国内・海外旅行オンラインサイト「ena(イーナ)」などの開発・運営を手がけるエアプラス株式会社。同社はクレジットカード会員のデータ保護を目的とした国際的データセキュリティ評価基準「PCI DSS」のバージョン4.0への準拠にあたり、アマゾン ウェブ サービス(AWS)環境の技術対応支援をクラスメソッドに要請しました。クラスメソッドが提供した設計手順書に基づいて同社内にて環境構築を実施し、認定機関の審査を通過して無事準拠しました。プロジェクトについて、担当の石川さんと北澤さんにお話をうかがいました。
航空業界独自の発券方式への対応にPCI DSSへの準拠が必須
エアプラスは1989年(平成元年)に創業した旅行会社です。設立時から一貫して旅行商品のリテール販売を行ってきました。当初は対面販売が中心でしたが、ここ10数年前にオンライン販売に移行し、現在は自社運営の国内・海外旅行オンラインサイト「ena(イーナ)」、「W.A.S.ワールドエアシステム」を展開して、航空券・ホテル・レンタカー・JR・保険・それらを組み合わせたダイナミックパッケージを提供しています。また、自社サイトの構築・運用で得た知見をもとに、他の旅行会社にもオンライン販売システムをSaaS型で提供しています。
2007年にローンチした自社ECサイトの「ena(イーナ)」は、2016年にオンプレミス環境で稼働していたサーバー群をクラスメソッドの支援を受けてすべてAWSに移行し、パフォーマンスのチューニングやアーキテクチャの見直しを行いました。その後も、他の旅行サイトをAWS上に移行しており、現在は複数サイトを運営しています。
参考:エアプラス オンライン海外旅行サイトのAWS化
https://classmethod.jp/cases/ena-travel/
「オンプレミス環境はアクセスの増加に弱く、運用保守に負荷がかかることから、スケーラブルなクラウドに移行しました。2016年当時は社内にクラウドの知識がなかったため、ビジネスパートナーのシステム開発会社から紹介されたAWSを採用し、クラスメソッドに移行作業をお願いしました。現在はAWSを使って、複数のECサイトの24時間365日・安定稼働を実現しています」(石川さん)
同社のようにCCCF(Credit Card Charge Form)発券を採用しているECサイトには、クレジットカード情報および取引情報を保護するためにPCIセキュリティ基準審議会(PCISSC)が制定した「PCI DSS」への準拠が求められ、認証機関(QSA)から年に1回の監査を受ける必要があります。同社は2018年に初めてPCI DSS v3.2.1への準拠対応を実施し、年1回の更新を続けてきました。「当社のサイトでは、航空券代金や空港施設使用料などの精算をお客様と航空会社との直接精算とするCCCF発券方式を採用しています。そのため、PCI DSS v3.2.1準拠が必須となっており、自社で対応を実施しました」(北澤さん)
PCI DSS v4.0へのバージョンアップにあたりAWS環境の技術支援をクラスメソッドに要請
その後、PCI DSSの最新版であるv4.0が発表され、2024年3月末で現行のv3.2.1が終了することから、同社もv4.0への準拠対応が求められました。しかし、2018年当時、v3.2.1への準拠に対応したメイン担当者はすでに離職していました。現有メンバーで毎年の更新作業は対応してきたものの、初めてのメジャーバージョンアップに対して、当時の担当者から引き継いだ情報だけでは対応が困難でした。
そこで、まずは外部のコンサルティング会社にv3.2.1の既存環境と、v4.0の対応に必要な環境のギャップ分析を依頼し、それぞれの違いを明確化しました。バージョンアップにより、セキュリティ基準が従来と比べて厳しくなる中、システムのプログラム修正で対応するのではなく、既存のAWS環境を改善して対応できるとコンサルタントからアドバイスを受けたことから、AWSを得意とするクラスメソッドに技術対応支援を要請しました。
クラスメソッドが作成した手順書にもとづき自社で環境構築や設定変更を実施
クラスメソッドへの支援要請後、2024年6月から本格的な対応をスタートし、9月で完了しました。対応のステップとして、まずはPCI DSSの監査機関(QSA)からの指摘事項をもとに、AWS環境における対応方法をクラスメソッドと検討しました。その後、既存環境のセキュリティ設定や権限を見直したうえで、クラスメソッドから設計書や手順書の提供を受け、実際の環境構築や設定変更などの作業は石川さんを中心に同社で対応しました。
「AWSのサービス導入や各種エージェントのインストールなどに関して、クラスメソッドに作成をいただいた手順書に従って対応するだけで、AWSに関する詳しい知識がなくても不安を覚えることなく進められました。途中で通信要件の見直しがあり、新たな課題が発生した際も、その都度相談に乗っていただき、提案された方法に従って対応したことで解決できました」(石川さん)v4.0に準拠する対象サイトは、自社運営の2サイトの他、同社が外部の旅行代理店向けに提供しているサイトを併せたサイト群で、AWSのサービスを用いた改善対策は以下のとおりです。
まずは運用改善ツールのAWS Systems Managerを活用し、管理を効率化しました。権限管理については、従来から利用していたAWS IAMの設定を見直し、より厳密な制御を実現しています。広い権限を許容していたリソースに関しては必要最小限に絞り込み、より厳格な制御を実現しています。
その他にもAmazon RDSやApplication Load Balancer、Amazon S3、Amazon EC2などの通信制御を最適化し、さらに不要なリソースを削除して、環境の複雑化防止とコストカットを実施しています。今後の運用に向けて、可能な限り命名規則を統一し、可視性の向上を図っています。
プロジェクトでは、クラスメソッドが同社にAWSサービスの概要を説明し、PCI DSSの要件を一緒に読み合わせながら進めました。その際、改善に着手する前に技術ブログ(DevelopersIO)の記事を提示し、事前にナレッジを共有したことで、スムーズに改善実施が進みました。クラスメソッドとのプロジェクトについて石川さんは「楽しく仕事ができた」と振り返ります。
「私たちの要件を熟知し、依頼したことに対しても素早く対応いただけるので、コミュニケーションが非常にスムーズでした。わからないことを質問した時も細かく教えていただき、私自身も勉強になりました」(石川さん)
認定機関の審査を通過して準拠を完了し、事業継続性を確保
PCI DSS v4.0への準拠対応実施後、認定機関(QSA)の審査を通過して準拠完了となりました。
今後については、継続的な監査に向けてPCI DSSのアップデートを継続していく予定です。それ以外では、ツール統合によるコールセンター業務の効率化に取り組んでおり、石川さんは「クラスメソッドには引き続き協力をお願いしたい」と話しています。
また、デジタル化が加速する旅行業界ではIT環境の強化が課題となっており、同社のビジネス全般に関してもクラスメソッドのノウハウ提供に期待を寄せています。
「当社は祖業の旅行業の他、観光業界向けのソリューション事業を展開し、Web上の予約販売システムや、業者間取引におけるキャッシュレス化ソリューションなど、さまざまなツールを提供しています。煩雑な手配業務が多い観光業界では、オペレーションを効率化するサービス開発や、AIを活用した生産性の向上などに期待が寄せられています。クラスメソッドとはソリューションビジネスのパートナーとして、観光業界に向けて有意義な提案を展開していきたいと考えています」(北澤さん)
クラスメソッドは、次世代型サービスの構築を目指してチャレンジを続けるエアプラスのビジネスを、引き続き支援してまいります。
