安心して泊まれる13万室、ホテルチェーンのデジタル・セキュリティ戦略

日本国内外に981ホテル・13万室と、日本最大級のホテルチェーンを展開するアパグループは、デジタルトランスフォーメーションにも注力している。特に宿泊客向けのモバイルアプリ「アパアプリ」が人気だ。

アパグループでは、ホテル利用時の3つの手続き「予約」「チェックイン」「チェックアウト」を、「非接触」「待たない」「並ばない」で済ませられるのが特長だ。お気に入りのホテルを簡単に予約できるアパアプリの「ワンステップ予約」、フロント脇の1秒チェックイン機にアパアプリのQRコードをかざすだけで完了する「1秒チェックイン」、ルームキーを所定のボックス（エクスプレスチェックアウトポスト）へ投入するだけの「1秒チェックアウト」である。このストレスフリーなアパトリプルワンシステムは非常に好評で宿泊客の約8割が活用している。

また滞在者向けのアプリ「APA Stay Here」は、フロントへのリクエストをアプリでおこなえる。コンシェルジュとして働くAIチャットボットも搭載されており、フロントへ問い合わせる煩わしさを省けるため利用者が多いという。

「初期のホテル業界のアプリは、単なるWeb予約サイトの焼き直しばかりでした。私たちは後発ですが、スマートフォンでの利用を前提に、お客さまの利便性を徹底的に追求する形で開発したアプリで、お客様にも大変好評です。今では滞在時のサービス利用やチェックアウト後のポイント管理など、あらゆる顧客サービスがアプリで簡単に完結できるようになっています」と、アパリゾート株式会社執行役員兼アパグループ株式会社IT事業部長の濱本清氏は言う。

またアパホテルでは、顧客サービスだけでなく、清掃やフロントなどのホテル業務においてもモバイルアプリを活用している。清掃状況のチェックや忘れ物の管理、台帳への記帳など、従来は紙の書類で運用していた業務をアプリ化し、バックエンドの管理系システムとAPIで連携させている。アナログな業務で負荷も高かったが、今はデジタル化で効率化につながっているとのことだ。

世界中から多様な宿泊客を受け入れるホテル業界において、ITサービスのセキュリティは非常に重要な課題の1つだ。サイバー攻撃は日に日に高度化・激化しており、個人情報をどのように守るかという視点が重要視されている。アパグループでも、Akamaiのサービスを利用してDDoS対策を講じるなど、時代の変遷に合わせてセキュリティ対策の強化に努めてきた。

しかし、上述のようなデジタル戦略の成功により、アプリや会社間連携で利用する「API」という新たなアタックサーフェス（攻撃対象領域）の存在が浮上してきた。近年はホテル運営のためのサービスが多様化・分散化して、さまざまなシステムや外部サービスと連携するため、APIの数も重要度も増し、もはやインフラの1つとなったためだ。またAPIを狙うサイバー攻撃も増えており、適切な保護を講じる必要が生じていた。

API通信のログは取得していたが、あまりに大量なため、精査には大きな負担がかかり、人間の手で攻撃の兆候を発見することは不可能だった。従来からセキュリティ組織の体制強化は行ってきたが、個人に求められることは増え続けている。抜本的なAPIのセキュリティ強化を図り、「利用客はもちろん、万が一インシデントが起きた時に矢面に立つ、ホテルの従業員も守りたい」というのが濱本氏らの願いだった。

「やはりAPIの可視化が重要なポイントでした。ただログを見やすくするのではなく、API通信に精通したセキュリティ専門家の目で見るべきポイントを整理してくれるという新たな視点が必要でした。私たちがポイントを具体的に把握できれば、アプリやAPIを開発するベンダーと連携しやすいというメリットもあります」と濱本氏は述べ、将来的なサービス・API拡張を見据えて、専門性の高いセキュリティソリューションとして「Akamai API Security」を選定したと振り返った。

