オープンソースソフトウェアの「サプライチェーン」を活用するニューヨーク連邦準備銀行

年間何兆ドルもの取り引きを処理し、世界最大の金の保管庫を管理するとなれば、最優先されるのはセキュリティと効率です。再利用可能なオープンソースのソフトウェアコンポーネントは、ニューヨーク連銀にとって運営成功の鍵となっています。

大企業では、部門や子会社が原因で効率的な組織管理に課題が生じます。そのことを最もよく認識しているのは、ニューヨーク連邦準備銀行でバイスプレジデントとCommon Service Organizationの代表を務めるColin Wynd氏かもしれません。Wynd氏は、ソフトウェア開発の実践と戦略を、先進的かつ安全なものにし、それらが遵守すべき規則に従うようにする任務を負っています。

サンフランシスコで最近開催されたJenkins Worldの会議で行われたプレゼンテーションにおいて、Wynd氏が述べたところによれば、数年前、同氏らは、開発者チームの働き方を総体的に考えるようになりました。そのため、何十年も運用しているレガシーアプリケーションを、それに替わる最新で柔軟なものに移行する必要がありました。

「私たちは、カスタマイズした数多くの開発、データベースの構築、認証と許可などのセキュリティの実装を行っていました。それらはすべて、カスタマイズしたログイン機能を備えています。アプリケーションよりもログインユーティリティの数の方が実際に多いという冗談さえあり、やや行き過ぎでした」とWynd氏は当時を振り返ります。

ニューヨーク連銀は、基本となる技術、開発ツール、アーキテクチャーモデルの標準化を望んでいました。「ユーザーインターフェイスは、雪の結晶のように、同じものが2つとありませんでした。1人のエンドユーザーが15もの異なるインターフェイスを使うこともありました」とWynd氏は語ります。

もう1つの目標は、オープンソースのソフトウェアを使用して、ライブラリとその他の共通コードを大いに再利用できるようにすることでした。Wynd氏は、ソフトウェアの自動化を専門とするSonatype社のレポートに注目しました。それによると、75~80%のアプリケーションがオープンソースのライブラリで構成されています。同氏は、ニューヨーク連銀でオープンソースを採用することに価値を見いだしました。そうすることで、同行の開発者は、基本となるソフトウェアの統合に時間を割くのではなく、ビジネスロジックなど、アプリケーション独自の側面に集中して取り組めるようになると、Wynd氏は語ります。

「こうした共通のコンポーネントとマイクロサービスに専念するチームを持つことができます。また、(この共通の必須コンポーネントに) 投資することができ、それらが盤石であることを確信できます」と同氏は付け加えます。

連邦準備制度の組織全体で2,000人近くの開発者が、全く異なる開発ツールを使用していました。今では、標準のツールセットとアーキテクチャーから恩恵を受けており、そのことが、同行が使用を検討するアプリケーションの制限にもつながっています。「私たちの共通アーキテクチャーと互換性のないサードパーティアプリケーションは使用したくありません」とWynd氏は語ります。同行は結果として一部のベンダーと開発プロジェクトを退けています。「しかし、基礎となるアーキテクチャーの安定性とセキュリティが向上するという利点があります」と同氏は付け加えます。

 

ソフトウェアのサプライチェーン

最適なソフトウェアコンポーネントを特定するには時間と調査を要しますが、それは不可欠な作業であるとWynd氏は語ります。

政府によるさまざまな監視があり、多くの利害関係者が存在し、規制による著しい統制もあります。「役員会や公務員で構成される理事会のほか、米国財務省もあります。このすべての組織で使用されるアプリケーションを構築するかもしれません」と同氏は語ります。それぞれの規制に従うことで、アプリケーションが複雑になる可能性があります。「私たちは、ベストプラクティスを実現できていることを確認するためにワーキンググループで多くの時間を費やしています」。

Wynd氏は次のように話します。「それはサプライチェーンのようなものだと気が付きました。たとえば、自動車メーカーが、トラックの製造に役立つすべてのサプライヤーに注目するのとさほど違いはありません。タイヤはあるベンダーから、エアバッグは他の会社から、また、フロントガラスは別のサプライヤーから調達するでしょう」。

どの自動車メーカーとも同じく、ニューヨーク連銀は、サプライヤーの品質管理を監視することを望みました。「オープンソースの部品が同じ品質で製造されているとは限らないことが分かったのです」とWynd氏は語ります。

