ピンボール戦車少女

LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
導入事例 | 

三井不動産株式会社様 Prisma Cloud事例

シェアボタンを表示

「&」に込められた共存・共生の想いが、
三井不動産(chan)の情報(bao)セキュリティを支える

街づくりの一層(ceng)の進化と、不動(dong)(dong)産業だからこそ実現できる新しい価値の提案を、テクノロジーを駆使して実現している三井不動(dong)(dong)産。同(tong)社(she)は、DXを強力(li)(li)に推進すると同(tong)時に、クラウド環境のセキュリティ対策を強力(li)(li)に推し進めている。

三井不動産(chan)グループの掲げる長期経営(ying)方針VISION 2025では、「テクノロジーを活(huo)用し不動産(chan)業そのものをイノベーション」という方針に沿って、情報システムの活(huo)用を大きな手段の1つとして位置付けている。

DXを推進する一方で、コストと評されがちなセキュリティ対策を両立できた理由を、DX本部DX一部の越智氏(shi)(shi)と亀(gui)ノ上氏(shi)(shi)に伺(si)った。

越智 勇貴氏
DX本部 DX一部
DXグループ
サイバーセキュリティチーム
技術主事 越智 勇貴氏
亀ノ上 明氏
DX本部 DX一部
DXグループ
サイバーセキュリティチーム
技術主事 亀ノ上 明氏

三井不動産におけるDXの捉え方

三井不動産グループは、オフィスビル、商業施設、リゾートやホテル施設など幅広い不動産開発(fa)事業を手掛(gua)け、売上(shang)高一(yi)位を誇る大規模デベロッパーだ。

2018年には、長(chang)期経営方針「VISION 2025」を策定し、変化する人口構造(zao)、価値(zhi)観の多様化、産業構造(zao)やビジネスモデルの変化に加え、ICTの加速度(du)的進化に対応することを示(shi)した。「VISION 2025」においては3つの主(zhu)要な取り組(zu)みの方針を挙げ、その1つが「リアルエステートテック活(huo)用によるビジネスモデルの革新」である。

この取り組みは、ICTの活用をさらに進めることで、顧客満足度の向上、新たなマーケットや価値(zhi)の創造(zao)、施設で得(de)られるデータの蓄積(ji)と活用を示している。

リアルエステートテックの推(tui)進(jin)において、データの蓄積(ji)と活用に至る基盤にはICTの活用深化と、DXの強力な推(tui)進(jin)が必要(yao)となる。越智氏は三井不動(dong)産(chan)におけるDXの推(tui)進(jin)について「各従(cong)業員に対してDXについての研修を提(ti)供し、全(quan)(quan)員が自分事化するように取(qu)(qu)り組(zu)んでいます。例えばコワーキングスペースであるワークスタイリングは、いわゆる箱貸しではなくDX込(込)みで設計され、利用開始から退(tui)出までスマートフォンと連(lian)動(dong)したあらゆるサービスを提(ti)供していますが、これは経営方針(zhen)に基づいた取(qu)(qu)り組(zu)みから始まっています。」と語るように、DXの浸透が会社全(quan)(quan)体で進(jin)んでいる。

DX推進に対する社員とICT基盤の現状

DXの推(tui)進において重要なことは、社員がICTのビジネス活(huo)用を自分事(shi)化(hua)することだと語るのは亀ノ上氏(shi)だ。亀ノ上氏(shi)は、「ICTを活(huo)用することは自身の"本業"という意識を持っています。何か新しい事(shi)業を始(shi)める際に後付けで情報(bao)システムもやるか、ではなく最初から情報(bao)システムも一体(ti)となって考えるといった位置づけになっています。」と語った。

ICTの基盤はクラウドに移行され、CCoE(Cloud Center of Excellence:クラウド活用推進組(zu)織(zhi))が組(zu)織(zhi)化(hua)されたことでクラウド利(li)用が加(jia)速している。クラウド利(li)用のメリットとされる、コストメリット、拡張性(xing)、メンテナンス性(xing)に加(jia)え、三(san)井不(bu)動産(chan)全体で企(qi)画される数多くの事業案(an)に対して最短(duan)での検証が実現(xian)されていることが、最大のメリットだ。