アパグループでは、従来からWAFやDDoS対策などAkamaiのセキュリティサービスを活用しており、セキュリティ技術やサポートの信頼性を高く評価していた。そしてAPI Securityの決め手となったのは、単なるログの可視化・分析だけでなく、必要に応じて既存のセキュリティサービスと連携して攻撃等をブロックし、セキュリティ対策を総合的に強化できる点にあった。

「サポートもAkamaiの魅力の1つです。セキュリティは地味な業務ですし、詳細を理解できるスタッフも希少です。Akamaiはわからないことをしっかり教えてくれますし、攻撃への対処などでは参謀的な役割も担ってくれますので、迅速な課題解決が可能になります。特にAPI  Securityのワークショップは攻撃者の視点を体験できて大きな学びとなり、セキュリティに興味を持つスタッフが増えたのは大きな効果ですね。」（濱本氏）

API Securityの導入によって、これまで認識していなかった攻撃の兆候などに気づけるようになったことが、最大の導入効果の1つだ。

例えば「404」は、Webサービスではよくあるエラーとして無視されがちだ。しかし、作り込まれたスマートフォンのネイティブアプリからのリクエストで発生するのは稀であり、もし404が増えていれば攻撃者がAPIの脆弱性など何らかの調査を行った可能性がある。API Securityを用いれば、どのような理由で404エラーが発生したのかまで可視化し、攻撃の兆候を掴むことができるのだ。

またAPI Security による対策は、ベンダーによる定期的な脆弱性診断サービスと比較されることも多いが、「対策は問題なし（侵入試験に失敗）」という結果が出ると「逆にモヤモヤしてしまう」（濱本氏）とのことだ。API Securityで可視化すれば、どこまで試験官の目が届いていたのか、危険なポイントはなかったかという点を、モニタリング側の視点から検証できるというメリットが大きい。膨大なログを追うことが難しかったという運用の課題も、API Securityによって解決された。ログを可視化する技術や製品は数多いが、「本当に見たいところを見えるようにしてくれるものは少ない」と濱本氏は指摘し、業務効率化につながったと評価した。

「API Securityの画面を見ていると、実にさまざまな情報がAPIを通じてやり取りされているのだと実感できます。APIは意識しにくいところもありますが、ここを守っていかなければならないのだと、現場でも意識できるようになりました。APIのセキュリティ確保は難しい取り組みですが、Akamai API SecurityのUIはわかりやすく作り込まれているので、ハードルは下がっていると感じますね」（濱本氏）

さらに、APIのセキュリティ確保には「ゼロトラスト・アーキテクチャ」の考えも重要だという。旅行代理店など、ビジネスパートナーのシステムとの連携で利用する“非公開”のAPIは、一見安全性が高そうに見えるが、いったんパートナー企業のネットワーク内部へ侵入されれば、攻撃のエントリーポイントとして悪用される可能性がある。「どこから攻撃を受けたとしても、即座に可視化し、大切な情報資産と当社のビジネス、そしてお客様を守れるような仕組みが欠かせません。」（濱本氏）

アパグループでは、「アパアプリ」や「APA Stay Here」のさらなる改善に努め、今後もホテルサービスを充実していく考えだ。「安心して利用できるよう、APIセキュリティにとどまらず必要なセキュリティ強化を常に意識し、運用を続けていきたいと思います。Akamaiはトータルセキュリティを提供できるプロフェッショナルとして、非常に信頼しています。今後もサイバー攻撃のトレンドをいち早く察知して、迅速なサービスとアドバイスの提供を継続していただくよう期待しています」（濱本氏）

1971年に石川県で創業したアパグループは、注文住宅の建設から事業をスタート。戸建分譲やマンション開発を経て、ホテル運営・都市開発と多角的な事業体へと発展している。建築計画を含めて13万8,054室を展開する国内最大級のホテルチェーンであり、北米を中心とした海外展開も積極的に推進している。50年以上にわたって安定的な成長を続けており、デジタルを活用した顧客サービスの向上にも注力し、独自のモバイルアプリやチェックインシステムなどでホテル業界をリードしている