More Related Content Similar to JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス 2020 発表資料) (20) More from NTT DATA Technology & Innovation (20) JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス 2020 発表資料)1. JCBの Payment as a Service 実現にむけた
ゼロベースの組織変革とテクニカル・イネーブラー
片岡 亮介
株式会社ジェーシービー
デジタルソリューション開発部
部長(担当)
NTTデータ テクノロジーカンファレンス2020 講演資料
5. Agenda ( JCB part )
JCB status so far
2
1
3
JCB が抱える現在の課題、そして新たな取組
New Project
”スピード" 獲得のための新しい組織の立ち上げ
3 principles for zero-based change
組織変革実現のための3つの基本方針
12. New Project
● Agility あるビジネス開発を実現させるためのプロジェクト
● 価値あるサービスの開発( Payment as a Service の実現 )
Process
Architecture
Risk Management
Platform
Team
Development Method
17. ● Agility ある開発を実現させるための開発体制。
● 逆コンウェイの法則に則り、システム構造を組織構造に写像
ゼロベースの組織デザイン
Service A
Team A
JCB Digital Enablement Platform
Service B
Team B
Service C
Team C
QA Team SRE Team Sec Team
Platform
Team
Archi
Team
20. Customer
Developer
Operator
● 低コストでサービスを提供したい
● スモールスタートでサービスを提供したい
● スピード感あるサービスを提供したい
● 安全なサービスを提供したい
● 制約なく自由な開発を行いたい
● ゼロベースで作るよりある物を使いたい
● 参考情報が欲しい
● 新しい技術に触れていたい
● ロックインされたくない
● 安定したシステム運用を実施したい
● オペミス要望のため、自動化したい
● UXに優れたツールを利用したい
1:Agility
2:High Availability
3:Scale
4:High Security
5:Managed Service
6:Automation (IAC)
7:CI / CD
8:Open Source
DXのためのPlatform
21. Cloud Native Platform
● JCB Digital Enablement Platform ( JDEP )
● Google Cloud Platform をデジタルビジネスのPFとして採用
● GKE、Cloud Spanner をコアとしたマルチテナント構成
Requirement
1. Agility
2. High Availability
3. Scalability
4. High Security
5. Managed
Conculusion
❏ Public Cloud : GCP
❏ Kubernetes : GKE
❏ Service Mesh : Istio ( Anthos )
❏ DB : Cloud Spanner
22. No. 製品名 製品概要 導入効果
1 Google
Kubernetes Engine
コンテナオーケストレーションツール(コンテナ(=APL)を管理するため
の根幹となるツール)。今回はが提供するGoogle Cloudが提供する
K8sを採用。
・Reconciliation Loopに基づいた高可用性
・Immutable Infraとしての運用性
2 Cloud Spanner
Google社が開発した無制限のスケーリング、強整合性、最大 99.999% の可用
性を備えたフルマネージド リレーショナル データベース。
・最大 99.999% の可用性
・マルチリージョン構成(東京-大阪)
3 Terraform
Hashicorp社が開発しているインフラの構成管理ツール。インフラリソースをコー
ドとして宣言的に定義し、定義の状態になるように自動でリソース作成・操作が可
能。
・Infra As Code(IAC)の実現
→インフラ作業の自動化
4
Prisma Cloud パロアルト社が提供するクラウドネイティブなアプリケーションやワークロードを保
護し、クラウド環境に継続的な可視化、セキュリティ、コンプライアンス監視が可能。
・CSPM(Cloud Security Posture Management)の実現
・CWPP(Cloud Workload Protection Platform)の実現
5
Parger Duty
パロアルト社が提供するコンテナ環境向けのセキュリティ製品群。クラウドネイティ
ブなアプリケーションやワークロードを保護し、クラウド環境の継続的な可視化、セ
キュリティ、コンプライアンス監視が可能。
・障害発生時の初動対応の早期化
・保守体制の強化
6 Datadog
クラウド時代の監視アプリケーションサービス。SaaSベースのデータ分析プラット
フォームを介してサーバー、データベース、ツール、およびサービスの監視を提供
・障害発生時の初動対応の早期化
