LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

導入事例 | 

三井不動産株式会社様 Prisma Cloud事例

「&」に込められた共存・共生の想いが、
三井不動産の情報セキュリティを支える

街づくりの一層の進化と、不動産業だからこそ実現できる新しい価値の提案を、テクノロジーを駆使して実現している三井不動産。同社は、DXを強力に推進すると同時に、クラウド環境のセキュリティ対策を強力に推し進めている。

三井不動産グループの掲げる長期経営方針VISION 2025では、「テクノロジーを活用し不動産業そのものをイノベーション」という方針に沿って、情報システムの活用を大きな手段の1つとして位置付けている。

DXを推進する一方で、コストと評されがちなセキュリティ対策を両立できた理由を、DX本部DX一部の越智氏と亀ノ上氏に伺った。

越智 勇貴氏
DX本部 DX一部
DXグループ
サイバーセキュリティチーム
技術主事 越智 勇貴氏
亀ノ上 明氏
DX本部 DX一部
DXグループ
サイバーセキュリティチーム
技術主事 亀ノ上 明氏

三井不動産におけるDXの捉え方

三井不動産グループは、オフィスビル、商業施設、リゾートやホテル施設など幅広い不動産開発事業を手掛け、売上高一位を誇る大規模デベロッパーだ。

2018年には、長期経営方針「VISION 2025」を策定し、変化する人口構造、価値観の多様化、産業構造やビジネスモデルの変化に加え、ICTの加速度的進化に対応することを示した。「VISION 2025」においては3つの主要な取り組みの方針を挙げ、その1つが「リアルエステートテック活用によるビジネスモデルの革新」である。

この取り組みは、ICTの活用をさらに進めることで、顧客満足度の向上、新たなマーケットや価値の創造、施設で得られるデータの蓄積と活用を示している。

リアルエステートテックの推進において、データの蓄積と活用に至る基盤にはICTの活用深化と、DXの強力な推進が必要となる。越智氏は三井不動産におけるDXの推進について「各従業員に対してDXについての研修を提供し、全員が自分事化するように取り組んでいます。例えばコワーキングスペースであるワークスタイリングは、いわゆる箱貸しではなくDX込みで設計され、利用開始から退出までスマートフォンと連動したあらゆるサービスを提供していますが、これは経営方針に基づいた取り組みから始まっています。」と語るように、DXの浸透が会社全体で進んでいる。

DX推進に対する社員とICT基盤の現状

DXの推進において重要なことは、社員がICTのビジネス活用を自分事化することだと語るのは亀ノ上氏だ。亀ノ上氏は、「ICTを活用することは自身の"本業"という意識を持っています。何か新しい事業を始める際に後付けで情報システムもやるか、ではなく最初から情報システムも一体となって考えるといった位置づけになっています。」と語った。

ICTの基盤はクラウドに移行され、CCoE(Cloud Center of Excellence:クラウド活用推進組織)が組織化されたことでクラウド利用が加速している。クラウド利用のメリットとされる、コストメリット、拡張性、メンテナンス性に加え、三井不動産全体で企画される数多くの事業案に対して最短での検証が実現されていることが、最大のメリットだ。

DX推進とセキュリティ対策、相反する課題への対処

ICTの利用拡大に伴い懸念されたのが、サイバー攻撃へのリスクの拡大である。クラウド活用やサービス間連携を強化することは、攻撃される個所が増加することを意味する。多くの企業は、積極的なICTの活用とセキュリティ対策は相反する関係と考えている。価値創造につながるICTと、リスク軽減に投資するセキュリティを天秤に、バランスを考える企業が多い。

しかし、三井不動産は根本的な考え方が違う。価値創造を積極的に行うために、セキュリティ対策を万全にする。様々な挑戦を可能にする盤石な基盤を手に入れることが命題とされた。この考え方は、三井不動産の【&】に込められた理念によると越智氏は語る。「当社の理念【&】には、対立する概念【OR】としてどちらかを選ぶのではなく、相克を乗り越え共生させるという意味が込められています。この理念はわれわれのようなIT部門にも浸透しており、仕事をするうえで必ず意識する上位の理念となっています。」

そのため、経営層、管理職のセキュリティに対する意識は高く、セキュリティ対策に必要な費用に関しては理解を得られているという。

クラウドは生命線。守るために必要な取り組み

不動産開発事業とICTの協調を進める三井不動産にとって、クラウド基盤は生命線といえる。クラウドは、利用の障壁が低く、必要な時に必要なだけコンピューティングリソースが提供される。しかし、多くの事業が利用を加速させる中、両氏が所属するサイバーセキュリティチームや、幹部層からも、セキュリティガイドラインに頼る運用から、一歩進めたセキュリティ対応への方針を示した。

