コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
金融サービス

移行事例パート 2: NCR と Opus がクラウドでカード管理の可用性と復元力を向上させた方法

2022年4月21日
Google Cloud Japan Team

※この投稿は米国時間 2022 年 4 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。

このブログは、NCR Corporation のカード管理ソリューションである Authentic Cards の Google Cloud への移行事例を取り上げたシリーズのパート 2 です。今回は、プロダクトの機能的および技術的機能を強化するためにアーキテクチャで使用される Google Cloud ソリューションについて説明します。

大企業がレガシー システムをクラウドに移行するのは大変であることを繰り返してお伝えすることから始めますが、多くの企業は、クラウドでデプロイすることで、パフォーマンス、スケーラビリティ、可用性の向上といったメリットを得ることができます。このブログでは、NCR と Opus Consulting Solutions が、Google Cloud で利用可能な機能を適切に選ぶことで、クラウド ソリューションをどのように設計したか詳しく説明します。

プロダクトとその高度なアーキテクチャについての詳細は、このブログシリーズのパート 1 でご覧いただけます。

適切なコンポーネントを選ぶことが重要な理由

https://storage.googleapis.com/gweb-cloudblog-publish/images/1_NCR__Opus.max-1100x1100.jpg

ソフトウェア プロダクトは、その機能の品質、セキュリティ、可用性、将来の拡張性、またその他多くの要因によって定義されます。最新のテクノロジーを使用して適切なプロダクトを構築することはその一つですが、ソリューションをクラウドにデプロイする際に主要な関係者の目的を念頭に置きながら、適切なコンポーネントを選択することは別の問題で、困難なタスクになる可能性があります。クラウドでプロダクトに適したアーキテクチャを構築しながら、いくつかの要因によって設計の決定が促されます。銀行業務やコンプライアンスから IT のデリバリと運用に至るまで、さまざまなチームが、テクノロジーを日々活用して管理する方法においてさまざまなニーズを抱えています。クラウド プロバイダは豊富なマネージド サービスを提供しているため、決定を下す際には、主要な関係者が、サービスの選択、メリット、関連するコストのバランスを考慮する必要があります。主に、クラウド コンポーネントはハードウェア、仮想化、ストレージ、ネットワークに分類され、ソリューションを設計する際には慎重な選択が必要です。  考慮が必要な主な要素は: 

  • 現在の業界基準と将来の傾向

  • プロダクトの技術と将来のロードマップ

  • 可用性、スケーラビリティ、リージョンの独立性

  • システムのセキュリティ、最新の脅威と軽減策

  • データ セキュリティとガバナンス

  • データストレージのニーズ

  • アーキテクチャとシステムの管理性

  • 契約、コマーシャル、サポート、SLA

クラウドの機能

NCR Authentic Cards は、Google Cloud の複数の個別のネイティブ コンポーネントとカスタム コンポーネントを組み合わせて構築されています。アーキテクチャ全体は、プロダクトのさまざまな側面を考慮して、高い精度で設計されています。このアーキテクチャには、セキュリティ ファーストのアプローチが採用され、セキュリティとリソース管理の向上のために Google Cloud が提供するいくつかのマネージドサービスが利用されています。Google Kubernetes EngineCloud SQL などの主要なインフラストラクチャ ソリューションは、NCR Authentic Cards のビジネス ロジックとデータをデプロイするために使用されます。一方、Cloud NATCloud Armor などのコンポーネントは、プロダクトのセキュリティ シールドを提供します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2_NCR__Opus.max-2000x2000.jpg

では、個々のコンポーネントについて詳しく見ていきましょう。

Virtual Private Cloud(VPC)

アーキテクチャの主要なコンポーネントで、プロダクト全体とその構成コンポーネントが存在してプレイできるプレイグラウンドとして機能します。これは、複数のリージョンにまたがるプライベート クラウド ネットワーク内のプロダクトを包含し、外部要素からセキュリティを確保できるようになります。VPC 内のコンポーネントは、プライベート IP のみを持つように構成されています。そのため、VPC 内からのみアクセスでき、外部からは見えなくなります。VPC 内のデータは転送中に暗号化されるため、プロダクトを通過するデータの安全性がさらに高まります。VPC のセキュリティは、VPC 内のコンポーネント間の通信を限定および制限する一連のファイアウォール ルールを適用することで、さらに強化されます。