・サービス監視の高度化
7 Argo CD
GitOpsの継続的デリバリーツールを行うOSS。パイプライン全体を管理するので
はなくパイプラインの中の1つの処理として動作するコンポーネントであり、軽量か
つコンテナリリースに最適なツール。
・継続的かつ迅速はシステムリリース
・カナリアリリース、Blue・Greenデブロイ
クラウド徹底活用
23. © 2020 NTT DATA Corporation
NTTデータ テクノロジーカンファレンス
2020
JCB のPayment as a Service 実現にむけた
ゼロベースの組織変革とテクニカル・イネーブラー
2020年10月14日
株式会社NTTデータ デジタル技術部 金田 和大
24. © 2020 NTT DATA Corporation
Agenda
1. デジタル組織のつくりかた
2. グランド・デザインのかんどころ
3. テクニカル・イネーブラー
25. © 2020 NTT DATA Corporation
JCB様における組織変革スケジュール(超概要)
Grand
Design
Preparing for Scale
Start
SAFe
Agilityのあるデジタル組織をつくるための3ステップ。
①デザイン、②準備(スケール)、③実践
3〜6 month 9〜12 month
本日の説明範囲
26. © 2020 NTT DATA Corporation
SAFe (Scaled Agile Framework)
経営・ビジネス・開発の3レイヤを統合した
大規模Agileフレームワーク
経営
ビジネス
開発
27. © 2020 NTT DATA Corporation
デジタル化組織実現の6つのポイント
SAFe
(組織構造と開発プロセス)
社員の意識改革
1
オフィス環境の見直し
2 インフラの再整備
社内ルールの見直し
人財育成指針の策定
4
3 5
予算の特区化
6
デジタル化組織
NTTデータのCAFISのデジタル化で得られたプラクティス。
SAFeを土台とした制度設計と実践。6つのKSF。
28. © 2020 NTT DATA Corporation
人材育成
Why SAFe?
個別課題の対応ではなく総体的な戦略と実行により
高いアジリティとガバナンスの両立を実現できる
優先順位に
基づく開発
オフィス改
善
技術・スキ
ルの調達
柔軟な予算
と組織体制 デザイン
思考
ビジネス部門
とIT部門の
一体化
継続的
デプロイ
定期的な状
況の確認と
軌道修正
依存関係の
管理
経営・ビジ
ネス
組織・体制
人材
プロセス
ITシステ
ム
クラウド/
コンテナ/
マイクロサービス
経営
・
ビジネス
組織・体制
人材
プロセス
ITシステム
29. © 2020 NTT DATA Corporation
ここからが今日の本題
大規模Agileで開発するサービス群を収納する
Digital Platformをどのようにデザインしてきたのか。
組織のアジリティが上がらない
ガバナンスを維持しつつ、アジリティ
向上
モノづくりが先行しがちで、
新規ビジネス創出につながらない
仮説を検証しながら価値をつくってい
く
システムの完成がゴール 継続的なビジネス価値向上
高速な価値開発にフォーカスするのが
難しいIT基盤
高速な価値創出を支える
デジタルプラットフォーム
課題 打ち手
1
2
3
4
Lean 開
発
Tech
Process
People
30. © 2020 NTT DATA Corporation
ç
Agile実践を規定する
ガイドラインの策定
アイデア創出・高速
開発導入支援
SAFe 実践までの
ロードマップづくり
グランド・デザインの実施内容
グランド・デザインでは、Digital Platformの
目指す姿とコンセプトを策定
デジタルプラットフォ
ームの検討
(製品選定/検証含む)
Grand
Design
Preparing for
Scale
Start
SAFe
icons: https://icons8.jp/
31. © 2020 NTT DATA Corporation
Digital Platform の目指す姿
JCBのデジタルビジネスを支えるCloud Nativeプラットフォーム
既存資産にとらわれず、ゼロベースであるべき姿をデザイン
2020 2021 2023
新規アプリケーション マイクロサービス
マイクロサービス
オンプレミス
マイクロサービス
• パブリッククラウド上で
スモールスタート
• 大規模Agileの実現に向け、
パイロット案件でLean手法を
もちいてサービス開発に着手
• パブリッククラウド上で
サービスを拡大
• 大規模Agileの開始。小さな単位
にサービスを分けてアジリティを高
めるマイクロサービスを導入
• ハイブリッドクラウド化
• 既存ITシステムとの融合
• 環境問わずアジリティのある開発
ができるプラットフォームを実現
icons: https://icons8.jp/,
32. © 2020 NTT DATA Corporation
デジタルPF基本方針①
Cloud Nativeの4要素
(Agility, Observability, Resilience, Scalability)を
具備する環境を構築し継続的に維持するための基本方針
01
Cloud Native
● Kubernetes
● Microservices
● Serverless
0
2
IaC
可能な限り基盤構築をコード化
し、環境をイミュータブルに
0
3
わくわく
●Developerがわくわくする
魅力的な開発環境
●継続な改善をする(NO塩漬!)
