銀行APIや組み込み型金融のテクノロジーリーダーであるGMOあおぞらネット銀行。お客様の利便性向上につながるとBaaS(Banking as a Service)普及に尽力する同社のAWS導入をサポートしたのが、ARアドバンストテクノロジ(以下、ARI)だ。GMOあおぞらネット銀行のこれまでのチャレンジを振り返るとともに、ARIの支援について見ていこう。
銀行APIのニーズを掘り下げ、開発し続けるネット銀行
あおぞら銀行とGMOインターネットグループのジョイントベンチャーとしてインターネットバンキング事業を展開するGMOあおぞらネット銀行。法人ユーザーを中心にデビットカードや入出金をはじめとする内国為替、ローンなどのサービスを提供し、設立から約5年で10万以上の法人口座を獲得した「業界の風雲児」でもある。振込手数料の安さはもちろん、今ではテクノロジー面の先進性が競合優位性につながっている。
そのテクノロジーの象徴とも言えるのが、同社が提供してきた銀行APIになる。銀行API登場の背景には、金融機関とFinTech企業とのオープンイノベーションを促進させる意図があった。2017年5月の改正銀行法で、APIの公開を表明した銀行は2020年5月末まで(新型コロナウイルス感染拡大の影響により9月末までに延長)までに、APIを公開する体制を整備する努力義務が課されたため広がりを見せた。GMOあおぞらネット銀行は2018年7月に設立した直後にもかかわらず、いち早くこの銀行APIの提供を実現。残高照会や振り込みなど、まさにインターネットバンクの機能を外部の事業者がAPI接続によって利用できるようにしたわけだ。
ここまでは多くの金融機関が取り組んだことではあるが、GMOあおぞらネット銀行は顧客であるFinTech企業のリクエストに応え、この銀行APIへのニーズをより深く掘り下げていくことになる。GMOあおぞらネット銀行CTOの矢上 聡洋氏は、「追加開発を繰り返し、機能強化を図った結果、現在では35種類のAPIを提供できるようになっています。この数は日本で一番多いはずです」と語る。「開発するネットバンク」が、まさにGMOあおぞらネット銀行の正体だ。
GMOあおぞらネット銀行 CTO 矢上 聡洋氏
こうして作られた銀行APIはマニアックながら、FinTech企業のツボを押さえた ものになっている。たとえば、振り込み時の承認経路やその際の通知を個々の取引ごとに設定することで、セキュリティと利便性を両立できるというオプションAPIがある。個人ユーザーがネットバンクを利用する際にはほぼ意識しない機能だが、法人にサービスを提供するFinTech企業であれば、かゆいところに手が届くAPIだと感じられるだろう。
もはやFinTech企業だけのものじゃない銀行API そしてBaaSへ
たった5年間だが、銀行APIのユーザーもめまぐるしく変化している。最初はマネーフォワードのようないわゆるFinTech企業だったが、次のステップとしては一般企業が自社のDXに銀行APIを用いるという用途に拡がった。「経理の振り込み作業が煩雑で、種類も多いといった課題を、銀行APIで解決するという事例です。すでにわれわれのお客様の半分近くがそういったDXでの事例になっています」と矢上氏は語る。
代表的なものは、介護サービスに人材派遣を提供しているキャリア社のDX事例。 「キャリア様は給与振り込みが都度払いで、しかも何万件もありました。これを今まで経理のみなさんが手作業で振り込み処理していたのです」(矢上氏)。しかし、GMOあおぞらネット銀行のAPIを活用したことで、人手の処理はゼロになった。「振り込み処理を担当していたスタッフの方は、別の業務に就くことができました」(矢上氏)とのことだ。
自治体と事業者がより高度に連携する事例も存在する。たとえば、ふるさと納税を寄付者が申し込んだ際、事業者から返礼品が送付されるが、送付よりもかなり後に自治体からそれらの代金が支払われるケースがあり、年末などふるさと納税のピーク時には資金繰り影響が出ている事業者もあるという。こうした課題に対して、2022年10月からGMOあおぞらネット銀行など4社が開発したのが自動スグ払いサービスを謳う「ARLY(アーリー)」だ。これは寄付者に返礼品が到着すると、GMOあおぞらネット銀行が自治体に代わり、すぐに返礼品代金と送料を立て替えて返礼品事業者へ支払いするというもの。事業者間のシステム連携には、銀行APIがフル活用されている。
