ケーススタディ矢印アイコン
大手資産運用会社がレガシー・リスクを戦略的アドバンテージに変えた方法

大手資産運用会社がレガシー・リスクを戦略的アドバンテージに変えた方法

金融機関は独自の制約条件下で運営されている:厳格な規制、受託者責任、そして業務安定性の絶対的要件である。これらの制約は、特に広く利用されているオープンソースフレームワークがサポート終了を迎える際に、現代のソフトウェアライフサイクルの現実と衝突することが多い。

本事例研究では、サンラム・グループの子会社であり、主要な資産運用会社であるサンラム・プライベート・ウェルスが、終息段階AngularJS によって生じたセキュリティおよびコンプライアンス上のリスクを、業務に支障をきたすような全面的な書き換えを強制することなく、どのように対処したかを検証する。

課題:ミッションクリティカルなアプリケーションにおける終末期フレームワーク

サンラム・プライベート・ウェルスは、重要な顧客対応と内部業務プロセスを支える長年にわたるAngularJS に依存していた。このアプリケーションは安定しており、十分に理解され、日常業務に深く組み込まれていた。

しかし、定期的なセキュリティ評価で重大な問題が判明した:AngularJS サポート終了AngularJS

これにより、いくつかの差し迫ったリスクが生じた:

  • フレームワークのサポート終了により、今後のセキュリティパッチは提供されません
  • 南アフリカ金融規制に基づく規制上のエクスポージャー
  • クライアントデータのリスク、高純資産層の機密情報がアプリケーションを通過したため

サンラム・プライベート・ウェルスが指摘したように、アプリケーションは完璧に機能していたが、セキュリティの観点からは、もはやリスク要因となっていた。

即時移住が選択肢になかった理由

サンラム・プライベート・ウェルスは、終末期ソフトウェアに対する標準的な対応策を評価した:

  • アプリケーションの完全な書き換え
    高コスト、12~18ヶ月の期間、およびクライアントサービスへの許容できない混乱
  • リスクを受け入れる
    規制対象の受託者組織には不適切
  • 橋渡しソリューションを見つける
    運用への影響なしにセキュリティリスクを排除する方法

資産運用会社にとって、長期にわたる不安定状態や急ごしらえの変更は受け入れがたい。同社は継続性を損なうことなく、セキュリティ対策が必要だった。

解決策:AngularJSに対する継続的なセキュリティサポート

利用可能な選択肢を評価した結果、サンラム・プライベート・ウェルスは Never-Ending Support (NES) を採用し、サポート終了AngularJS アプリケーションのセキュリティを確保しました。

目標は明確だった:

  • 直ちにセキュリティ上の危険を排除する
  • 規制遵守を維持する
  • クライアントの業務を中断なく維持する
  • 計画的かつ戦略的な近代化のための時間を稼ぐ

このアプローチは、金融機関がリスクを管理する方法と一致していた。すなわち、既知の脅威を軽減しつつ、柔軟性を維持するという方法である。

実装:サービスを中断せずにアプリケーションを保護する

オンボーディング前に、サンラム・プライベート・ウェルスは非本番環境においてアプリケーションをAngularJS .5から1.8へアップグレードし、互換性を確保するとともに移行リスクを最小限に抑えました。

「ネバーエンディングサポート」への移行は以下のように実施されました:

  • 生産停止時間なし
  • クライアントへの影響なし
  • 運用上の混乱なし

オンボーディング中に、追加のAngularJS 特定されました。HeroDevsはこれらのライブラリへの対応範囲を拡大し、コアフレームワークのサポートだけでなく、フルスタックのセキュリティを確保しました。

結果:リスク排除、安定性維持

結果は即座に現れ、測定可能であった:

  • 100%のフレームワーク脆弱性修正
  • 内部セキュリティポリシーへの完全な準拠
  • 業務の停止なし
  • 監査信頼性の回復

セキュリティ対策を超えて、この取り組みは戦略的価値をもたらした。差し迫ったリスクに対処したことで、サンラム・プライベート・ウェルスは、プレッシャー下ではなく、慎重に長期的な移行計画を立案する能力を獲得した。

同社がまとめたように、この解決策は安心感と、責任を持って近代化を進めるために必要な余裕をもたらした。

金融機関のための教訓

この事例は、資産運用会社や銀行が、規制の緩い組織とは異なる方法で、寿命を迎えたソフトウェアに対処する方法を浮き彫りにしている:

  • 安定性は近代化と同じくらい重要である
  • サポート対象外のソフトウェアは、単なる技術的問題ではなく、ガバナンス上の問題である
  • セキュリティ上の脆弱性は、たとえアップグレードが長期的なものであっても、直ちに修正されなければならない。
  • 専門的な提携関係は、新たなリスクを生み出すことなく既存のリスクを軽減できる

受託機関にとって、技術に関する意思決定は信頼の延長である。

重要なポイント

オープンソースソフトウェアの終末期は、必ずしも危機になる必要はない。

サンラム・プライベート・ウェルスは、継続的なセキュリティ支援により金融機関が以下を実現できることを実証しています:

  • サポートされていないフレームワークのセキュリティ確保
  • 規制遵守を維持する
  • クライアントデータを保護する
  • 自らのタイムラインで近代化する

このアプローチにより、レガシーリスクは緊急対応ではなく、管理された防御可能な戦略へと転換される。

全文を読む

このブログ記事は、完全なケーススタディからの主要な知見を要約したものです。
より深い分析、データ、実例については、完全なレポートをダウンロードしてください。

ケーススタディのダウンロード
PDFダウンロード