icons https://icons8.jp/
33. © 2020 NTT DATA Corporation
デジタルPF基本方針②
製品選定のための方針として Hybrid/Multi Cloudを視野に
入れた機能配置や、サービス拡大に伴って運用コストが
増えないようにマネージド・サービスを積極的に活用する
0
4
Hybrid & Multi Cloud
監視やID管理など周辺系サービスは
パブクラからもオンプレからも利用で
きること
0
5
Scalable
● サービス規模に対し
運用作業がリニアに増えないこと
● マネージドサービスを活用し
運用コストの最小化する
0
6
OSS based
icons: https://icons8.jp/, https://thenounproject.com/LoudounDesignCo/
● CNCF Landscapeを追う
● 保守の容易性/サービス継続
性を考慮
34. © 2020 NTT DATA Corporation
containers
オンプレミス
パブリッククラウド
ログ管理
コンテナレジストリ
コードリポジトリ
(マルチ)K8sクラスタ管理ツール
K8s
K8s K8s K8s
K8s K8s
K8s
ID管理
NW
storage
イメージスキャナ
Secret 管理
API GW
Service mesh Service mesh
Managed
CaaS
Managed
PaaS
FaaS/PaaS(on k8s)
Managed
FaaS
CI Engine
CD tool
LB LB
containers
Managed
Database
Managed
Cache
Managed
Queue AD
フェデレーション
VM
Queue
DB
Cache
ドキュメント管理 チケット管理
チャット
VMs
セキュリティ管理
構成管理
CDN
専用線
メトリクス
アラート
インシデント管理
Microservice
Microservice
Hybrid共通
(パブクラ/SaaS)
icons: https://icons8.jp/
35. © 2020 NTT DATA Corporation
Cloud Access Security Brokers (CASBs)
● クラウド利用の可視化、データ保護、ガバナンスを実現する
サービス群
● CASB製品を利用して、ユーザーとクラウド・プロバイダーの間に単一の
コントロールポイントを設けてセキュリティポリシーを適用できる
Cloud Security Posture Management (CSPM)
● クラウドのセキュリティインシデントのほぼすべては、
ユーザの設定ミスに起因
● CSPM製品を利用してクラウド利用のベストプラクティスに反する設定
やセキュリティ違反を監視・検知・修復できる
Cloud Workload Protection Platforms (CWPP)
● クラウド・ワークロードの監視と保護のためのサービス群
● CWPP製品を利用して、クラウド上のワークロードの異常な挙動や通信
を検知できる
Image: https://outpost24.com/blog/find-the-differences-between-CASB-CSPM-and-CWPP
Cloud Security (CASB / CSPM / CWPP)
セキュリティは、CASBs/CSPM/CWPP それぞれの
観点で可視化と防御策を検討し、対策方針を決定
36. © 2020 NTT DATA Corporation
Question
ここで突然ですがアンケートです。
CASBs(開発環境)と
CSPM / CWPPどちらの話がききたいですか?