Wynd氏は、120,000以上のJavaのライブラリに着目したSonatype社のレポートを再度引用し、ソフトウェアの改修には平均で200日以上かかるが、プログラムの修正にそのような遅滞は容認できないと指摘します。これにより、ニューヨーク連銀はオープンソースソフトウェアの選択に対する見識を高めました。「評判が良く、オープンソースコードの保守を得意とするサプライヤーが少数あり、問題のないサプライヤーもあります。しかし、大部分のオープンソースコードが、非常にミッションクリティカルなアプリケーションに適したレベルをほとんど維持できていません」と同氏は語ります。

銀行はデジタル化を絶好の機会としています。これについて、詳しく解説した 最新のレポートをご覧ください。

もう1つの問題は、オープンソースのライセンス条項が、ニューヨーク連銀独自のアプリケーションの配布とコンプライアンスの管理の方法に与える影響です。「ライセンスの取り扱いが非常に簡単なオープンソースもあります。場所を問わずコードを出力でき、その使用や書き換え、修正やアプリケーションへのバンドルも可能です。こうしたアプリケーションを内部または外部にリリースすることもできます」とWynd氏は語ります。しかし、配布方法や商用での使用に対する制限がきわめて厳しいオープンソースソフトウェアもあります。そのため、オープンソースのモジュールが維持されているかどうか、また「配布、たとえばほかの連銀への配布に抵抗を感じないかどうか」という点で懸念が生じたと同氏は言います。

結果として、ニューヨーク連銀は、オープンソースライブラリと関連ソフトウェアの評価で、ライセンスとすべての配布制限に特別な注意を払うようになりましたが、制限を受けないライセンスを特定する専門性を高めたことで、同行は、こうした再利用可能なコンポーネントを活用できています。

 

開発者に柔軟性とトレーニングの機会を与える

オープンソースの採用であまり目立たない利点は、キャリアでの満足度と進展です。これにより、開発者はより興味のあるアプリケーションに携わる機会を得られるとWynd氏は語ります。開発者は今や、連銀全体でさらに簡単にプロジェクトを引き受けたり、仕事を切り替えたりできます。ニューヨーク連銀は共通のオープンソースコンポーネントと標準のツールセットを多数使用しているため、必要であっても最小の再トレーニングで済むからです。「これは、連邦準備制度の組織全体で負荷のバランスを保つのに役立ちます」。

といっても、開発者がトレーニングを受けないわけではありません。同行はCommon Service Universityを設立し、開発者のベストプラクティスと指示に関する継続したトレーニングを提供していると同氏は語ります。

組織内でトレーニングを行う理由の1つは、一貫性です。Wynd氏は次のように話します。「AngularやSpringのコースを誰かにどこかで受講させる場合、受講者はわずかに違う方法で取り組もうとします。それがソフトウェア開発の一貫性に影響を与えます。Common Services Universityがあることで、私たちのアプリケーションの構築方法を明確に示すことができます。認証やクリックジャック攻撃にどう対処するのかなど、セキュリティも重視しています。こうしたことを異なる方法で解決すると、問題が生じるため、一貫性を求めているのです」。

 

今後も続くセキュリティの課題

質疑応答の時間に、Wynd氏は、セキュリティの課題は継続中であると語りました。ニューヨーク連銀は、同行が処理する4兆ドルのトランザクションや、国際的な顧客のために管理する、2500億ドルの価値がある金の延べ棒など、保護すべきものを大量に抱えています。「世界の国々で今でも金が取り引きされているため、私たちは在庫管理システムを利用しています」と同氏は述べ、そのシステムは徹底したセキュリティを必要としているとも語りました。

セキュリティは規制の問題においても重大な位置を占めています。同氏はこう話します。「私たちは非常に注意深く慎重に対応しています。しかし、最も困難を感じるのは、国家に対する攻撃を防ぐ必要があるため、アプリケーションの安全性を部門に証明することです」。

オープンソースソフトウェアのサプライチェーンに関する リーダーのためのアドバイス

  • 再利用可能なソフトウェアコンポーネントと標準化によって、効率を格段に高められ、同時に、ニューヨーク連銀のきわめて大きいセキュリティのニーズを満たすことができます。
  • ライセンス条項に制限があり、かつサポートの乏しいオープンソースソフトウェアは、ニューヨーク連銀のミッションクリティカルなニーズを満たす選択肢にならない場合がありますが、同行は調査によって、その厳しい要件を満たす数多くの高品質なオープンソースツールとコンポーネントを発見しました。
  • サードパーティプロバイダーによるトレーニングコースは一貫性のない開発につながる可能性があります。同行が内部に持つトレーニング組織によって、誰もが同じ開発手順とポリシーを学べるようになり、開発者が組織のあちこちに簡単に異動できるようにもなりました。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもHewlett Packard Enterpriseの見解を反映しているとは限りません。

banking.nxt

既存の銀行こそ、真の金融サービス改革の旗手である。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。