Cloud NAT

この Google Cloud のマネージド サービスは、このアーキテクチャの主要な機能であり、プライベート IP を使用してゲートウェイの背後にあるコンポーネントへのアクセスを制限します。Cloud NAT は、単一のゲートウェイで VPC リージョン内のサブネットに対しネットワーク アドレス変換を可能にします。簡単に言うと、内部リソースとそのコンポーネントは、アップグレードなどで必要な場合に、送信インターネット接続を作成できます。システムの内部リソースのセキュリティを確保するために、このアーキテクチャのコンポーネントとして設計フェーズで慎重に選択されました。

Google Kubernetes Engine

Google Kubernetes Engine は、プロダクトのビジネス ロジックを含むサービスコードをホストします。ソフトウェア コードは、ランタイム環境やコードの実行に必要なライブラリなどの依存関係とともにコンテナにパッケージ化され、Google Kubernetes Engine の Pod にデプロイされます。このプロダクトは複数のマイクロサービスで構成され、ノードで実行される Pod にすべてデプロイされます(マシンと同等)。これにより、Google Kubernetes Engine は、需要に基づいてサービスをより多くの Pod にデプロイすることで、水平方向に自動スケーリングでき、アプリケーションはこれまでにない負荷やトラフィックの急増に対応できます。このコンポーネントを選択することで、リソースの効率的な使用、サポートおよびインフラストラクチャ管理のオーバーヘッドの軽減、自動デプロイなどのメリットを得ることができます。また Google Kubernetes Engine は、Namespace を使用したリージョン クラスタ内のアプリケーションのデプロイにも対応できます。リージョン クラスタは、ゾーン全体がダウンしている場合や問題がある場合でも、より高い可用性をサポートし、Namespace は マルチテナントのコスト最適化を可能にします。NCR と Opus の実装チームは、CI / CD パイプラインを構築して、GKE クラスタにデプロイされたプロダクトへの拡張機能とアップグレードの構築、テスト、デプロイを可能にしました。

Cloud SQL

NCR Authentic Cards は、リレーショナル データベースである Postgres を使用してデータを保存します。Cloud SQL では、パッチやアップデートの適用、バックアップの管理、レプリケーションの構成など、マネージド サービス データベースの他の利点を活用しながら、Postgres を選択できます。データベースは 2 つのゾーンに複製されるため、可用性が高くなります。ゾーンとリージョンの選択は構成可能で、お客様の地理的データ基準に基づいて行えます。また、データが暗号化されて Cloud SQL に保存されるため、プロダクトにセキュリティ レイヤが追加されます。アプリケーション コードは、SQL Auth プロキシを使用してデータベースに接続し、アプリケーション コードとデータベース間の接続を安全に保てるようにします。

Cloud Memorystore

NCR Authentic Cards の実際のプロダクト設計には、キャッシュを管理するための Redis コンポーネントが含まれていました。Google Cloud のアーキテクチャを設計する際に改訂され、Cloud Memorystore が Redis に代わる新しい Authentic Cards 領域に追加されました。Cloud Memorystore はマネージドサービスでもあり、プロダクトにキャッシュ機能を提供し、サービスの応答時間を短縮します。

Cloud Load Balancing

NCR Authentic Cards のサービスは、Google Cloud が提供する完全に分散されたソフトウェア定義のスケーラブルなマネージド サービスである Cloud Load Balancing を通じてお客様に公開されます。  Cloud Load Balancing は、サービスを利用するためにお客様から呼び出されるエニーキャスト外部 IP の背後にあるプロダクト全体をデプロイするのに役立ちました。NCR Authentic Cards は、この単一の IP の背後にあるフェイルオーバー、可用性、地理的なニーズに対応して、複数のリージョンにデプロイされます。また、プロダクトとそのリソースは、お客様に影響を与えることなく、必要に応じて自動スケーリングできます。Cloud Load Balancing は SSL オフロードもサポートしています。つまり、お客様からの受信 SSL トラフィックがロードバランサで終了し、内部サーバーにそのまま送信されないため、セキュリティのレイヤの追加につながります。

Cloud Armor

Cloud Armor は、Google Cloud のマネージド WAF(ウェブ アプリケーション ファイアウォール)サービスで、DDoS 防御の提供、セキュリティ ポリシーの適用、OWASP で特定されたシステムの主要なリスクの軽減を支援します。このコンポーネントは、NCR Authentic Cards の設計に追加され、プロダクトに次の 2 つの主要なセキュリティ機能を提供します。

