株式会社オープンハウスグループ
M&Aで異なっていたAWSセキュリティ基準の統一化とリスクの可視化を実現できました
AWS
オープンハウスグループ 情報システム部
インフラクトラクチャG インフラ課 主任 渡辺 悠氏
企業概要
オープンハウスグループは、戸建て関連事業、マンション事業、収益不動産事業など多岐に渡る不動産事業を展開しています。「お客様のニーズを徹底的に追求し、価値ある不動産を届ける」ことを企業使命として掲げ、多様化するライフスタイルや価値観に寄り添い、新たなニーズを的確に捉えた商品・サービスを創造しています。
導入前の課題
- M&Aや事業拡大により、新たなAWS環境が加わったことで、既存のセキュリティ水準が合わないケースが発生していて、セキュリティポリシーや運用基準をグループ全体で統一するということが急務となっていた
- AWSアカウントが増加し、人力によるAWSセキュリティサービスのアラート運用が限界に達しており、全社的なガバナンス強化が求められていた。
- 外部ツールを活用しても適切に管理・運用出来る体制が整備されておらず、形骸化する恐れがあった。
導入後の成果
- 設定不備やリスクの自動チケット化により、これまでブラックボックスだった環境のリスクが、「誰が/いつまでに/何をすべきか」という具体的なタスクとして可視化され、対応がしやすくなった
- M&Aにより新たなAWS環境が加わった際に、PMIの初期段階で客観的かつ具体的な課題リストを基に改善計画が立てられるようになり安全かつ迅速なシステム統合が可能になった
- アカウント/脆弱性の種類など多角的な側面から問題の棚卸し・優先順位付けが可能となり、運用効率・ガバナンスが改善できた
M&Aによる事業拡大により、セキュリティ基準を迅速に統一化していくことが急務に
はじめに、貴社の事業内容について教えてください。
当社は、戸建て関連事業を中心に成長し、最近では、マンション事業、収益不動産事業、米国不動産事業、不動産金融事業など、事業領域を拡大しています。また、M&Aを積極的に行いグループ会社化することで、単に事業規模を拡大するだけでなく、各社が持つ専門性やノウハウを取り込みつつ、グループ全体のシナジーを創出しています。従業員数は、同社を含むグループ全体で約6,000人(2025年3月末時点)、管理するサーバは約500台あります。
事業領域の拡大にあわせて、システムはどのようにされていますか。
当社は、事業が急成長しており、従来のオンプレミス環境ではインフラの調達や構築に時間がかかり、事業拡大に追いつけなくなっていました。クラウドであればこの問題が解決できると考え 、クラウドシフトを進めてきました。
システムのクラウド移行は2020年頃から開始し、現在は複数のクラウドサービスを活用してシステム運用を行っています。特に、AWS(Amazon Web Services)は基幹系システムを中心に幅広く利用しており、グループ全体で100近いアカウントが稼働しています。
クラウドシフトを進める中で、何か課題を感じていたのでしょうか?
私たちインフラ課の役割は、インフラ基盤の安定稼働を担保するだけではなく、事業の成長戦略にあわせて、セキュアで拡張性の高いインフラを企画・構築していくことにあります。その中で、近年特にクラウド活用が急速に広がっており、そのガバナンス強化が私の重要なミッションの一つとなっています。これまで、事業部ごとにシステムが構築されてきたところに、M&Aで新たな環境も加わったため、セキュリティ基準が当社の水準と合わないケースが発生していました。そのため、セキュリティポリシーや運用基準をグループ全体で統一するということが急務となっていました。
実際に具体的な穴(セキュリティホール)が見えていたわけではないですが、どこかに脆弱性があり、そこから侵入されてデータが流出するのではないかという不安を感じていました。
内製でのアラート対応に限界を迎え、セキュリティ運用体制の見直しを検討
具体的にどのようにセキュリティ対策を検討されましたか?
アカウント数が増加するにつれて管理が非常に難しくなっているという課題を感じていた中で、AWSが主催するセキュリティワークショップに参加したことが大きなきっかけとなりました。そのワークショップでは、ハンズオン形式でAmazon GuardDutyやAWS Security HubといったAWSセキュリティサービスに触れることができたのですが、これらを活用すると今のセキュリティレベルを各段に向上できるのではないか、と強く感じました。しかし同時にそれらを全てのAWSアカウントで有効化し、日々大量に検知されるアラートを適切に運用・管理できる体制がなければ、宝の持ち腐れになってしまうという課題も見えました。
当時のセキュリティはまさに“人海戦術”となっており、AWSのアカウントごとにSecurity Hubを開き、検知された項目を一つひとつ確認するという手動対応を行っていました。アカウント数が50を超えたあたりからはチェック体制に限界を感じていました。
そのような中で、CloudFastnerの導入を決断した背景をお聞かせください。
はじめにCloudFastnerを知ったのは、AWSの担当者から紹介されたことがきっかけです。
そこからCloudFastnerの導入検討を開始したのですが、同時にCSPMやCNAPP製品についても情報収集と比較検討を行いました。
CNAPPの多くは、膨大なアラートを一覧表示するダッシュボードを提供するだけで、どこから着手するべきかわからず、対応の優先順位付けが難しいという懸念がありました。
その点、CloudFastnerは、テクニカルアカウントマネージャーやサポートエンジニアの方と直接対話ができ、CloudFastenerチームが持つ豊富なクラウドナレッジを享受できる点に魅力を感じたことが、導入の決め手になりました。
CloudFastenerの導入効果は「絶大」、事業拡大に追従するセキュリティ体制を構築
CloudFastnerを導入して得られた効果について教えてください。
CloudFastnerは、検知した設定不備を各種チケット管理ツールに自動で起票してくれます。これにより、これまでブラックボックスだった各環境のリスクが、「誰が」「いつまでに」「何をすべきか」という具体的なタスクとして可視化され、リスク一つひとつへの対応がしやすくなりました。
たとえば、あるクラウドサービスで設定不備が判明した際には、より安全な構成を推奨する具体的なアドバイスをいただき、適切な構成に変更することでセキュリティレベルを強化できました。また、アカウントごと、あるいは脆弱性の種類ごとといった、多角的な側面から問題の棚卸しや対応ができるようになった点も、手動で対応していた頃と比べて大きな改善点となりました。
さらに、M&Aで新たにグループに加わった企業のAWSアカウントを連携させると、その環境のリスクが即座にチケットとして起票されます。これにより、PMIの初期段階で客観的かつ具体的な課題リストを基に改善計画を立てられるようになり、安全かつ迅速なシステム統合が可能になりました。
CloudFastnerの効果は、絶大だと感じています。
最後に、同様な課題を持つ企業にメッセージをお願いいたします
当社のように事業拡大によって、AWSアカウントやリソースが増え、手動でのセキュリティ管理に限界を感じ始めているのであれば、一日でも早くセキュリティ可視化サービスを検討することをおすすめします。自分たちがが思っている以上に、環境にはリスクが潜んでいる可能性が高いからです。
そして、ツール選定において重要だと感じていることが2つあります。
1つ目は、「自社の運用にあった形で課題を管理できるか」です。一般的なCNAPP製品のように、ただアラートが並ぶダッシュボードがあるだけでは、情報が多すぎて対応の優先順位付けができず、結果として形骸化してしまう恐れがあります。
2つ目は、「導入後のサポート体制、特に人とナレッジを確認すること」です。ツールは導入がゴールではありません。継続的に運用し、組織のレベルを上げていく上で、信頼できる専門家のパートナーシップは、ツールの機能以上に価値があると感じています。
ありがとうございました。
導入企業(一例)
