セキュリティ、仮想化、クラウド…情報システム部門の本音に迫る!
クラウド時代に求められる“情報システム部門の役割”
2012年 3月
セキュリティ、仮想化、クラウド…情報システム部門の本音に迫る!クラウド時代に求められる“情報システム部門の役割”

株式会社ゴルフダイジェスト・オンライン(GDO)
ビジネス基盤グループ システム部
部長 渡邉 信之 氏

 

国内・海外のゴルフ場がインターネットで24時間予約可能なゴルフ場予約サイトを中心にしたゴルフ場ビジネスをはじめ、ゴルフ用品販売などのリテールビジネス、広告などのメディアビジネスという3つの軸を事業の中核に据え、様々なゴルフ関連サービスを提供している株式会社ゴルフダイジェスト・オンライン(以下、GDO )。2011年にはゴルフ場への年間送客人数が340万人を超えるなど多くのゴルフ愛好者から親しまれる存在となっている。今回は、そんな同社で様々な開発プロジェクトを推進しているビジネス基盤グループ システム部 部長の渡邉信之氏にシステムの変遷やセキュリティのあり方、今後目指すべきインフラ像などについて伺った。

部長就任直後に起こった“SQLインジェクション”攻撃

Q:以前はどのようなお仕事をされていたのでしょうか。

A:2006年10月にGDOに入社しましたが、それ以前は金融系のシステムエンジニアで、今の業界とは対極にあるような“おカタい業界”にいました。COBOLプログラマーやプロジェクトの火消し役となるプロジェクトマネージャ(PM)を経験し、現在に至ります。GDOへ入社したきっかけは、私自身が唯一の趣味とも言えるゴルフに熱中していたことで、ゴルフ関連のシステムに携わってみたいと考えたからです。今の業界は以前の金融業界と比べるとサービスの可用性やセキュリティなど“ゆるい”面も多々あります。だからこそ、私のような人間がマッチしているのかなと思っています。

Q:2008年に起こったSQLインジェクション攻撃についてお聞かせいただけますか。

A:弊社のWebサイトがSQLインジェクション攻撃によって被害を受けたのが2008年8月のことで、私がシステム部の部長に就任後2か月後のこと。その対応は非常に大変だったのを思い出します。実際に発覚してから10日間Webサイトを停止せざるを得ませんでした。

Q:具体的に被った被害はどんなものでしたか?

A:ゴルフ場の予約入力をする際、郵便番号を入力すると自動的に住所を検索するマスタの部分が攻撃されました。結果として改ざんだけで済み、顧客情報の流出は避けられましたが、本当に流出していないかどうかの調査に膨大な時間が費やされ、調査が終わるまでに10日もかかってしまったのです。その事件以降も、アプリケーションに潜む脆弱性の改修に1年あまりを費やすことになり、新しいビジネスへの投資や拡張などを行うことができませんでした。

セキュリティとパフォーマンス改善に向けた仮想化への取り組み

Q:セキュリティ以外にも何かシステム上の課題はありましたか?

A:SQLインジェクションの被害に遭う前から、サーバのリクエスト処理に時間がかかっており、パフォーマンスは大きな課題となっていました。そんな中でセキュリティ被害に遭ったため、アプリケーション自体の修正も行うタイミングで、サーバの入れ替えも同時に検討しました。そこでチャレンジしたのが「仮想化」だったのです。

Q:利用者が増えてきたことがパフォーマンスに影響を与えていたのでしょうか。

A:もちろんそれもありますが、アプリケーションの作りにも課題はありました。そこで、ハードウェアのリースアップや償却がちょうど終わるタイミングと重なったことで、すべて入れ替える決断をしました。実際には2009年の6月に入れ替えましたが、トランザクションの処理スピードが向上したことで多くの方に利用してもらえる環境が整い、ビジネス拡大に寄与しました。ただ、脆弱性対応や仮想化への挑戦と同時並行で、J-SOXへの対応も行っており、難易度が高かったのを記憶しています。

Q:2009年ごろであれば仮想化への取り組みは先進的だったと思います。システムの仮想化は大変な作業でしたか?

A:もちろん最初は本当に仮想サーバの上で動かせるのか不安もありましたが、実際にはスムーズに移行できたと思っています。当時はラック11本に60台ぐらいのサーバが稼働していましたが、ラックの数を一気に3本まで減らすことができ、コストメリットが大きかったのが正直なところです。実際サーバが動かない場合に備えて、リリースの2週間前まで別のサーバを待機させていました。
ちなみに、仮想化において規模感はとても大事です。最低でもラックが7本以上はないとコストメリットが出ないというのが実感値です。

Q:パフォーマンス改善とセキュリティを解決するための仮想化でしたが、それ以外の選択肢は検討されましたか?

A:当時「クラウド」という言葉が登場し始めていましたが、日本ではまだホスティングの延長でした。それでも、経営陣からは「クラウドは選ばなくていいのか」みたいなことを言われたことも。もちろん検討はしましたが、正直コストパフォーマンスが悪く、結局3年で損益分岐点を迎えてしまう状況でした。当時はSLAなどもなく、サービスに対するコミットメントもありませんでしたので、結果として選択からはずしました。

Q:仮想化におけるセキュリティコンセプトはどのようなお考えで設計されましたか。

A:ざっくりいうと、DBサーバはすべて物理環境で動かしており、仮想化していません。セキュリティリスクはもちろんのこと、可用性を重視しているからです。ただ、仮想サーバ上でDBを動かすことのコストメリットは大きく、本当ならすべて仮想化したいのが本音です。

Q:仮想化は事業継続の観点からも注目されています。そのあたりの考慮については?