DX推進とセキュリティ対策、相反する課題への対処

ICTの利(li)用(yong)拡大に伴(ban)い懸念されたのが、サイバー攻撃へのリスクの拡大である。クラウド活(huo)(huo)用(yong)やサービス間連携を強化することは、攻撃される個所が増加することを意味する。多くの企業は、積極(ji)的なICTの活(huo)(huo)用(yong)とセキュリティ対策は相反する関(guan)係と考えている。価値創造につながるICTと、リスク軽減(jian)に投(tou)資するセキュリティを天秤(cheng)に、バランスを考える企業が多い。

しかし、三井不動産(chan)は根本的な考え方が違う。価(jia)値(zhi)創(chuang)造を積極(ji)的に行(xing)うために、セキュリティ対策を万全(quan)にする。様々な挑(tiao)戦を可能にする盤(pan)石(shi)な基盤(pan)を手に入(ru)れることが命題とされた。この考え方は、三井不動産(chan)の【&】に込(込)められた理(li)念(nian)(nian)によると越智氏は語(yu)る。「当社の理(li)念(nian)(nian)【&】には、対立する概(gai)念(nian)(nian)【OR】としてどちらかを選ぶのではなく、相克を乗り越え共生させるという意(yi)(yi)味が込(込)められています。この理(li)念(nian)(nian)はわれわれのようなIT部門にも浸透しており、仕(shi)事(shi)をするうえで必ず意(yi)(yi)識する上位の理(li)念(nian)(nian)となっています。」

そのため、経(jing)営層(ceng)、管理職のセキュリティに対(dui)する意識は高(gao)く、セキュリティ対(dui)策(ce)に必要な費用(yong)に関しては理解を得られているという。

クラウドは生命線。守るために必要な取り組み

不(bu)動産開発事(shi)業とICTの協調を進(jin)める三井不(bu)動産にとって、クラウド基盤は生命線といえる。クラウドは、利(li)用(yong)の障壁が低(di)く、必要な時(shi)に必要なだけコンピューティングリソースが提供(gong)される。しかし、多くの事(shi)業が利(li)用(yong)を加速させる中、両氏が所属するサイバーセキュリティチームや、幹部層からも、セキュリティガイドラインに頼る運用(yong)から、一歩進(jin)めたセキュリティ対応(ying)への方針を示した。

クラウドは、システム開発や運用の過(guo)程(cheng)で、頻繁にリソース・プロビジョニングを繰り返す。この過(guo)程(cheng)で必(bi)要なセキュリティ設定などを行わず、セキュリティレベルが低(di)下した状況で運用を続けたことで発生した、他社のインシデント(セキュリティ事(shi)故(gu))事(shi)例がある。

そこでセキュリティチームでは、CSPM(Cloud Security Posture Management:クラウド セキュリティ体制(zhi)管理)の導(dao)入に踏み切った。CSPMは、パブリッククラウド環境とAPI連携することで、クラウド側の設定を自動(dong)的に確(que)認し、セキュリティの設定ミスや各種ガイドライン等への違(wei)反(fan)が無(wu)いかを継続してチェックする仕組みだ。クラウド利(li)用におけるベストプラクティスをチェックルールとして設定することで、事業(ye)担当がクラウドを活用する際に安全な利(li)用方法を提示する。

三(san)井不動(dong)産(chan)は、CSPMとしてPalo Alto Networks社のPrisma Cloudを導(dao)入(ru)し、同(tong)時(shi)に「クラウドセキュリティ統(tong)制(zhi)支援(yuan)サービス」によるラックの支援(yuan)を受(shou)けた。越智氏は導(dao)入(ru)の理由(you)を「Prisma Cloudは他社のCSPMと比べて例えばアノマリ検知など他にないアルゴリズムを導(dao)入(ru)されており、技(ji)術(shu)的(de)に興味(wei)深かったこと、外部発表なども積極的(de)なことから技(ji)術(shu)的(de)にも高いと判断し、導(dao)入(ru)に至りました。」と語った。

