書かれていたんですよ。やはり最初から意識されていたんですね。
ーーチームとして関係性が進化したのですね。一方でアジャイル開発の体制づくりについてはいかがでしょうか?
半田様:以前はアジャイル開発における明確なルールを定めておらず、それぞれが思い思いにやっているような状況でした。そこを改めて正式なプロセスを教えていただき、さらに実際にスクラムを回す中で体で身につけられたことが有益でした。
小柴様:私はスクラムマスターを務めさせていただきましたが、これまで実践経験はなく不安と期待から始まった体制の構築でした。そしてスクラムを実際にやってみると上手くはまらないことがあり、結局最後まで改善できなかったところもありました(笑)。
ただ、短い期間で失敗を経験してそれを次に活かす取り組みができたこと、タスクをある粒度で分解しそのゴールの共通認識を持つこと、個人が忌憚なく意見を発することができる雰囲気・文化を作れたことはかなり良かったかなと考えています。
これは、ゆめみ様やメンバーの方々からフォローをいただけたおかげで、私も作業を進める上で大変助かりました。
新基準である「PCI 3DS」への準拠に伴い、インフラ設計を見直し
ーー続いて、新たなセキュリティ基準の取得に向けた取り組みについてお伺いします。今回最も大きかったチャレンジはどの点になりますか?
砂岡:PCI 3DSの要件に合わせて、インフラ構築で使うツールやサービスをそれぞれ設定していく必要があったことが一番難しかったですね。従来のセキュリティ基準よりもさらに厳しくなっていたので、それをどうクリアするか、毎回議論を重ねましたが本当に大変でした。
森山様:今回はAWSを基盤として使っていたので、それならではの難しさもありました。従量課金によるコスト面の調整であったり、セキュリティ要件と運用のバランスであったり。ちょうど良い塩梅を確認しながら、構成をすり合わせていくことが非常に難しかったです。
半田様:PCI 3DSではシステム境界の保護が求められているのですが、当初検討していたインフラ構成ではシステムの仕様的にPCI 3DSに準拠することができないという課題がありました。そこでゆめみさんに相談して、最終的には部内で導入実績の無かった「Network Firewall」を採用することになったのはチャレンジングだったと思います。
砂岡:今回の一番大きなポイントは、プライベートリンクとWAFの部分ですね。できるだけ管理しやすいものにする必要がありましたが、特にWAFについては、最近増えている情報漏洩対策として、境界を守るための製品として使えるだろうと考え、マネージドルールとして適用することを提案しました。
そもそも、PCI 3DSで求められている要件に曖昧な表現も多く、基準に適合したAWSのルールは何なのか、自分たちでカスタマイズが必要なのか、といったことを全部洗い出していきました。今回、3ヶ月という短い時間でこれを実現できたのは、非常に大きな成果だったと思います。
森山様:ほかにもチャレンジングだったポイントの1つに、もともとは「AWS CloudFormation」を導入していた部分の、管理の難しさがありました。そこでゆめみさんから、管理手法の新しい提案をいただいて本案件で採用し、かなり助かりました。
最終的には、2024年9月にPCI 3DSの認定を無事に取得することができました。
砂岡:実はゆめみとしては「インフラのみ」支援はほぼ初めてだったんです。今回はそれに加えてさらにセキュリティ要件もありましたので、手探りになったこともありましたが、非常に良い機会をもらえたなと思っています。
内製化の加速に向けて、組織のロールモデルを作ることができた
ーー今回のプロジェクトを経て、組織としてはどのような進化、変化がありましたか?
半田様:現在は、インフラについてほぼ自分たちでコントロールできている状態になりました。内製化という文脈では、これまで社内にアプリの開発事例しかなかったところに、インフラの構築事例ができたことが大きいですね。
ゆめみさんの支援が終了した後、2024年7月には開発の内製化をより進めていくチームとしてIT開発部が既存の組織から独立し、私はそちらに所属しています。今後はより一層、内製化を進めていきたいですね。
会社としても、アジャイルの標準ができたことは大きかったと思います。
森山様:そうですね。今回のプロジェクトで習得したスクラムの体制をロールモデルとして、社内でも他の案件に広げていこうとしています。
小柴様:自分たちで具体的な実装・運用、PCI DSS・3DS要件対応をやり切れたことはチームの自信になりました。「この成功と失敗の経験を活かして、次はこれをやってみよう」という自発的に自分のスキル領域を広げて仕事をこなしていくような雰囲気が醸成され、それが一番の成果と感じています。
このプロジェクトで取り組みが終わらないよう、内製化への取り組みを継続していきます。
ーーアジャイル開発というと、どうしても開発効率の話ばかりになりがちですが、チームづくりを中心に取り組まれたことがポジティブな結果になりましたね。
半田様:確かに、今回の取り組みを通じて、「開発生産性が爆上がりするようなテクニック」のような「銀の弾丸」があるわけではなく、日頃のコミュニケーションがやはり大事なのだと実感しました。
森山様:そうですね。実は支援をいただく前は、「アジャイルはこうあるべき」というテンプレがあって、それに合わせて組織を作っていくのかと思っていました。ですが実際に始まってみると、自分たちに合ったやり方を相談しながら進めていけたので、良い意味でギャップがありました。
目的は自分たちの生産性を上げることなので、型にはめるのではなくやりやすいように進めていこう、という形でサポートいただいたのは良かったです。
静:おっしゃる通りですね。もちろん、開発効率の改善などにも取り組んでいましたが、スクラムの方法論には定義されていないこと、あてはまらないシチュエーションも多くあります。
今回は皆で一緒に、チームの現状に合った正解を探しながら取り組めたことで、ゆめみの支援が終わったあともスクラムを回しやすくなったのではないのかなと思います。
ーー素晴らしいですね。他にも、社内の反響などはいかがですか。
静:最後のプロジェクト全体の振り返り会に、メンバーの上長の方にも参加いただいたんですね。その中でとても心に残ったのが、「このプロジェクトを通して、メンバーが明るく前向きに仕事してるのがわかった」「また一緒に仕事がしたいという関係が作れたことに大きな意味がある」といったことをおっしゃってくださったことです。
プロジェクトを見守ってくださっていた方々からもそのようなお言葉をいただいたことは、担当者である私としてもとても励みになりました。
森山様:確かに、上長も含めて組織として内製化を進めていこうという機運が高まったことは、このプロジェクトの大きな成果の1つだったと思います。これからは組織づくりも進めていきたいですね。採用も強化していますので、興味のある方はぜひお話させていただければと思います。
中央左からソニーペイメント IT基盤部部長 栗田様、IT開発部部長原田様、IT統括部部長前山様
ーー皆さま、本日はありがとうございました。(了)
