AWS環境の統制上のリスクに備え、AWS Organizationsを活用して統合的なアカウント管理基盤を構築。ガバナンス強化とコストの最適化を実現

Osaka Metroが成長戦略の１つとして掲げ、グループ総体で推進する都市型MaaS構想「e METRO」は、鉄道・バスなど既存の交通サービスとショッピングや食事といったさまざまなサービスを組み合わせることで、大阪のさらなる発展と消費者の生活の向上を目指すものです。構想がスタートした当初からクラウド活用を基本方針とした同社では現在、AWSを含めた複数のクラウドサービスを使い分けながら、各種システムの運用を行っています。ICT戦略部 ICT戦略課長の阪口大輔氏は次のように話します。

「クラウドの活用に舵を切ったのは、民営化した後の2018年からです。交通インフラを支える基幹システムは現在もオンプレミスで運用していますが、e METROのサービス基盤や新規アプリはAWS上で構築し、その他にもデータ分析などの基盤を他のクラウドサービス上で構築しています」

こうした中で新たな課題となったのが、増え続けるAWS環境の管理です。それまでは各業務部門が独自にAWSアカウントを作成していたため、アカウントの使用状況がブラックボックス化し、ICT戦略部では把握できない状況になっていました。

「このままでは統制が効かなくなるリスクがあったため、AWS活用の全社的なガイドラインを策定した上で、AWSアカウントを統合的に管理する仕組みを導入することにしました」（阪口氏）

この課題の解決に向けて、AWSに関する高度な知見を備えたパートナーの支援が不可欠だと考えたOsaka Metroは、複数の候補の中からサーバーワークスに支援を要請しました。その理由について、ICT戦略部 ICT戦略課 係長の山本修平氏は次のように振り返ります。

「サーバーワークスさんの過去の実績を調査する中で、当社と同様の課題をAWS Organizationsで解決した事例もあったことから、すぐに無料相談を申し込みました。その後、プロジェクトの初期段階の準備から具体的な進め方、全体のスケジュールまで、豊富な経験に裏付けられた的確な提案をいただけたことから、迷うことなく採用を決めました」
2022年7月にスタートしたプロジェクトでは、まずAWS活用の標準ガイドラインの策定に着手。ここではAWSのベストプラクティスに基づいて、ガイドラインのサンプルから必要な要素を取捨選択しながら、マルチアカウントでAWSを活用するためのルールを策定しました。
次に取り組んだのが、AWS Organizationsを活用した統合アカウント管理基盤の構築です。ICT戦略部 ICT戦略課の安井淳一氏は、「AWS Organizationsの導入では、サーバーワークスさんの支援によって組織単位（OU）を設計し、サービスコントロールポリシー（SCP）を用いてOUごとに権限を設定していきました。現在のOUの階層は4階層で、今後も拡張が可能な構成としています。さらにAWS Security Hubを有効化し、ベストプラクティスに沿わない使い方をチェックする仕組みも導入しました」と話します。

プロジェクトは、ICT戦略部とMaaS構想の推進部門の2部門による少数体制で実施。将来の内製化に向けた技術習得も視野に、メンバーも実際に手を動かしながら開発を進めました。

「AWSを自分で導入するのは全員にとって初めての経験でしたので、サーバーワークスさんからアドバイスを受けながら、自分たちが作ったものが正しいかどうか答え合わせをするイメージで進めていきました。AWS OrganizationsのOU設計においても、業務単位でアカウントをまとめるべきか、アプリ単位がいいのかなどを相談しながら、手探りで進めていきました」（山本氏）

2022年11月末にAWS Organizationsの導入が完了した直後は、約20のAWSアカウントで運用を開始しましたが、その後も新規アプリ開発などの要件が発生し、2023年10月時点でアカウントは約40まで増えています。
「1システムにつき1アカウントを原則としていますが、各システムの本番、検証、開発環境でアカウントを分けたり、VPC単位で作ったりと、業務部門の要望に応じて臨機応変に運用しています」（安井氏）
Osaka Metroでは、こうした柔軟な運用は新たな標準ガイドラインとAWS Organizationsがもたらした成果だと高く評価しています。
「e METROの推進に向けて、業務部門が急ピッチで新しいシステムをAWS上で構築しています。こうした中、ICT戦略部がアカウント管理を統括することで、どのシステムがどのアカウント上で動いているかがリアルタイムに把握でき、ガバナンスは大幅に強化されました」（山本氏）
また、監視とバックアップを1カ所に集約したことにより、個々の運用時と比べてコストも最適化されました。AWS全体の利用料金についても、アカウント単位でリソースの使用量がわかるため、将来的にアカウントが増えた際でも、コスト削減につながることが期待されています。
同社がAWS Organizationsで構築した統合アカウント管理基盤は、関西の鉄道業界でも大きな注目を集めているといいます。
「他の鉄道会社さんとの集まりで当社の取り組みを紹介したところ、問い合わせを受ける機会が増え、クラウド活用やアカウント管理が鉄道業界共通の課題であることを改めて認識しました」（阪口氏）

Osaka Metroでは、アカウント統合管理基盤を構築した後も、AWSのさまざまなサービスを活用したインフラ基盤の強化を継続しています。すでにAWS Direct Connectを使ったオンプレミス環境とAWS環境の接続に加えて、AWS Direct Connect GatewayとAWS Transit Gatewayを用いた複数のVPC接続も完了しています。これらは、今回のプロジェクトを通じてAWSの技術を習得したICT戦略部のメンバー自らが構築したものです。

今後はオンプレミス環境との接続先が増えることも想定されることから、セキュリティや可用性を考慮しながら、最適な経路での接続を確立し、AWS上のシステムとの連携を強化していく考えです。さらに、これらの基盤を活用しながら、e METROで取り組むウォークスルー型顔認証改札機やタブレット型多言語翻訳などの新サービスの開発も進めていく構想です。
「これらのデジタルサービスの提供にはクラウド基盤が必須であり、かつセキュリティやレスポンスも重要ですので、サーバーワークスさんには新技術の活用などで引き続きの支援を期待しています」（阪口氏）

担当エンジニア紹介

エンタープライズクラウド部 技術2課

齋藤 英樹

独立系SIer、デジタルマーケティング会社、海外のIaaSプロバイダー、事業会社を経て2020年にサーバーワークスに入社。
システムインフラを主な主戦場としているが、前職ではアプリケーションエンジニアと一緒になってDevOpsを実践。
ユーザー企業の情報システム部門、SIerやサービス提供側のエンジニアの両方の立場を理解した上でのお客様とのコミュニケーション能力が武器。
常に顧客視点で物事を考えながら、お客様と伴走してゆくことを得意としている。
現在はプリセールスに従事しながら、複数のお客様のCSMを担当。
趣味は、音楽全般とバイク。

カスタマーサクセス部 ＣＳ１課

石井 伸明

カスタマーサクセス部1課で運用監視保守をメインで担当しています。
SSMや Lambdaを用いて運用改善や自動化の施作を提案したり、CDKを用いてCI/CD環境の構成支援を行っています。
好きなAWSサービスはCloudFrontとECSです。監視をもっと勉強したいです。
座右の銘は明日やれることは明日やろう。