GDOが大規模システム刷新を決意したワケ：事例に学ぶシステム刷新（1）（2/3 ページ）

[吉村哲樹，＠IT]

システムの老朽化を突かれたセキュリティ事故

　このプロジェクトで“思ったほどの成果を上げることができなかった”と判断した同社は2008年8月、全社レベルのIT施策をリードするための新たな部署「IT戦略室」を立ち上げた。ここではまず、同社の今後のIT施策のプランニングと次期システムの構想を練る予定だった。ところが、このタイミングで思わぬ出来事が起こる。

　同社のシステムが不正アクセスを受け、サービスが一時停止に追い込まれてしまったのだ。

　2008年9月30日、会員データベースがSQLインジェクション攻撃を受け、データが一部改ざんされてしまったのである。その結果、同社が会員ユーザーに配信するメールの一部に、マルウェア感染の危険性がある不正URLが埋め込まれてしまった。当然のことながら、同社は全社を上げてこのセキュリティ事故の対応作業に当たることになった。

　「わたしがGDOに入社して初めての仕事は、セキュリティ事故の緊急対応だった」

　当時、IT戦略室のメンバーとして同社に迎え入れられた志賀氏は、当時をこう振り返って苦笑いする。本来は次期システムの構想を練る予定だったが、こうなってはそれどころではない。一刻も早くシステムを復旧させるための対応作業に追われた。

　このセキュリティ事故の発生はいち早く公表され、各メディアでも大きく報じられたため、記憶している読者も多いことだろう。とにかく、同社のIT部門はここからしばらくの間、事故対応に奔走することになる。まずは緊急の対応を行い、その後「復旧フェイズ」「回復フェイズ」と続いた。そして、この過程で当時のシステムが抱えている技術的な問題も徐々に明らかになってきた。

　まず、ハードウェアが老朽化していた。耐用年数やメーカーサポートなどを考慮すると、新しいものに入れ替えることが急務だった。また、OSをはじめとするソフトウェアも古いバージョンのものが使われており、これもサポートやパッチ提供の面でリスクが大きかった。

　大日氏は当時を振り返り、「システム刷新プロジェクトが滞っていた3年間、システムの根本改修が行われないまま来ていた。そして、このセキュリティ事故の発生。結局、システム投資を怠ってきたためにこういう事態を招いてしまった、と思い知らされた」と語る。

　結局、システムを復旧させるための緊急対応を行った後、2009年6月と11月の2回にわたってハードウェアとソフトウェアを新しいものに入れ替えた。ようやくこの時点で、当面必要な対応をひとまず完了した。このあたりから、同社はやっと次期システムの構想を始めることになる。

　「これで取りあえず現行システムの延命はできるので、その間に次期システムのプランニングを進めていく予定でした」（志賀氏）

次期システムのプランニングを進める

　このセキュリティ事故の反省を踏まえ、次期システムはまず何よりもセキュリティを堅牢にする必要があった。また、万が一攻撃を受けて一部のシステムがダウンしたとしても、その影響を最小限に食い止められるシステム構成にしなくてはいけなかった。

　ここで、GDOのシステム全体の構成について説明しておこう。冒頭で説明した通り、同社は「リテールビジネス」「ゴルフ場ビジネス」「メディアビジネス」の3つの事業を運営している。そして、システムもそれぞれの事業に対応したものを個別に運用している。リテールビジネスのための「物販システム」、ゴルフ場ビジネスのための「ゴルフ場予約システム」、そしてメディアビジネスのための「メディアシステム」だ。

　この中で、1番初めに構築されたのがゴルフ場予約システムだった。創業時、まずはゴルフ場予約サービスから事業をスタートさせた同社は、会員データベースとゴルフ場予約機能が一体となったシステムを構築した。ほとんどの部分はスクラッチ開発だった。

　その後、ゴルフ用品のオンライン販売も開始することになり、物販システムを新たに構築することになった。その際、すでに構築されていた会員データベースを参照するために、この物販システムをゴルフ場予約システムに並列する形で構築したのである。

GDOのシステム構成図

物流システムやメディアシステムのトラフィックも、ゴルフ場予約システムを経由するために、ゴルフ場予約システムと会員データベースをつなぐ部分でトラフィックのボトルネックが発生。そのため、トラフィックが集中するお昼休み時などはかなりの遅延が発生していたという

　システム構築当初は、これでも問題なく稼働していた。しかし、ビジネスの規模が拡大するにつれ会員データベースは肥大化し、トランザクション量も増えていった。その結果、ゴルフ場予約システムと物販システムの双方から参照される会員データベースに掛かる負荷が増大し、サイトや業務システムの性能劣化がしばしば発生するようになってきた。