FINOVATORS大久保氏が語る、金融APIとAWS、クラウドに慎重な人へのメッセージ：FinTechとクラウドの関係

　「私は日本の技術力によって、世界中の人々の金融行動に革新をもたらすことを信じています」と言い切る大久保光伸氏。ネット銀行在籍中は同行の周辺システムのAmazon Web Services（AWS）への移行を進め、日本の金融業界におけるクラウドサービス利用の先駆的事例として注目された。

　その後金融持ち株会社に転職し、デジタル戦略を担っている。一方、FinTech関連の有志と「金融革新同友会FINOVATORS」というプロボノ団体を結成。三菱地所、電通、電通国際情報サービスが設立したFinTechインキュベーション拠点「FINOLAB」と連携し、FinTechのエコシステムを創造すべく、多彩な活動を行っている。FINOVATORSでは、FinTechのスタートアップ企業に対し、個々の専門性を生かして、技術や規制対応などに関するアドバイスを提供する一方、政策提言や海外業界団体との連携を行っている。

　＠ITでは金融APIエコシステムの拡大を目指す大久保氏に、FinTechエコシステムの意味とは何なのか、その現在とこれからについて聞いた。同時に、セキュリティ要件が高く、規制が厳しい金融業界で広範なシステムのクラウド移行を進めた経験を持つ同氏に、一般企業で自社のITを改善すべく真剣に取り組んでいるものの、パブリッククラウドについては慎重な人々に対する、現実的なアドバイスを求めた。

金融APIとクラウドの世界には、共通項がある

FINOVATORSの大久保光伸氏

　「日本から、世界に羽ばたくユニコーン企業を生み出す」。これがFINOVATORSたちの目標だ。「FinTechスタートアップ企業が適切な投資を受けられ、確実にバックアップされるような環境をつくりたい」。大久保氏は特に、知見のあるITガバナンスとセキュリティについてFinTechスタートアップへのメンタリングを行いつつ、金融API公開のガイドライン策定と、これを通じたエコシステムの活性化に力を入れている。

　大久保氏は、金融APIとクラウドの話はよく似ている、と説明する。

　「私が当初AWSをすごいと思った理由は、全てがAPIでできていることでした。例えばAWS上に構築した環境の一覧を出したいと思えば、APIをたたくだけで、ネットワーク構成図に近いものができます。それでも、AWSの提供する機能だけでは不十分なことがあります。しかし、『クラウドインテグレータ』などと呼ばれる人々がこうした課題を補うとともに、AWSの提供していないパッケージソリューションや、支払い代行などの業務を提供するエコシステムが育ってきました。APIで機能を提供しているおかげで、本体のサービスだけではうまくできないことを、周りが補完できるようになっているのです。

　銀行のAPIの話はこれとよく似ています。例えば銀行で、エッジの効いたモバイルソリューションを構築しようとしても、モバイル搭載機能を理解してモバイルアプリを開発できるエンジニアは銀行内に少ないのが実情です。外部に委託して個別に開発していたのではスピード感に欠けますし、膨大なコストがかかります。しかも、ユーザーが求めるものを的確に提供できる保証はありません。

　APIを公開することで、金融機関は他の会社にアプリケーションを構築してもらい、これを自社サービスの利用者に活用してもらえます。アプリケーションによっては、これまでリーチできなかった顧客層に、適切なタイミングで求められる金融サービスの提供ができるようになるかもしれません。一方、APIを活用してアプリケーションを構築するスタートアップ企業は、複数の金融機関にまたがる価値を提供することができ、同時に自社アプリを国際的に提供できるチャンスも生まれます。API公開は、金融機関とスタートアップ、双方に大きなメリットがあります」

　スクリーンスクレイピングでは、残高照会や取引履歴のような情報の取得しかできない。取引に関わることは一切できず、限界がある。

　「金融機関が多様なAPIを提供してこそ、海外のように斬新なアプリケーションが生まれ、金融サービスが進化します。海外では、ドイツのフィドール銀行など、機能を全てAPIで提供する銀行が出てきています。支店からATMそしてネットバンクへと利用シーンが進化してきたように、生活に密着したアプリケーションからAPIを呼び出すことができます」

金融機関がAPIを公開しさえすればいいわけではない

　スクリーンスクレイピングを使った金融サービスでは、各ユーザーが自分の使う金融機関のIDとパスワードをサービス事業者に登録、事業者はこれを使って各金融機関のユーザー画面から情報を自動的に取得する。このような方法だと、最終的には情報の正確性やセキュリティ上の責任分界点の課題が出てくる。そうした意味でも金融機関がAPIを提供し、OAuthなどでFinTech事業者と認証連携を図り、しっかりとグリップすることが望ましい。

　では、金融機関がAPIを公開しさえすれば世界に追い付き、追い越せるのだろうか。大久保氏はこれに付帯して、さまざまな課題があると説明する。

　まず、どのような形で公開するかという点だ。国内の一部金融機関は、API提供を段階的に始める準備を進めつつある。だが、例えばAPIで提供する機能やデータの内容は、利用するFinTech事業者にとって使いやすいものであることが望ましい。FinTechプレイヤーを巻き込んだ検証と、その結果の公表などを通じ、業界内での意見交換を進める必要があるというのが大久保氏の意見だ。

　また、複数の金融機関の間でAPIが統一されれば、アプリケーション開発側の工数が減るという大きなメリットがある。実質的には先行導入する金融機関の仕様に、他の機関が合わせることになるのかもしれないが、できる限り統一を進めるべきだという。差別化はサービス内容で行えばよいという。

　APIエコシステムを拡大するためには、法律・規制面での対応も欠かせない。

　金融取引に関しては、資金移動業から金融商品仲介業、銀行代理業まで、多様な業務が規定されている。FinTechの発展のためには、FinTech事業者に適切な法的位置付けを与えなければならない。