ここまで豊富な銀行APIが用意されていれば、多くの事業者は自社でゼロからシステムを構築しなくても、包括的な金融サービス自体を提供できる。こうしたクラウド型の金融サービス基盤を最近ではBaaS(Banking as a Service)、既存サービスに埋め込まれた金融サービス自体を組み込み型金融(Embedded Finance)と呼ぶ。現在、大きな注目を集めているのは、このBaaSを用いた新しい銀行だ。
現在、GMOあおぞらネット銀行は「BaaS byGMOあおぞら」というサービス名で、包括的に銀行サービスをBaaSとして提供している。さらには、組み込み型金融の利用を促進する無償のAPI実験場 「sunabar(スナバー)」や組み込み型金融のマーケットプレイス「ichibar(イチバー)」まで用意されている。「最初はBaaSを開発する体力なんてなかったので、GMOイズムを体現し、とにかく走りながらAPIを拡充してきました。結果としてBaaSを提供できるレベルまでたどり着いたんです」と矢上氏は振り返る。
銀行がBaaSを使う時代へ 課題はパブリッククラウドのノウハウ
直近ではBaaSや組み込み型金融の事例も増えている。たとえばお金の新習慣をつくるアプリを提供する「Habitto(ハビト)」は、アプリから直接利用できる貯蓄口座としてGMOあおぞらネット銀行と連携しているという。
そして、今年2月1日に発表されたのが、池田泉州ホールディングスが新たに設立するデジタルバンク「01Bank(ゼロワンバンク)設立準備株式会社」におけるBaaS byGMOあおぞらの採用だ。これはまさに銀行が銀行にBaaSを提供するという画期的な事例でもある。「今までのお客様は金融サービスを利用するFinTech企業や一般企業でしたが、今度は銀行ライセンスを保有する銀行自体が当社のBaaSのお客様となり、そのBaaSを利用してサービスを提供するという形態です。これを実現するためには、BaaSの機能を拡充するためのさらなる開発が必要になるんです」と矢上氏は語る。
そして、今回このBaaSの基盤に採用されることになったのが、パブリッククラウドのAWS(Amazon Web Services)だ。今までもAPI実験環境であるsunabarではAWSが利用されていたが、本番環境での採用は初めて。「2020年頃からクラウドへの移行は計画しており、アーキテクチャの設計やCoE(Center of Excellence) の設立などを通じて、検証は続けてきました。今回はスピーディに開発できるというメリットを見越して、AWSを採用しました」(矢上氏)。
とはいえ、長らくオンプレミスでの開発が前提だったため、GMOあおぞらネット銀行に本番環境をAWSで開発するための知見がなかったのも事実。AWSを用いてsunabarを自社開発した経験はあるものの、スケジュールがタイトだったのに加え、AWSでも特定の分野は未知数だった。インフラチームの福田康治氏は、「アーキテクチャ設計、アカウントの管理、セキュリティ面などについては、さらに一段上のレベルで構築するために、より専門的な視点が必要でした。セキュリティレベルをより高めつつ、開発を予定通り進めるにはどうしたらいいかが大きな課題でした」と語る。
GMOあおぞらネット銀行 テクノロジー&ソリューショングループ インフラチーム チーム長 福田康治氏
この課題を解決すべく、支援に入ったのがARアドバンストテクノロジ(以下、ARI)になる。2010年1月に設立されたARIは、クラウドとデータ・AI活用を得意とするシステムインテグレーターで、コンサル、開発、クラウドインテグレーションを包括して提供する「cnaris(クナリス)」を提供している。GMOあおぞらネット銀行を担当しているARIの竹内 義典氏は、「一口にクラウドインテグレーションと言っても、内製化支援や受託開発、請求代行や運用代行などいくつかのサービスがあります。今回は内製化支援というサービスで単にシステム実装するだけではなく、AWSナレッジの移転につながるサポートを提供しています」と語る。
マルチアカウント統制とセキュリティの確保にARIの知見を活かす