Prisma Cloudは導入が容易な反面、運用には工夫が必要

Prisma Cloudの導入(ru)については、難易度としては低かったと語る越(yue)智(zhi)氏。AWSへ適用した際には、IAMロールを作(zuo)成するだけで作(zuo)業は完(wan)了する。そのため、実際に各システム担当(dang)者にIAMロールの作(zuo)成を依頼(lai)し、すぐに対(dui)応可能な担当(dang)者であれば即日対(dui)応し、規(gui)模の大きなシステムでも2、3日で導入(ru)が完(wan)了するといった状(zhuang)況(kuang)だったと語る。クラウドの利活(huo)用のハードルが下がるがセキュリティ対(dui)策は面倒な状(zhuang)況(kuang)にはならない点を評価していた。

一方で、導入(ru)後の運(yun)用は難易度が高いと語るのは亀(gui)ノ上氏(shi)だ。実(shi)際にPrisma Cloudを運(yun)用することで、すぐに大(da)小(xiao)様々なアラートが出(chu)力されることになる。脆弱性マネジメントと同じく優先(xian)度付けや対処方法を整理することが悩(nao)ましいという。三井不動(dong)産は、クラウドセキュリティ統(tong)制支援サービスを利(li)用し、導入(ru)時に優先(xian)度に応じた自動(dong)通知や月(yue)次でアラート分析を行う運(yun)用を2カ月(yue)程(cheng)度かけて構築した。現(xian)在も同サービスを活用しラックと共(gong)にPrisma Cloudの運(yun)用を続けることでうまく運(yun)用が回り始めているという。

越智氏と亀ノ上氏

運用(yong)で最も重要なことは、セキュリティ対策を施しながらも、システム担(dan)(dan)当が利(li)(li)用(yong)しやすく、システム利(li)(li)用(yong)者(zhe)も不利(li)(li)益を被ってはならないと越智氏は語る。この取り組(zu)みにおいても、ラックのエンジニアもともにPrisma Cloudのチューニングを進(jin)め、満足できる状況になったという。越智氏は、「ラックには、蓄えられたCSPMのノウハウを、多くの企業の管理負担(dan)(dan)を下げるために活(huo)用(yong)してほしいです。」と語った。

セキュリティの今後

無事(shi)、Prisma CloudによるCSPMの実装が完(wan)了したが、サイバーセキュリティチームは次のステップに移っている。コンテナやサーバレスといったクラウドネイティブな活用が広がっており、マルウェアへの対策(ce)など従来の技術では十分ではないと考(kao)(kao)え、CWP(Cloud Workload Protection:クラウドワークロード保護)の導(dao)入を考(kao)(kao)えている。ここでも、システム担当者、セキュリティ担当者双方が導(dao)入に前向きになれる技術が必要であり、それがエージェントレスのCWPだと考(kao)(kao)えている。越智氏(shi)は、「このような技術を活用することで、まさにセキュリティが「やらなければならないもの」から「これさえ実施すれば心配せず新(xin)しいことができる」といったビジネスの後押しをする存在になると考(kao)(kao)えています。」とし、システム利用とセキュリティが【&】でつながることが重要なのだとした。

これまで、不動(dong)産(chan)開発事業(ye)者として、利用者へ安全(quan)で快適な施(shi)設を提供し続けて、信頼(lai)を得てきた三井(jing)不動(dong)産(chan)。リアルエステートテックへの取り組みも同様に、重い責任感をもって取り組まなければならないとサイバーセキュリティチームは考えている。だからと言って、行動(dong)を抑制させることが本質ではないとも語る。越智氏は「これだけやってくれればセキュリティは担保されるので安心してビジネスを推進してください、といえる組織でありたい。」と語った。

ICTを活用した事業の変革と、変革を支えるセキュリティ強化に取り組(zu)む三井不動(dong)産。日本トップの不動(dong)産開発会社が推し進めるサイバーセキュリティへのチャレンジが、日本のセキュリティ対策(ce)のベストプラクティスになることを期待したい。

導入事例のダウンロードはこちらから

PDF版ダウンロード(297.8KB)

お客様プロフィール

三井不動産株式会社様

三井不動産株式会社

導入サービスのご案内

詳細は、サービスページをご覧ください。

Prisma Cloud(Palo Alto Networks)

この記事は役に立ちましたか?

はい いいえ