はじめに
id:rotom です。社内情報システム部 兼 CISO室 所属で ITとセキュリティを何でもやります。
このエントリは 一休.com Advent Calendar 2025 12日目の記事です。
少し遅れての投稿になってしまいましたが、昨日は 
id:kentana20 による 一休.com 宿泊の料金・ポイント計算処理の改善 - 一休.com Developers Blog でした。その他の素敵なエントリも以下のリンクからご覧ください。
昨年のアドベントカレンダーでは、情シスにおける6年間の取り組みについてご紹介させていただき、一定の反響をいただくことができました。
今年はその続きとして、これまでに取り組んできた課題の一部と、今後注力していくテーマについてご紹介します。
取り組んできたこと
SaaS への AI インクルード対応
Gemini for Google Workspace / NotebookLM
今年の大きなトピックのひとつが、Gemini for Google Workspace が全ユーザー向けに提供開始されたことでした。 これまでは ChatGPT Plus を利用する際、希望者に専用のバクラクビジネスカードを払い出す形で運用し、その後 ChatGPT Team の登場にあわせてプラン移行を行っていました。
現在も ChatGPT を継続利用しているメンバーはいますが、Gemini でも問題ない場合は 申請や承認なしで誰でも利用可能 になり、利用のハードルが大きく下がりました。
あわせて NotebookLM も利用可能となり、新入社員向けのマニュアルや各種規程をまとめて取り込んだり、研修ではドキュメントを読む代わりに Podcast 形式で音声を聞いてもらうなど、さまざまな活用が進んでいます。
なお、一休では Google Workspace の Enterprise Plus プランを契約しているため、これらの機能をフルに利用できます。
Slack AI
今年は Slack も AI 機能が組み込まれ、プラン構成が変更されました。 一休では Enterprise Grid を利用していますが、このプランは将来的に廃止予定となり、Enterprise+ への移行が必要になります。
現時点では、コストや実運用での有用性を踏まえ、移行は見送り、引き続き Enterprise Grid を利用しています。 現在のプランでも、チャンネルやスレッドの要約、メッセージ要約、ハドルミーティングの議事録作成などの AI 機能は利用可能です。
来年には Enterprise Grid の販売終了が予定されているため、そのタイミングで Enterprise+ へ移行し、Slack AI も本格的に活用していく予定です。
Atlassian Rovo
Atlassian 製品にも AI エージェント機能が追加されました。現時点では Slack Enterprise+ や Gemini Enterprise(旧 Google Agentspace)を契約していないため、社内で利用できる 横断検索ツール として Rovo を活用しています。
Confluence、Jira、Jira Service Management、Trello といった Atlassian 製品に加え、Google Drive、Slack、Figma などとも連携でき、Confluence の検索欄から複数の SaaS を横断的に検索できるようになりました。
検索は自身のアクセス権限の範囲内に限定されるため、必要以上の情報が表示される心配はありません。
これらの SaaS における AI 機能は、禁止ではなく活用を前提 に整備しており、リリース直後から利用可能とし、全社向けにアナウンスしています。
コールセンターでも安全に使える翻訳 Bot
国内宿泊予約サイトである 一休.com では、インバウンド需要の高まりを受け、今年から多言語対応を進めています。詳細については、以下のエントリもご覧ください。
Web サービス側では ChatGPT を利用した自動翻訳により、インバウンドユーザーが希望する言語で宿を探せるようになりました。
一方で、一休は長らく国内向けサービスを提供してきたため、カスタマーサポートを担当するコールセンターでは多言語対応を行っていません。
一般の従業員であれば Google 翻訳や ChatGPT、Gemini などを利用できますが、コールセンターのネットワークは個人情報保護の観点から厳しく制御されており、自由な Web アクセスや LLM の利用ができない環境です。