  • 特定のリージョンからのユーザだけがサービスを使用できるようにするリージョン ベースの許可リスト。

  • 許可された IP ソースだけがサービスにアクセスできるようにするための IP アドレスの許可 / 拒否リストの構成。

Apigee

NCR Authentic Cards のアーキテクチャでは、外部トラフィックを処理するゲートウェイとして Apigee API 管理を使用します。また、Apigee はロードバランサを介してトラフィックをルーティングしますが、OAuth 2.0 API プロキシを使用して、レイヤで各トランザクションを個別に承認します。Apigee は充実した API ライフサイクル管理機能を備えており、進化、拡大し続けるカードサービスの統合エコシステムをサポートすると同時に、API プロダクトの収益化を可能にします。これにより、ソリューションでは社内外のシステムに新しいエンドポイントや幅広いコネクタが常時提供されます。Authentic Card API は Apigee の API プロキシにマッピングされているため、セキュリティやその他の要件に対しプロキシレベルでポリシーを定義できます。API プロキシに適用されるデフォルトのポリシーは、VerifyAccessToken で、すべての API のトークン認証を確実に行えるようにします。Authentic Cards の Apigee アーキテクチャを次の図に示します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3_NCR__Opus.max-2000x2000.jpg

コンポーネントのモニタリング

プロダクトの典型的なコンポーネントである NCR Authentic Cards のサポート、アラート、モニタリング システムについては、このブログシリーズの最終回で説明します。

NCR Authentic Cards のアーキテクチャによって強化された機能

設計で使用されているクラウド コンポーネントは、NCR Authentic Cards に次の機能を提供しました。

  • スケーラビリティと可用性

  • セキュリティ

  • 収益化機能を備えた API ライフサイクル管理

  • 地理的な独立性

ネイティブおよびカスタムのクラウド ソリューションを使用して適切なアーキテクチャを選択し、複雑なシステムを最新化することは困難です。NCR のプロダクトとドメインのエクスペリエンスを組み合わせ、Opus の特殊なクラウド開発リソースと統合することにより、Google Cloud で改善されたカード管理ソリューションを提供することができました。現在、NCR Authentic Cards は Google Cloud の検証済みプロダクトとなっており、そのサービスは金融機関がオンボーディングするとすぐに利用できます。

Opus Consulting について: 長年にわたりデジタル時代に対応する革新的な決済ソリューションやプロダクトを構築してきた Opus Consulting Solutions は、最前線でフィンテックや決済テクノロジーの未来を構築しています。Opus は、決済とフィンテックにおける深く習熟したテクノロジーと最高レベルの専門知識を組み合わせて、高い品質と価値を提供します。詳細: https://opusconsulting.com/contact/

NCR について: NCR Corporation は、卓越したカスタマー エクスペリエンスを提供するために必要なソフトウェア、ハードウェア、サービスを提供するグローバル エンタープライズ テクノロジー プロバイダです。NCR は、モバイル、オンライン、ATM、支店にわたってビジネスを変革し、調整しようとしている金融機関にとって信頼できるパートナーです。エンドツーエンドの自主インフラストラクチャを強化する機能を備えたセルフサービス バンキングを運用する革新的なソリューションを通じて、NCR ソリューションは共有サービスをつなげ、お客様とスタッフ両方の銀行業務の簡素化と最適化を支援します。それは、より広範な企業とフィンテックのエコシステムとの統合と革新にまで及びます。NCR は、顧客がデジタルおよび物理的な運用を橋渡しできるよう支援しているので、企業はいつでもどこでも消費者とつながることができます。


- Opus Consulting ソリューション アーキテクト Debashis Bhattacharyya 氏
- Google Cloud インフラストラクチャ担当カスタマー エンジニア Charles He
パートナー
移行事例: カード管理を Google Cloud で実現した NCR と Opus

主要なカード管理ソリューションを Google Cloud に移行して、アジリティとスケーラビリティを推進します。

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/27_-_Partners_TJbWqPw.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/keeta.max-700x700.jpg
Financial Services

Keeta が Spanner で 1 秒あたり 1,100 万件の金融トランザクションを処理

執筆者: Ty Schenk • 所要時間: 2 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/01_-_AI__Machine_Learning_H1ZyZG8.max-700x700.jpg
AI & Machine Learning

Google の Agent Development Kit と Gemini を使用して 3 ステップでマルチエージェント KYC ワークフローを構築

執筆者: Salomone D • 所要時間: 4 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_xmzqipO.max-700x700.png
Google Cloud

Google Cloud 、三菱 UFJ 銀行が新設するデジタルバンクの勘定系システム基盤に採用

執筆者: Google Cloud Japan Team • 所要時間: 1 分

https://storage.googleapis.com/gweb-cloudblog-publish/original_images/GCP_EMEA_107_Dach_Blog_illustration_v02.gif
AI & Machine Learning

SIGNAL IDUNA が生成 AI でカスタマー サービスを強化

執筆者: Anant Nawalgaria • 所要時間: 6 分