ANZ Bank がセキュリティとコンプライアンスを確保した API 戦略を実行するために Apigee を活用

※この投稿は米国時間 2022 年 12 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。

ANZ Bank は、オーストラリアの上位 4 銀行の一つであり、時価総額でニュージーランド最大の銀行です。ビクトリア州メルボルンに本社を置き、オーストラリア、ニュージーランド、アジア、太平洋、ヨーロッパ、アメリカ、中東の 32 以上の市場で事業を展開しています。当行の決済チームはあらゆるタイプの決済取引を扱い、小売業者、機関、海外の顧客に対して非常に安全でミッション クリティカルな決済サービスを提供しています。中核的な決済プラットフォームはマイクロサービス アーキテクチャに基づいており、継続的な決済額の増加、業界のサービスレベル契約（SLA）、複雑な決済オーケストレーションなど、個別の決済処理要件に対応しています。API プラットフォームは API を活用して、決済オーケストレーション レイヤの下、高い復元力とスケーラビリティ、そしてセキュリティ制御の重視を必要とする特定のビジネス機能を実行しています。

テクノロジー環境の簡素化

ANZ のミッションは、信頼できる決済サービスを通じて、顧客の経済的な健全性と持続可能性を向上させることです。過去 12 か月間にわたり、当行はテクノロジー環境を簡素化し、自由に使える時間を増やすことで、顧客をより重視した銀行サービスの実装に集中できるよう努めてきました。当行は、自行の API ファースト戦略に沿ったものでありながら、高いパフォーマンス、セキュリティ、規制基準も維持できる API 管理ソリューションを必要としていました。

必要としていた具体的なソリューションは以下のとおりです。

• 当行プラットフォームとのチャネルのやり取りの簡素化

• デベロッパーのエクスペリエンスの向上、セルフサービスの実現

• 復元力の高いフォールト トレランスの確保

• 決済 API のセキュリティ体制の改善

• 内部および外部の決済利用者の両方に対して、API ファーストのデジタル イネーブルメントを実現

• 持続可能な API プログラムの成長を確かなものにする、スケーラブルで透明性の高い料金モデルの設定

セキュリティとコンプライアンスを特段に重視

当行のセキュリティおよび規制コンプライアンス基準を満たすには、API ソリューションが次のような機能を提供する必要があります。

• API リクエストに対する、大まかな認証ときめ細かな認証、およびドメイン固有の利用資格の提供

• チャネルの性質に基づいた API のバンドル

• 確立された ID プロバイダとの簡単なインテグレーション

• 信頼できるアップストリーム システムとダウンストリーム システムを接続するためのパターンの確立

• エンタープライズ セキュリティ基準に準拠した、業界基準の OAuth 2.0 認証プロトコルへの対応

他の API 管理ソリューションやゲートウェイと比較して Apigee を検討した結果、Apigee が当行のニーズに最適であると判断しました。Apigee は当行のミッション クリティカルな要件をすべて満たしていただけでなく、確実に使いやすく、機能が完全に揃っており、複数のコーディング言語にも対応していました。

デベロッパーのスムーズなオンボーディング、プロセスとトラブルシューティングを実現   

Apigee を利用することで、デベロッパーのオンボーディングが大幅に改善され、知識の伝達とスキルアップに伴う面倒な手順が削減されました。このプラットフォームはデベロッパーにとって使い勝手がよく、使用方法を確認するためのリソースとして優れたドキュメントと動画が用意されています。これらのリソースは、特定のプロセスを実行し、必要に応じてトラブルシューティングを行う方法について明確なガイダンスを提供してくれます。   

全体として、Apigee は API の公開と使用を効率的に管理するうえで必要となる機能を提供してくれました。現在は、当行のトランザクション データベースへの接続を通じた決済を可能にする 2 つの API と、決済サービス プラットフォーム チームのサポート サービスを可能にする他の API を含む、18 の API を本番環境で運用しています。

当行のエンジニアとテスターは、インターフェースと Apigee API Management を使用してプロキシを簡単にデプロイおよびテストできることに気づきました。さらに、すぐに使用できるポリシーにより、複雑さの度合いがさまざまなプロキシを、きめ細やかなアクセス制御を通じて処理および構築できています。こうしたポリシーにより、セキュリティの制御、トラフィックの管理、変換の仲介、スクリプトによるカスタム機能の実装が可能になっています。

今では、利用資格に基づくきめ細かなアクセス制御要件を実装し、新規顧客をクラウドにオンボーディングすることで、決済チャネルのオンボーディングを合理化できるようになりました。Apigee を利用して、当行の他の API 管理ツールとも統合を図っており、デベロッパー ポータルを構築することで API プロバイダと消費者向けのセルフサービスを部分的に実現しています。

Apigee のおかげで、当行は分散型の API チームモデルの採用に向けた良好な体制を敷くことができています。このモデルにより、決済内外のさまざまなチームが API を作成し、近い将来、API 中心のモデルの完全な運用を実現できることが見込まれています。これは、ANZ がよりアジャイルで適応性の高いテクノロジー組織になれるよう支援するために設計された、当行のより広範なクラウドおよび API ファースト戦略の重要な要素です。適切な要素を配置することで、ANZ は従業員や顧客に好まれる機会と提案を生み出すことができ、最終的には、オーストラリア、ニュージーランド、および国際市場全体でそのビジョンを実現できることでしょう。