クラウドは、システム開発や運用の過程で、頻繁にリソース・プロビジョニングを繰り返す。この過程で必要なセキュリティ設定などを行わず、セキュリティレベルが低下した状況で運用を続けたことで発生した、他社のインシデント(セキュリティ事故)事例がある。

そこでセキュリティチームでは、CSPM(Cloud Security Posture Management:クラウド セキュリティ体制管理)の導入に踏み切った。CSPMは、パブリッククラウド環境とAPI連携することで、クラウド側の設定を自動的に確認し、セキュリティの設定ミスや各種ガイドライン等への違反が無いかを継続してチェックする仕組みだ。クラウド利用におけるベストプラクティスをチェックルールとして設定することで、事業担当がクラウドを活用する際に安全な利用方法を提示する。

三井不動産は、CSPMとしてPalo Alto Networks社のPrisma Cloudを導入し、同時に「クラウドセキュリティ統制支援サービス」によるラックの支援を受けた。越智氏は導入の理由を「Prisma Cloudは他社のCSPMと比べて例えばアノマリ検知など他にないアルゴリズムを導入されており、技術的に興味深かったこと、外部発表なども積極的なことから技術的にも高いと判断し、導入に至りました。」と語った。

Prisma Cloudは導入が容易な反面、運用には工夫が必要

Prisma Cloudの導入については、難易度としては低かったと語る越智氏。AWSへ適用した際には、IAMロールを作成するだけで作業は完了する。そのため、実際に各システム担当者にIAMロールの作成を依頼し、すぐに対応可能な担当者であれば即日対応し、規模の大きなシステムでも2、3日で導入が完了するといった状況だったと語る。クラウドの利活用のハードルが下がるがセキュリティ対策は面倒な状況にはならない点を評価していた。

一方で、導入後の運用は難易度が高いと語るのは亀ノ上氏だ。実際にPrisma Cloudを運用することで、すぐに大小様々なアラートが出力されることになる。脆弱性マネジメントと同じく優先度付けや対処方法を整理することが悩ましいという。三井不動産は、クラウドセキュリティ統制支援サービスを利用し、導入時に優先度に応じた自動通知や月次でアラート分析を行う運用を2カ月程度かけて構築した。現在も同サービスを活用しラックと共にPrisma Cloudの運用を続けることでうまく運用が回り始めているという。

越智氏と亀ノ上氏

運用で最も重要なことは、セキュリティ対策を施しながらも、システム担当が利用しやすく、システム利用者も不利益を被ってはならないと越智氏は語る。この取り組みにおいても、ラックのエンジニアもともにPrisma Cloudのチューニングを進め、満足できる状況になったという。越智氏は、「ラックには、蓄えられたCSPMのノウハウを、多くの企業の管理負担を下げるために活用してほしいです。」と語った。

セキュリティの今後

無事、Prisma CloudによるCSPMの実装が完了したが、サイバーセキュリティチームは次のステップに移っている。コンテナやサーバレスといったクラウドネイティブな活用が広がっており、マルウェアへの対策など従来の技術では十分ではないと考え、CWP(Cloud Workload Protection:クラウドワークロード保護)の導入を考えている。ここでも、システム担当者、セキュリティ担当者双方が導入に前向きになれる技術が必要であり、それがエージェントレスのCWPだと考えている。越智氏は、「このような技術を活用することで、まさにセキュリティが「やらなければならないもの」から「これさえ実施すれば心配せず新しいことができる」といったビジネスの後押しをする存在になると考えています。」とし、システム利用とセキュリティが【&】でつながることが重要なのだとした。

これまで、不動産開発事業者として、利用者へ安全で快適な施設を提供し続けて、信頼を得てきた三井不動産。リアルエステートテックへの取り組みも同様に、重い責任感をもって取り組まなければならないとサイバーセキュリティチームは考えている。だからと言って、行動を抑制させることが本質ではないとも語る。越智氏は「これだけやってくれればセキュリティは担保されるので安心してビジネスを推進してください、といえる組織でありたい。」と語った。

ICTを活用した事業の変革と、変革を支えるセキュリティ強化に取り組む三井不動産。日本トップの不動産開発会社が推し進めるサイバーセキュリティへのチャレンジが、日本のセキュリティ対策のベストプラクティスになることを期待したい。

導入事例のダウンロードはこちらから

PDF版ダウンロード(613.5KB)

お客様プロフィール

三井不動産株式会社様

三井不動産株式会社

https://www.mitsuifudosan.co.jp/

導入サービスのご案内

詳細は、サービスページをご覧ください。

Prisma Cloud(Palo Alto Networks)

この記事は役に立ちましたか?

はい いいえ