A. 「ちょっと何言ってるか分からない。。」
B. 「CASBs!」
C. 「CSPM/CWPP!」
D. 「どっちでもよかです」
37. © 2020 NTT DATA Corporation
外部端末
UEM
&
EDR
Digital Platform
開発
拠点
Secure
Room
Prod Dev/Stg/QA
開発端末
管理外
端末
持出端末
本番操作
端末
Netskope
WS1 構成管理
エンドポイ
ント監視
構成管理ポリシーチェック
リモートワイプ(紛失時)
本番
アクセス
無許可端末ア
クセス拒否
OK
本番
アクセス
端末
管理
NG
私用
社用
不許可SaaS
持出端末やモバイルで
開発やダッシュボード
確認が可能
Netskope
開発環境
構成
icons: https://icons8.jp/
38. © 2020 NTT DATA Corporation
外部端末
UEM
&
EDR
Digital Platform
開発
拠点
Secure
Room
Prod Dev/Stg/QA
開発端末
管理外
端末
持出端末
本番操作
端末
Netskope
WS1 構成管理
エンドポイ
ント監視
構成管理ポリシーチェック
リモートワイプ(紛失時)
本番
アクセス
無許可端末ア
クセス拒否
OK
本番
アクセス
端末
管理
NG
私用
社用
不許可SaaS
Netskope
開発環境
構成
出口対策
入口対策
構成管理
icons: https://icons8.jp/
39. © 2020 NTT DATA Corporation
CSPM
クラウドプラットフォームの設定評価
コンプライアンスの準拠状況を可視化
CSPM & CWPP
パブリッククラウド
Container
(Application)
Cluster node
Orchestration
(Kubernetes)
Container image
Image registry
Config
IaC によるクラウドの構成管理・制御
CI/CD pipeline
(DevSecOps)
NW
Data store
CWPP
コンテナワークロードのリスク検知
多層的かつ自動化可能な脆弱性対策
可視化
Data Security
コンプライアンス
脅威からの防御
運用性
Internet
40. © 2020 NTT DATA Corporation
Point 1
CSPM ( 旧Redlock / Evident.io ) と
CWPP ( 旧Twistlock / PureSec ) を
1 つのサービスとして提供する
総合セキュリティソリューション
CSPMとCWPPを兼ね備えたPrisma Cloud を導入
CSPM/CWPP 製品
Point 2
実行中のコンテナのランタイムを 継
続的にスキャン
ランタイムの正常時動作をAIが学習
アノマリーな挙動を検知
Point 3
Incident Explorer や Forensic の
機能により、インシデント発生時のコンテ
ナの挙動を事後調査可能
CSPM&
CWPP ランタイム保護 フォレンジック
icons: https://icons8.jp/
41. © 2020 NTT DATA Corporation
ここまでのまとめ(グランド・デザイン)
コンセプト・デザインとセキュリティ・デザインを実施
デジタルプラットフォーム
の検討
(製品選定/検証含む)
Grand
Design
Preparing for
Scale
Start
SAFe
● Digital Platformの目指す姿とコンセプトの制定
● クラウドセキュリティの検討と製品選定
● ゼロトラスト志向の開発環境デザイン
42. © 2020 NTT DATA Corporation
Digital Platform
ここからは、第2フェイズにおいて実際に構築した
プラットフォームについて説明していきます。
Grand
Design
Preparing for
Scale
Start
SAFe
43. © 2020 NTT DATA Corporation
Digital Platformの3つのポイント
スケーラビリティとセキュリティの軸で
3つのポイントをご紹介
マルチテナント DevSecOps ゼロトラスト
img src: https://icons8.jp/
44. © 2020 NTT DATA Corporation
アーキテクチャ概要
Shared VPC/Peeringでスター型の配置で Project を構成。
他環境とはInnterconnect(専用線)で接続
Dev Host Project
Dev Shard VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routers
Cloud Nat
Service Project Service Project Service Project
Cloud
Spanner
Kubernetes
Engine
Anthos
Service Mesh
Shared VPC
Connectivity
Common Service Host Project
Common Shared VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routes
Common Shared
Service
Cloud
DNS
Shared VPC
Connectivity
vpc peering with custom
routes exchange
Other
Environment
Cloud
Router
vpc peering with custom
routes exchange
Interconnect
45. © 2020 NTT DATA Corporation
アーキテクチャ概要
Shared VPC/Peeringでスター型の配置で Project を構成。
他環境とはInnterconnect(専用線)で接続
Dev Host Project
Dev Shard VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routers
Cloud Nat
Service Project Service Project Service Project
Cloud
Spanner
Kubernetes
Engine
Anthos
Service Mesh
Shared VPC
Connectivity
Common Service Host Project
Common Shared VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routes
Common Shared
Service
Cloud
DNS
Shared VPC
Connectivity
vpc peering with custom
routes exchange
Other
Environment
Cloud
Router
vpc peering with custom
routes exchange
Interconnect
