株式会社出前館

日本最大級のフードデリバリーサービス「出前館」を運営

株式会社出前館は、日本最大級のオンラインフードデリバリーサービス「出前館」ほか、配達代行サービス「シェアリングデリバリー」、飲食店の共同仕入れサービス「仕入館」などのサービスを提供している。昨今の生活スタイルの変化によって目覚ましい成長を続けている業界の中で、同社はかつてないスピード感で事業を成長させ、業績を大きく拡大してきた。同社は「飲食店が大切につくった料理をお客様へお届けするまで責任を持つ」というスタンスのもと、激しい時代の変化にいち早く対応し、市場の声に真摯に向き合い、出前館を進化させていきたいと考えている。

オフィス移転とシステム負荷の増加でVPN機器が利用不可に

同社では社内の業務システムにオフィス外からリモートアクセスする際、従業員のPCにインストールされたSSL-VPNクライアントからオフィスに設置しているVPN機器を通じて各種業務システムにアクセスしていた。VPNのアカウント数はおよそ500で、十分にセキュアな環境が構築されていたが、オフィス移転とシステム負荷の増加によって新たなリモートアクセス環境の導入が必要になった。

オフィス移転は、業容拡大と人員増加にともなってオフィスが手狭になったことによるものだが、移転先は資本業務提携を締結したLINE株式会社が使用するビルとなる。「移転先となるビルはスペースに制限があり、我々のネットワーク機器を持ち込むことができません。つまりVPN機器の設置も不可能となり、従来のように外出先からVPNを利用して社内のシステムにアクセスすることができなくなります」と語るのはプロダクト本部 情報システム部 部長 吉川 英興氏。

システム負荷の増加もオフィス移転と同様、業容拡大と人員増加が要因だ。2020年第3四半期のアクティブユーザー数は370万ユーザー、加盟店舗数は2万4,000店、GMV（Gross Merchandise Volume）は297億円だったのに対し、2021年第3四半期はアクティブユーザー数が652万（約1.8倍）、加盟店舗数は7万4,000店（約3倍）、GMVは428億円（約1.4倍）と、同社にとって経験のないスピード感で事業が拡大している。

「事業成長のスピードにシステムが耐えられなくなっていました。我々が利用しているデータセンターにラックの空きがなく、物理サーバーを追加することもできません。もちろん、地道にパフォーマンスチューニングも行っていましたが、事業成長のスピードにチューニングが追いつかない状況でした」（吉川氏）

ハイブリッド環境へシームレスにアクセスできる仕組みが必要

こうしたデータセンターの状況を受け、同社は2020年からクラウドシフトを加速化、オンプレミスとパブリッククラウドが混在するハイブリッド環境に移行した。例えばキャンペーンなどサーバーに負荷がかかるお客様向けサービスは、サーバーの増設が容易なクラウドを利用し負荷に耐えられる仕様にした。また、業務システムにおいても、開発メンバーが利用するものはクラウドへのシフトを進めた。もちろん、データセンターで運用している業務システムもまだまだ多数ある。そこで、同社が新たなリモートアクセスに求めたのは、データセンターとクラウドの両方へシ―ムレスにアクセスできる仕組みだ。

「重要なのは生産を落とさないこと。つまり、ユーザーにどちらにあるのかを意識させることなく、シームレスに利用できる仕組みにする必要があります。ただし、オフィスやデータセンターのスペースの問題で専用機器を入れることはできません。これらの要件を満たす製品としてたどり着いたのがアカマイのEnterprise Application Access（EAA）でした」（吉川氏）

すべての要件を満たしていたアカマイのソリューション

同社は2016年からアカマイのソリューションを利用しており、以前からEAAの提案を受けていた。ただ、オフィス移転が決まる前はEAAの必要性がなかったため、とくに注目はしていなかった。状況が一変し、白羽の矢が立ったEAAに対して吉川氏は「EAAと別ベンダーのクラウド型VPNとで比較・検討しました。EAAを選定した大きな理由は、データセンターとクラウドをシームレスにアクセスできる要件を満たしていたことです。さらに、認証認可を高めてゼロトラスト型のアクセス制御ができる点が決め手になりました。こうした理由から、EAAを新たなリモートアクセスとして導入しました」と語る。

2020年10月のオフィス移転を前に、EAAのPoC (Proof of Concept＝概念実証）を実施。特に大きな問題はなく、移転後はPoCからの流れでEAAをリモートアクセス環境の要に据えた。「EAAはVPNに代わるリモートアクセスで、ゼロトラスト型の綿密なアクセス制御を掲げるソリューションでしたから、当初は『いろいろできるけど、いろいろ面倒なのでは？』と身構えていました。ところが、EAAコネクター（仮想アプライアンス）をサーバーに設置する際は、用意されていたテンプレートを利用するだけでほぼ完了。簡単に導入することができました」（吉川氏）

同社が利用するEAAのユーザーライセンス数は約800。現在、すでにアカウントは700以上を発行している。一般社員は外出時に、エンジニアの場合はすべての接続にEAAクライアントを経由している。「利用者にはEAAクライアントをインストールしてもらっていますが、ユーザーにとってはVPNのツールがEAAのツールに変わり、ログイン方法が変わった程度。基本的な使い勝手は何も変わっていません。ユーザーはデータセンターかクラウドかを意識する必要もありません。EAAクライアントがアプリケーションごとに適切なEAAコネクターへ自動的に通信してくれます。ユーザーから何も声が出ないのはこちらの思惑通りで、問題なく利用できている証拠と捉えています」（吉川氏）

ゼロトラスト・セキュリティへの取り組みでアクセスを細分化

同社はEAAを単なるリモートアクセスツールとして利用するだけでなく、ゼロトラスト・セキュリティを実現するための認可管理としても利用を始めている。認可管理とは、それぞれの役割に応じてアクセスできるシステムをEAAが制御することだ。社内向けの業務システムについては、広くユーザーにアクセスを許可するが、開発環境のデータベースなどに関しては、その開発環境に所属する部門のエンジニアのみがアクセスできる。営業などの一般社員は開発環境にはアクセスできない構成だ。

もちろん、エンジニアだからといって、すべてのデータベースにアクセスできるわけではない。開発環境の所属部門によって接続先を限定している。

吉川氏は「EAAを導入したわけですから、ゼロトラストを極めていきたいと思っています。ただし、今のところの達成度は10～20％程度。ユーザーやアプリケーションのグルーピングがまだまだ大雑把なので、もっと細分化できればと考えています」と語っている。

多要素認証により、さらなるセキュリティ向上の取り組みを計画

ゼロトラスト・セキュリティを含め、セキュリティ対策を推し進める背景には、業容拡大にともなう個人情報の増加がある。「おかげさまで出前館は、たくさんのお客様がご利用いただくデリバリーサービスへと成長しましたが、同時に個人情報を守る責務も重くのしかかってきます。とくにネットワークに侵入し、個人情報を流出させてしまう危険性のある標的型攻撃などは十分に警戒が必要。そういう意味では、アカウントの乗っ取りやデータ漏えいを防止するため、多要素認証ソリューション、Akamai MFAの導入も検討しています。当社としては、引き続きアカマイのサポートに期待しています。今後もよろしくお願いします」（吉川氏）

※本原稿は取材当時の内容です。閲覧時点では変更されている可能性があることをご了承ください。