プロジェクトが開始したのは2023年7月。その2ヶ月後にARIが参加し、AWSの利用におけるサポートに入っている。GMOあおぞらネット銀行の案件では、まずマルチアカウントの統制が大きなテーマとなった。福田氏は、「クライアント向けのBaaS用、自社のインターネットバンク用、開発、テスト、本番などの役割にあわせたアカウントの統制に加え、複数アカウントのログの集約も必要になりました」と語る。
ARI側としては、金融機関のシステムとして厳しいセキュリティの要件を理解することからスタートした。ARIの竹内氏は「まずはGMOあおぞらネット銀行様のセキュリティポリシーを理解しつつ、AWSから公開されている「金融機関向け AWS FISC(公益財団法人金融情報システムセンター)安全対策基準対応リファレンス」とすでにGMOあおぞらネット銀行様の検討内容を比較し、よりよい案がないか協議させていただく、やりとりを繰り返しました」と語る。
ARI 竹内 義典氏
今回のシステム構築では、インフラチームのみならず、システムリスクチーム、運用チーム、開発チームなど幅広いチームがAWSを利用する。一方で、事業会社の開発体制として、一人のエンジニアが複数のプロジェクトを掛け持ちすることも多く、アカウントの権限管理は複雑にならざるをえなかったという。
これに対しARIと福田氏のチームは、パラメーターシートを拡げながら設定を確認し、タスクを細分化したWBSを引きながら、アカウント統制のための作業を進めた。福田氏は「各アカウントと利用するAWSのサービスに対し、それぞれのチームがどのような権限を持つべきなのか、星取り表みたいものを作って、FISCガイドラインに準拠した権限周りを整理しました」とのことだ。
実際にマルチアカウント統制を実現するマネージドサービスの実装はARIの佐藤 大貴氏が担当した。AWSのマルチアカウント統制を実現するためのサービスとしては「AWS Control Tower」や「AWS Config」を導入。「どういった権限でアクセスするのか、アクセスするリソースがFISCガイドラインにきちんと準拠しているかをControl TowerやAWS Configを用いて、IT統制の適用状況をチェックしています」(佐藤氏)とのことだ。これらのサービスに加え、脅威を検知するAIベースのセキュリティサービスや、AWSでの操作履歴を収集するサービスなどを採用し、より高度な不正アクセス対策を実現している。
ARI 佐藤 大貴氏
大がかりな作業だったマルチアカウント統制については、おおむね3ヶ月で実現された。福田氏はARIのサポートについて「最初、FISC準拠のために権限を検討したり、アカウントを整理したりで四苦八苦しましたが、いったんタスクに落とし込み、WBSをひいてからはスムーズでした。とても助かりました」と振り返る。現在はBaaSで利用するネットワークの改善について ARIから支援を受けているという。また、アカウント統制に関してはARIによる運用支援も行なわれており、タスクの自動化も進めている。
ビジネスのスピードにあわせた開発や運用にARIのサポートを
「オーバーバンキング」と呼ばれる過当競争となりつつある国内の銀行業界の中で、競争力に直結するBaaSの需要はうなぎ登りだ。先ほどは池田泉州ホールディングスの「01Bank」のBaaS採用事例を紹介したが、岡三証券の「岡三BANK(仮称)」もGMOあおぞらネット銀行のクライアントだ。
発展途上国も含め、世界ではBaaSやFinTechをベースにした新しい金融サービスの浸透が著しい。一方、日本でBaaSを提供する事業者はまだまだ数が少ないため、BaaS byGMOあおぞらの利用は今後確実に増えていく。矢上氏は、「自ら開発できるお客様も多いはずですが、スピードとコストを考えて、弊社とタッグを組んでくれる金融機関は増えていますね」と矢上氏は語る。
一方で福田氏の悩みは、こうしたビジネスのスピードに対して、開発リソースが足りないこと。「今後、オンプレミスの更改もありますし、同時にクラウドの導入や運用も必要です。エンジニアはつねに 足りないですし、サービスもノンストップで強化していかなければなりません。ARIさんには運用面でのサポートをお願いしたいと思っています」と語る。GMOあおぞらネット銀行のビジネスのスピードと拡大にあわせて、ARIとのタッグは今後も重要になっていきそうだ。