A:もちろんシステムとしてのDR(Disaster Recovery)は重要ですが、業務自体を整理することも大切です。事業継続については全社レベルで検討していくことが必要だと考えています。

新たな時代に求められるセキュリティ像

Q:SQLインジェクションの被害を経験してから、何かセキュリティに関して導入を検討しているものはありますか。

A:実は2011年7月に基幹系を含めてアプリケーションをすべて入れ替えたのですが、その際にはDBファイアウォールやWAF(Web Application Firewall)などを入れるかどうか真剣に悩みました。私個人としては導入したいのですが、現場が運用できないと判断しました。セキュリティ専任者を社員として確保することもできませんし、常にセキュリティの情報だけを収集してシステムに反映させていくという運用は現実的に難しいのが正直なところです。

Q:セキュリティ対策においてこれから重要になる部分はどのあたりだとお考えですか。

A:“情報の塊”となっているスマートフォンやタブレットにおける情報管理です。今まで決められてきたセキュリティでは、時代と運用のギャップが広がっており、例えば「CR-ROMは裁断する」なんていうポリシーはもはや現場に当てはまりません。Dropboxにデータを移してスマートフォンで閲覧する時代です。これまでとは違う別のアプローチが必要ではないでしょうか。

Q:現在は新たな仕組みに取り組んでいるとお聞きしていますが。

A:現在検討をしているのが、コミュニケーション基盤など社内ICTの更改です。これまで以上にコミュニケーション環境を充実させながら、オフィスに限らず仕事をする場所を選ばないような環境作りにチャレンジしていきたいと考えています。

新たに刷新したシステム概要と将来の展望

Q:さきほどお話に出た、2011年7月にシステムを刷新した経緯について教えてください。

A:もともとは、IFRSの対応も含めた財務会計の仕組みを新たに刷新することが目的でした。ただ、ちょうどそのころ創業10周年を迎えたことで、初めて中期経営計画を社外に向けて発表することになったのです。そこで各ビジネスユニットが3カ年計画を立てたところ、どのユニットからもシステム改変がテーマとして挙がってきました。そこで、「G10プロジェクト」と呼ばれるプロジェクトを立ち上げ、基幹系を含めたシステム全体の刷新を行うことになりました。

Q:具体的にはどんなシステムを構築したのですか。

A:基本的にはパッケージをベースにしたシステムを採用しています。財務会計や販売管理にSAPを導入し、会員システムやEコマースシステムにも市販のパッケージを採用しています。ただ、ゴルフ場予約システムはパッケージがないため、自前で開発しています。また、積年の課題となっていた各サービスのインターフェース部分は、すべてインターフェース定義書を作成し、EAIで“疎結合”させました。将来的にはサービス事業者との連携も考慮に入れ、マルチベンダ・マルチプラットフォームで構築しています。
特に凝ったのは、会員システムの部分です。以前は、会員登録する際に電話番号や住所を含めたすべての情報を一気に登録する必要がありましたが、単純にメールが欲しいだけの方やコミュニティだけを利用したい方もいらっしゃるはず。そこで、必要な時に必要な情報をその都度足していく「多段階型会員登録」というのを初めて実装しました。コミュニティサービスを利用するならハンドルネームだけは入れてもらう、といった登録方法です。

Q:今後はどのようなインフラを構築していく予定でしょうか。

A:数年前から個人的に考えているのが、「オフィスレス」という発想です。社員が一箇所に集まらなくてもコミュニケーションがとれ、業務がきちんと回せるというものは形にしていきたい。

Q:クラウドに対する考え方はいかがでしょうか。

A:もちろん、予約の仕組みなどサービス系と呼ばれている部分を完全にクラウド移行したいと考えています。正直に言えば、自社でシステムを保有するメリットはあまりないのではないでしょうか。SLAを結んでくれる事業者もたくさん登場しており、この2年ぐらいの間ですべてクラウド移行できればと考えています。その際には、セキュリティをどうするのかということは考えておかないといけません。ただ、我々が自前で持つよりはクラウド事業者やセントラルに見てくれる事業者さんが必ず登場するはずで、それらのセキュリティサービスを有効に活用したいと思っています。
そうなると、組織におけるシステム部門としての役割は大きく変わっています。ビジネス寄りにシフトしていくのではないかとにらんでおり、そのためにも2011年7月のリニューアルではあえてパッケージを採用し、保守などに人員やコストを割かない体制作りを行いました。おそらく2年ないし3年のうちに組織や役割というのも変わっていくだろうと思っています。

Q:やはり戦略的な役割が情報システム部門にも求められるわけですね。

A:昔は「システム部門をプロフィットセンター化する」といったことが話題になりましたが、いよいよそういう時期に差し掛かってきているのではないかと考えています。本格的に情報システム部門が戦略的に動く時代になっていくのではないでしょうか。

Q:最後に渡邉さんご自身がよくご覧になるWebサイトはありますか?

A:ニュースなどはもちろん日常的に拝見していますが、冒頭にお話しした通り、唯一の趣味がゴルフなもので関連のWebサイトはよく見ます。
手前味噌で大変恐縮ですが、ゴルフダイジェストオンラインのなかでは、ゴルフ&ライフスタイルマガジンとして展開している「GDO Golf Style」などがお勧めのコンテンツですね。

株式会社ゴルフダイジェスト・オンライン(GDO)
所在地 〒105-0001 東京都港区虎ノ門3-4-8
設立 平成5年4月
資本金 824百万円(2011年12月31日現在)
人員数 378名(2011年3月31日現在)※臨時雇用者数含
URL http://www.golfdigest.co.jp/company/index.html

【参考】

Copyright © 2004-2014 Macnica Networks Corp. All Rights Reserved.

上へ戻る