　「金融庁のフィンテックサポートデスクでは、FinTech事業者からの質問を随時受け付けています。具体的なビジネスプランがあることを前提に、開業規制や行為規制について不明なことがあれば、サポートデスクに相談してみるという手段もあります」

　FINOVATORSでは、こうした規制面での対応支援にも力を入れている。

　また、APIエコシステムは、監査の自動化分野においても効果を発揮できるという。

　「金融リスク管理情報やトレーディング、決済トランザクションをリアルタイムに監査側のプラットフォームと共有することで、アンチ・マネーロンダリング対策や業務の効率化に寄与できます。その実装においても、監査側のAPIを金融機関が呼び出すことで、既存システムへの改修を最小限に抑え、データ連携を行うことが可能になります。このような技術は、レギュレーションのテクノロジー、すなわちRegTechと呼ばれています」

慎重な人は、クラウドにどうアプローチすべきか

　それにしても、パブリッククラウド利用に慎重な人たちの中には、セキュリティや可用性が重んじられ、規制も厳しい金融の世界で、どのように社内システムのクラウド移行などを積極的に進められるのか、納得できない人は多いはずだ。

　大久保氏は、そうした考えもよく分かるという。

　「しかし、それはほとんどの場合、『知らないから怖い』という漠然とした不安です。例えば、セキュリティに関しては、パブリッククラウドで提供されている仕組みを、社内でやってきたことと一つずつひも付けて考えていただくのがいいと思います。

　例えばAWSには、セキュリティ機能の一つにセキュリティグループがあり、ネットワークアクセス制御の仕組みが用意されています。セキュリティグループはファイアウォールに相当します。社内ネットワークでは、ファイアウォールを設定し、アプリケーション間通信も、プロトコルやIPアドレスで制限しているはずです。これと同じことをクラウドで実現するように、設計をすべきです。

　アカウントコントロールも大事です。ルートアカウントでさまざまな作業をしてしまうと、それを使わない限り動かなくなってしまいます。本格的な利用を進める前に、「開発」「検証」「本番」など環境別のアカウントなどを、設計しておく必要があります。

　セキュリティ対策などを考えることなく、そのままクラウドを使ってしまったがための失敗事例を聞くと、慎重な人は『やめておこうか』と考えてしまうかもしれません。ですが、パブリッククラウドに行くからといって、オンプレミスでやってきた設計がなくなるわけではないのです。初期費用として、設計コストが掛かることは事実です」

　社内システムのクラウド移行に関しては、コストの点でためらう人もいる。オンプレミスでの更改とパブリッククラウドへの移行の2つのケースでコストを試算すると、クラウドが必ずしも安くはならないからだ。

　「私は、オンプレミスとクラウドのコスト比較をする際、2回分のシステム更改を見込みます。大事なのはTCOですので。クラウドにいったん移行してしまえば、その後の運用にかかる費用は、大きく減少します」

　可用性については、「一瞬たりともダウンしてはいけない従来型のシステムは、クラウドに持っていくべきではありません。AWSではロードバランサで仮想マシンを自動起動する機能がありますが、これではタイムラグが生じます。一つのアイディアとしては、稼働可能な最小の仮想インスタンスで、別のVPCに予備のアプリケーションインスタンスを立ち上げておくことが考えられます。アプリケーションのライセンスコストの増加はありますが、ロードバランサのポーリング間隔に依存するものの、1秒以下で切り替えられるようになります」という。

海外には、AWSで動いている銀行も存在する

　大久保氏がネット銀行で周辺システムのAWSへの移行を進めたころ、同氏はパブリッククラウドについて、ITインフラ投資に関する無駄が防げ、資産として持たずに経費として処理でき、システム管理に関わるさまざまなコストが抑えられるといった、ITインフラの効率化が最大のメリットと考えていた。だが、今では、イノベーションの推進に不可欠だと考えているという。

　「コグニティブコンピューティングや機械学習のサービス、画像認識、量子コンピュータなど、オンプレミスでは導入が難しい機能も、使いたい分だけ使えばいいというのはとてつもないメリットです。そこまでいかずとも、モバイルアプリケーションサービスを、AWS Lambdaのようなサーバレスコンピューティングを活用して迅速に構築し、拡張性を気にせずに運用できます。モバイルの新サービスは需要を予測することが困難ですが、クラウドの場合、ヒットしなければやめればいいだけです」

　取引業務を対象としたAPI Gatewayのようなサービスの利用は、金融機関の中核業務をパブリッククラウド上で実行することを意味し、現行のガイドラインでは制約が生じてしまう。こうした点についても、働きかけを進めていく必要があると同氏は考えている。

　「日本の金融システムのガイドラインは有識者により十分な検討がなされており、慎重な面もありますが、消費者保護の観点からはその良さを残していくべきだと思います。金融機関はリスクをコントロールできる範囲で先端技術の活用を定める必要があります」。その上でイノベーションを殺さないように、高度な取り組みが求められていくだろうという。

　海外ではAWSを最大限に活用した、ユニークな金融サービスの例が出てきている、と大久保氏は指摘する。

　「ブラジルのNubankは、AWS上で全ての銀行業務を行っています。また、『Bank 2.0』『Bank 3.0』の提唱者が運営する米モバイル金融サービスMovenbankは、APIで銀行とつなぐことで、ホワイトラベルの銀行のような機能を提供しています。金融マーケットデータのAPIを管理するXigniteは、月間500億APIコールの処理を全てAWSで処理しています」

　日本発で金融イノベーションを起こすには、AWSのようなパブリッククラウドサービス自体だけでなく、パブリッククラウドを巡るエコシステムとの連携を必要としているようだ。