そこで、Web アクセス不要で利用できる翻訳用の Slack ワークフローを作成しました。翻訳は API 経由で実行され、入力された内容が AI の学習に利用されない設定としています。
Slack ワークフローから ChatGPT を API 経由で呼び出し、指定した言語に翻訳するシンプルな仕組みですが、そのまま翻訳すると実際の利用シーンに合わないケースがありました。
例えば 「温泉」 は “Hot Spring” と翻訳されがちですが、箱根への旅行を検討しているインバウンドユーザーの多くは “hakone onsen” と検索しています。
こうした点を踏まえ、「温泉」→「Onsen」 のように、文脈に合った表現になるようカスタムプロンプトを設定しました。
日々のカスタマーサポート業務で便利に活用いただいております。
VPN の廃止
昨年のブログでは、PoC の結果として SASE の導入を見送り、代替手段の検証を進めると記載しましたが、今年 SASE を導入 しました。 製品は Gartner Magic Quadrant for SASE でも Leader ポジションに位置する Netskope を選定しています。
昨年の PoC 時点では、通信品質や開発環境への影響から導入を見送りましたが、これは Private Access 機能 に起因する課題でした。
課題が解消された場合には Private Access の再検討も視野に入れていますが、現時点では CASB(Cloud Access Security Broker) とSWG(Secure Web Gateway) の機能を中心に、情報漏えい防止の観点で活用しています。
Private Access を利用しない場合、VPN の完全な代替とはならないため、従来型 VPN との併用が必要になります。 従来型 VPN はインターネットに公開された IP アドレスや FQDN が必要となり、攻撃対象となるリスクがある点が課題でした。
この課題については、Tailscale という P2P 型 VPN サービスを導入することで解消し、従来型 VPN を廃止することができました。
Tailscale の詳細は、アドベントカレンダー 6 日目の以下の記事をご覧ください。
これからどうするか
エンタープライズ検索
冒頭でも触れたエンタープライズ検索については、今後さらに活用範囲を広げていく予定です。 リブランディングされた Gemini Enterprise のトライアルを実施し、営業部門やコーポレート部門とも連携しつつ、全社的な検索体験の向上に取り組んでいきます。
人事マスタの統合
人事マスタが不在、または複数存在する状態は、多くの企業で共通する課題だと考えています。 一休でも、情シスで管理する Microsoft Entra ID、人事で管理する カオナビ や SmartHR、経理で管理するバクラクなど、複数の SaaS がマスタとして参照されている状況があります。加えて、長年運用されているスプレッドシートが残っているなど、人事関連情報が点在している状態です。
この状態では、入退社や部署異動のたびにメンテナンス工数が発生し、入力漏れなどのオペレーションミスにつながる可能性もあります。 そこで、SSOT(Single Source of Truth:信頼できる唯一の情報源)となる統合された人事マスタを用意し、管理の一元化を進めたいと考えています。あわせて、各 SaaS へのアカウント連携や更新処理についても自動化を推進していく方針です。
複数製品を比較・検討した結果、この領域では YESOD が最も要件に合うと判断し、すでに検証を進めています。
まとめ
今年は社会全体でも多くのセキュリティインシデントが発生し、一休の情シスとしても「守り」を重視した一年となりました。 セキュリティ対策の性質上、社外に公開できない取り組みが多い点は少し残念ですが、来年は「攻め」の側面も含め、より多くの事例をご紹介できるよう取り組んでいきます。
そのためには仲間が必要です!
数年ぶりに、情シスのポジションで採用をオープンしました。
未経験から挑戦できるジュニア枠については、想定を超えるご応募をいただき、現在は募集を終了しています。
現在は、社内インフラ・ネットワークをリードしていただくポジションを募集しています。 組織としては成熟フェーズにありますが、Netskope や Tailscale など新しい製品・技術も積極的に取り入れ、モダン化を進めています。
【正社員】コーポレートエンジニア(社内インフラ・ネットワーク担当) - 株式会社一休
少しでもご興味があれば、ぜひカジュアル面談からでもお気軽にご応募ください!
