Live Oak Bankの自社開発テクノロジーは大きな差別化要因
Live Oak Bankは、多くの点でほとんどの銀行と異なります。 インターネットバンクとしてスタートしたLive Oakは、現在も実店舗を持たずに営業しています。 同行は中小企業に焦点をあてており、獣医学診療、薬学、農業、ヘルスケアなど、20以上の特定分野の専門知識を有しています。 競合他社とは異なり、Live Oakの銀行家たちは、顧客が顧客自身のビジネスを運営し、成功するのを支援することに深く関わっています。 そのパートナーシップアプローチにより、ローンのデフォルト率は1%以下となり、業界平均の3%をはるかに下回っています。
同行は当初からクラウドを取り入れていました。 従来のデータセンターベースの銀行プラットフォーム上でビジネスを構築するというのではなくむしろ、Live Oakは独自のソフトウェアを開発しました。 同社のテクノロジーの一部を、新しいソフトウェア部門として分社化しました。 これらのフィンテック企業の多くは、今もLive Oak Bankと提携して、クラウド内でAPI駆動形コアを構築しています。 クラウドテクノロジーは、Live Oakのすべての活動の中心です。
Thomas Hill氏は、6年前にCIOとしてLive Oak Bankに入行しました。 同行が成長し、自社開発のテクノロジーポートフォリオが拡大されたとき、ITとセキュリティの役割を分ける必要性が出てきたため、HillはCISOに就任しました。 「当行のビジネスは迅速でリアルタイムなビジネスでありたい。また光の速さで動き、変化できるビジネスでありたいと思っています」とHill氏は述べています。 「私の仕事は、すべての規制上の制約の範囲内で、安全にそれを行えるようにすることです。」
邪魔になることなくDevOpsの力になる
自社でソフトウェアを開発する企業としての伝統を受け継ぎ、DevOpsチームは大胆かつ革新的であることを奨励しています。 従来のセキュリティリーダーは、あらゆるステップで、スピードを落としてセキュリティを考慮することを要求することで、DevOpsの妨げになる可能性があります。 しかし、Hill氏は開発チームの妨げになることを拒みます。 「開発者に制約を与えるのは一番避けたいことです」と彼は述べています。 「既成概念にとらわれず、新しいものを生み出してもらいたいので、責任を持って、必要とするものをひねり出すパワーを提供しています。」
Hill氏によると、「昔は、文字通り3ヶ月前のことですが、月に1回は環境をスキャンしていた」ということです。 「内心私は、開発者が環境全体を構築、新しいスタックを構築するスクリプトをスピンオフし、テストすることを始めるのではと心配していました。彼らは、1つの設定ミスで、そのすべてをインターネット上に公開してしまうかもしれない。それを検知する必要があるのですが、月に一度のスキャンではできませんでした。リアルタイムで作業をするときは、すべてをリアルタイムで確認する必要があるのです」
そこで登場したのがOrcaです。 「IPアドレスを持ち、アクセス可能で、我々が知っているデバイスだけではなく、環境全体を見ることができるようにしたいのです」とHill氏は述べます。 「開発者には革新的な力を提供したいが、運用に影響を与えずにリアルタイムに近い形でスキャンする必要があるため、Orcaは当行にとって素晴らしいソリューションです。」
「環境全体を見渡し、それを傍らに完全にオフラインでスキャンを行うため、ITインフラチームも喜んでいます。このプロセスをサポートするために、エージェントをインストールするようなことは何も要求していません」とHill氏は述べます。
「Orcaは、5分から10分以内に可視性が得られると言いましたが、『ありえない』と思いました。でも私は間違っていました。本当にやってのけただけでなく、SideScanningは開発者が取り組んでいる作業に一切影響を与えません。
Thomas Hill
k最高情報セキュリティ 責任者
Orcaは、セキュリティツールボックス内で、いくつかのツールの働きをします
Hill氏のチームは、Orcaを使用してPoCを行い、数日後にはその有用性を実感しました。 セキュリティチームに提供される可視性は、他のツールが提供できるものとは異なります。デバイスにエージェントがインストールされている場合でも同様です。 「私は、どのような運用や生産現場へのアクセスも中断させないよう、オフラインのやり方でクラウド全体の可視性を得ることの重要性を軽視することはできません。OrcaのSideScanning™方法は、本当に革新的です」とHill氏は述べています。 「当社のITグループとの摩擦がなくなりました。」
「セキュリティ担当者にとって最も重要なことは、適切な環境に適切なコントロールを拡張するためにそこにあるものを知ることです。Orcaは、その完全な可視性を提供してくれるので、どこに焦点をあてるべきかがわかります」
Thomas Hill
k最高情報セキュリティ 責任者
Live Oakは、業界をリードする従来の脆弱性スキャナーをクラウド評価に使用していました。 Hill氏は、Orcaは面倒なエージェントを必要とせず、クラウドアセットをスキャンする以上に完全な仕事をすることをわかっています。 「エージェントベースのツールを実行するベストプラクティスは、月1回です。私はスキャンの間隔をそんなに開けることに対して気が進みません」とHill氏は述べています。 Orcaを使用すれば、本番に影響を与えることなく、毎日実行することができます。
「Orcaは単なる脆弱性スキャンよりもはるかに多くの内容を実行するため、複数のワンオフソリューションをOrcaに置き換えることを計画しています。あるものはデータ損失防止システムを検索します。あるものはウイルススキャンを行います。あるものはインベントリを作成します。Orcaは時間とお金の両方を節約しながら、そのすべてを実行します」
Thomas Hill
k最高情報セキュリティ 責任者
Orcaは、金融機関の連邦政府規制へのコンプライアンスを促進
Live Oak Bankには、広大なAWSのエステートがあります。 Hill氏によると、12以上の組織があり、それぞれが独自のAWSのミニデータセンターです。 さらに、銀行には、AWSとAzureの両方を使用するフィンテックパートナーがあり、Live Oakのシステムが相互に接続しています。
特許銀行として、Live Oakは、データのプライバシーとセキュリティの規制を遵守する必要があります。 ここでは、FDICは連邦金融機関審査評議会(FFIEC)のメンバーとして、金融サービス分野におけるクラウドコンピューティングサービスの利用とセキュリティリスク管理の原則について述べた声明を発表しました。 「FDICの声明書簡は、今日の単なるガイダンスですが、近いうちに要件になると考えています」とHill氏は述べています。 「Orcaは、銀行として非常に重要であるクラウド環境のセキュリティ状態を伝えるのに役立ちます。当行の企業リスクグループは、このニーズを満たすためにOrcaのようなツールを所有することが非常に有益であると考えています」
財務データを管理する規制要件により、Live OakはOrca Podと呼ばれるOrca SecurityのハイブリッドSaaSバージョンを使用しています。 これにより銀行は、Orcaにメタデータだけを転送するだけで、独自の環境にデータを保持できます。
同僚からOrcaについて聞かれたら、私は「クラウドを利用している、あるいはクラウドを検討しているのであれば、Orcaのように積極的な能力を与えてくれるツールが必要です。それなしでは、単なる推測にすぎません」と伝えます。
Nir Rothenberg
情報セキュリティ最高責任者