46. © 2020 NTT DATA Corporation
アーキテクチャ概要
Dev Host Project
Dev Shard VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routers
Cloud Nat
Service Project Service Project Service Project
Cloud
Spanner
Kubernetes
Engine
Anthos
Service Mesh
Shared VPC
Connectivity
Common Service Host Project
Common Shared VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routes
Common Shared
Service
Cloud
DNS
Shared VPC
Connectivity
vpc peering with custom
routes exchange
Other
Environment
Cloud
Router
vpc peering with custom
routes exchange
Interconnect
Shared VPC/Peeringでスター型の配置で Project を構成。
他環境とはInnterconnect(専用線)で接続
47. © 2020 NTT DATA Corporation
アーキテクチャ概要
アプリがデプロイされるマルチテナントのK8sや
マネージドサービスを配置するProjectがある
Dev Host Project
Dev Shard VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routers
Cloud Nat
Service Project Service Project Service Project
Cloud
Spanner
Kubernetes
Engine
Anthos
Service Mesh
Shared VPC
Connectivity
Common Service Host Project
Common Shared VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routes
Common Shared
Service
Cloud
DNS
Shared VPC
Connectivity
vpc peering with custom
routes exchange
Other
Environment
Cloud
Router
vpc peering with custom
routes exchange
Interconnect
マルチテナントのK8sクラスタ
各アプリが使う
マネージドサービス
●各面ごとに単一のK8sクラスタ
●複数クラスタの運用はバージョンアップなどメンテ
ナンスコストが高くなる懸念
●クラスタ横断ののネットワーク構成(Istioのマルチ
クラスタ構成など)が複雑になる
●アプリケーション毎にK8sのNamespaceを払出
●Namespaceで区画化されたマルチテナント構成
●マルチテナント設計は組織構成と密に関係
48. © 2020 NTT DATA Corporation
アーキテクチャ概要
アプリがデプロイされるマルチテナントのK8sや
マネージドサービスを配置するProjectがある
Dev Host Project
Dev Shard VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routers
Cloud Nat
Service Project Service Project Service Project
Cloud
Spanner
Kubernetes
Engine
Anthos
Service Mesh
Shared VPC
Connectivity
Common Service Host Project
Common Shared VPC
Cloud
Router
Cloud
Firewall Rules
Cloud
DNS
Cloud
Routes
Common Shared
Service
Cloud
DNS
Shared VPC
Connectivity
vpc peering with custom
routes exchange
Other
Environment
Cloud
Router
vpc peering with custom
routes exchange
Interconnect
マルチテナントのK8sクラスタ
各アプリが使う
マネージドサービス
●マネージド・サービスを配置するサービスプロ
ジェクトはアプリケーション単位で分割
●アプリケーション単位に分割しておくことで
リソースアクセスの権限管理やコスト管理がや
りやすくなる
49. © 2020 NTT DATA Corporation
Kubernetesをマルチテナント構成で利用。各サービス毎に
Managedサービスを配置するGCP Projectを用意
マルチテナント GKE クラスタ
Shared
GKE Cluster
Service Project Service Project Service Project Service Project Service Project
50. © 2020 NTT DATA Corporation
Kubernetesをマルチテナント構成で利用。各サービス毎に
Managedサービスを配置するGCP Projectを用意
マルチテナント GKE クラスタ
Shared
GKE Cluster
Service Project Service Project Service Project Service Project Service Project
51. © 2020 NTT DATA Corporation
Gitlab Runner & Argo CD によるGitOps。
安全で信頼されたコンテナイメージのみがデプロイ
DevSecOps Pipeline
52. © 2020 NTT DATA Corporation
Istio や GKE のNetwork Policyの機能を使って、
すべてのマイクロサービス間で認証・認可・暗号化を実施
Inbound/outbound ともに許可されてない相手との通信を禁止
ゼロトラスト
53. © 2020 NTT DATA Corporation
おわりに
Payment as a Service 実現のTechnical Enablerとは?
➔ 価値創出のスピードアップと拡大を下支えする
” Financial grade security 担保のための仕組みが
ビルトインされたスケーラブルなプラットフォーム”
マルチテナント
DevSecOps ゼロトラスト
Cloud
Nativeve
Hybrid
&
Multi
scallable
IaC
わくわく
&
継続改善
OSS
based
Platform concept Key points