ホテルチェーンのデジタルセキュリティ戦略は、13 万室の客室に安心を提供

国内外に 981 軒のホテル、13 万室以上の客室を擁する、日本最大級のホテルチェーンであるアパグループは、デジタルトランスフォーメーションに注力しています。特に宿泊客向けのモバイルアプリ「アパアプリ」は人気があります。

アパアプリには、予約、チェックイン、チェックアウトを非接触行う方法が用意されています。「ワンステップ予約」機能で、旅行者はお気に入りのホテルで客室を簡単に予約できます。また、「1 秒チェックイン」機能で、アパアプリの QR コードをフロントのスキャナーにタッチするだけでチェックインが完了します。最後に、「1 秒チェックアウト」により、宿泊者はルームキーをボックス（エクスプレスチェックアウトポスト）に入れればチェックアウトが完了します。この一連のストレスフリーな仕組みは、APA トリプルワンと呼ばれ、非常に好評で宿泊客の約 8 割が利用しています。

また、APA Stay Here アプリには AI を活用したコンシェルジュチャットボットが搭載されているため、宿泊客はフロントスタッフに問い合わせたりフロントデスクに足を運んだりする代わりに、アプリを通じてフロントデスクにリクエストを行うことができます。

初期のホテル業界のアプリは、単なる Web 予約サイトの焼き直しでした。「当社は後発ですが、スマートフォンでの利用を前提に、お客様の利便性を徹底的に追求する形で開発したアプリで、お客様にも大変好評です。今では滞在時のサービス利用やチェックアウト後のポイント管理など、すべてがアプリ上で完結できるようになりました」と、アパリゾート株式会社執行役員兼アパグループ株式会社 IT 事業部長の濱本清氏は語ります。o

アパホテルは、宿泊客の体験の向上だけでなく、客室清掃やフロントサービスといったホテル運営の効率化にもモバイルアプリを活用しています。客室状況の把握、遺失物管理、経理業務など従来紙で運用していた業務をアプリ化し、バックエンドのシステムと API で連携させています。このアナログからデジタルへの移行により、運用効率が大幅に向上しました。

世界中から多様な宿泊客を受け入れるホテル業界において、IT サービスのセキュリティは最重要課題の 1 つです。サイバー攻撃が日々巧妙化し、激化するにつれて、個人情報の保護はますます重要になってきています。それに合わせてアパグループでも、Akamai のサービスを利用して DDoS 対策を講じるなど、セキュリティ対策の強化に努めてきました。

しかし、アパホテルがアプリによるプロセスのデジタル化に成功したことで、新たな攻撃の対象領域が露呈しました。それは、アプリや企業間連携で使用される API です。近年、ホテル運営は多様化、分散化しており、利用するシステムやサードパーティのサービスの数も増加しています。その結果、API の数も重要度も増し、ホテルのインフラの重要な一部となりました。同時に、API を狙ったサイバー攻撃も増加しているため、適切なセキュリティ対策が求められています。

アパホテルは API 通信のログを収集していましたが、その量が膨大であったため、人間の手で攻撃の兆候を検知することは不可能でした。従来からセキュリティ組織の体制強化は行ってきましたが、個人に求められることは増え続けています。濱本氏と彼のチームは、API セキュリティを大幅に強化することで、宿泊客だけでなく、何かインシデントが起きれば矢面に立つことになるホテルの従業員も守りたいと考えていました。

「API アクティビティの可視化が重要でした」と、濱本氏は言います。「ただログを読みやすくするのではなく、API 通信に精通したセキュリティ専門家の視点を必要としていました。私たちがポイントを明確に特定できれば、当社のアプリや API を開発するベンダーと連携しやすくなります」

サービスと API の将来的な拡張を見据え、API 保護に特化した Akamai API Security を選択しました。

アパグループでは、従来から WAF や DDoS 対策など Akamai のセキュリティソリューションを活用しており、技術とサポートの両方の信頼性を高く評価してきました。API Security の決め手となったのは、単なるログの可視化と分析だけでなく、既存のセキュリティサービスとシームレスに連携して攻撃をブロックし、全体的なセキュリティ対策を強化できることでした。

「Akamai について最も高く評価していることの 1 つは、Akamai のサポートです。セキュリティは複雑で、詳細を正確に理解している専門家を見つけるのは至難の技です。しかし、Akamai はこのようなギャップを埋め、攻撃を迅速に解決するための参謀的な役割も担ってくれます。特に API Security のワークショップは、攻撃者の視点を理解するのに役立ちました。その結果、私たちのチームメンバーの多くがセキュリティに関心を持つようになり、これは大きなメリットです」と、濱本氏は説明します。

API Serurity の最大の利点の 1 つは、ユーザーが以前は気づかれていなかった兆候に気付けるようになったことです。たとえば、「404」は Web サービスの一般的なエラーとして無視されることがよくあります。API Serurity を用いると、アパグループは 404 エラーの根本原因を可視化し、攻撃の兆候を検知できます。

API Security は、ベンダーが提供する標準的な脆弱性評価サービスと比較されることがよくあります。しかし、「問題は見つかりません」といる結果や、侵入テストに失敗したという結果では、結論が出ていないように感じるかもしれません。API Security の大きなメリットの 1 つは、アクティビティを可視化することで、セキュリティチームが重要な領域が適切に検査されたかどうか、リスクが特定されたかどうかを確認できることです。また、膨大なログデータを追跡するという課題も解決しました。「ログを視覚化する技術や製品は多いが、本当に重要なところを見せてくれるものはほとんどありません」と、濱本氏は述べています。

「API Security のダッシュボードを見ると、API を通じてどれだけ多くの情報がやりとりされているかを実感できます。API は見過ごしがちですが、今ではその保護の重要性を明確に理解しています。API のセキュリティは複雑ですが、Akamai のソリューションのインターフェースはわかりやすく、抵抗感を減らしてくれます」と同氏は述べています。

ゼロトラスト・アーキテクチャの概念も API のセキュリティを確保するために重要です。旅行代理店などのパートナー企業のシステムと接続するためのプライベート API は、一見安全に見えることがあります。しかし、いったんパートナー企業のネットワーク内に侵入されれば、攻撃のエントリポイントとして悪用される可能性があります。「攻撃はどこからでも、瞬時に発生する可能性があります。そのため、攻撃を即座に可視化し、貴重な情報資産、ビジネス、宿泊客を保護する仕組みが欠かせません」と、同氏は述べています。

アパグループは、アパアプリと APA Stay Here のさらなる改善を通じて、ホテルサービスを強化していきます。「セキュリティは最優先事項であり、お客様が安心してサービスを利用できるように、API 保護にとどまらず、継続的な改善に取り組んでいます。サイバー攻撃の傾向を特定し、タイムリーな解決策とアドバイスを提供する Akamai の継続的なサポートに期待しています、と濱本氏は締めくくりました。

アパグループは 1971 年に石川県で創業し、注文住宅の建設から事業をスタートしました。戸建住宅分譲とマンション開発を経て、ホテル経営や都市開発など多角的な事業を展開しています。計画客室数を含め 138,054 の客室を有する日本最大級のホテルチェーンであり、北米を中心に海外展開も積極的に推進しています。独自のモバイルアプリやチェックインシステムなど、ホテル業界をリードする企業です。