オープンハウスグループ、Akamai Guardicore Segmentationでセキュリティ強化と運用効率化を実現

内製システムが総合不動産企業の急成長を支える

株式会社オープンハウスグループは、東京都心における戸建て関連事業を中心とし、マンション事業、収益不動産事業、米国不動産事業など多岐にわたるビジネスを展開する総合不動産会社です。2013年の上場後は11期連続で売上高を更新し、2023年には売上1兆円を突破した急成長企業として注目されています。

この急成長を支えるのが、充実したIT基盤です。同社では基本的にITを内製化する方針のもと、ビジネスのニーズに柔軟かつ迅速に対応してきた結果、現在では100以上のシステムと150以上のアプリケーションが稼働しています。

ラテラルムーブメント対策の必要性を認識

会社の急成長によってシステムやアプリケーションが増加すると、IT環境が複雑さを増し、セキュリティ対策にほころびが生じやすくなります。同社においても同様の課題を抱えていたと、オープンハウスグループ 情報システム部 インフラストラクチャグループ セキュリティ課の荒井康生氏は明かします。

「お客さまに安心して物件の購入や売却をしていただくため、そして取引先企業様との関係を維持するために、セキュリティ対策は社会的責任として不可欠と考えています。また、ランサムウェアなどによる被害が発生すると、当社の強みである事業スピードが著しく低下し、結果的にステークホルダーの皆様にご迷惑をおかけしてしまいます。そこでセキュリティへの投資も欠かさず行ってきましたが、ネットワークおよびセキュリティに関する課題を抱えていたのも事実です」

オープンハウスグループ 情報システム部 インフラストラクチャグループ インフラ課の池田一貴氏は、「数多くのシステムとアプリケーションを60名ほどで管理していますが、どのシステム同士が連携しているのかを把握し、その間の通信に異常がないかを確認する業務は、各担当者に依存する部分もあり、属人化しがちでした。」と振り返ります。

システムの監視については、整理されていない大量のログが生じるゆえに、フォレンジック調査に意図しない工数がかかってしまうことも課題でした。さらに、セキュリティ運用面の考慮不足やガバナンス不足にも頭を痛めていました。中でも特に懸念していたのが、ラテラルムーブメント対策です。

「外部からの脅威に対するWAFやUTMなどの境界防御は重点的に取り組んでいましたが、侵入された後の内部ネットワークにおけるラテラルムーブメント対策（水平展開への対策）が十分ではない状態でした。EDRを導入していたものの、ベンダーのサポート期限を越えたレガシーなOSにはEDRが導入できないケースもあり、セキュリティ面での課題となっていました」（池田氏）

機能面と Akamai への信頼で Akamai Guardicore Segmentationを採用

これらの課題、特にラテラルムーブメントへの対応方法を検討する中で、オープンハウスグループは「Akamai Guardicore Segmentation」に注目し、採用を決定しました。

荒井氏は、機能面での選定理由として大きく2つを挙げます。

「エージェントによってプロセスの具体的な動きを深く見ることができる点は、他のマイクロセグメンテーションツールとの比較で最も優れているポイントでした。課題となっていたレガシーOSが混在する中で、セキュリティを底上げしたいと考えていましたので、エージェントが当社で稼働中の最も古いOSにも対応していたことも重要でした。もう1つは、サーバー間の通信を比較的許容する構成としているため、その通信をしっかり制御できるソリューションだという点です」（荒井氏）

選定には、Akamai ソリューションへの信頼感も大きかったといいます。荒井氏は、「すでにCDNとWAFを導入して実績が素晴らしかったため、引き続き Akamai に相談しました」と語ります。

セキュリティの課題を克服した上で想定外の効果も発揮

Akamai Guardicore Segmentationの導入による最も大きな成果について荒井氏は、「全ての通信がプロセス単位で可視化されたことです。これまでシステム間の連携情報の把握は属人化していましたが、現在では同ツールによって他のスタッフでも視覚的に理解できるようになりました」と話します。

また、従来は膨大な時間を要していたフォレンジック的な調査の大幅な効率化も実現しました。「Akamai Guardicore Segmentationでは直感的なGUI操作で、判断に必要なログの発見やプロセス単位での表示が可能です。ソース、ポート、時間帯などで絞った調査を容易にできます」と池田氏は説明します。

加えて、「望ましくないIPやドメインに対する通信を検知し、日々的確に対処できる点も助かっています」と荒井氏は話します。具体的な成果として、同社の物件購入サイトの会員登録ページで発生していた問題を解決しました。会員登録時に入力されたメールアドレスを基に自動送信を行う際、攻撃者の可能性がある不審なメールサーバに誤って接続しないよう、DNS Security 機能によって不審なドメイン宛の通信を事前にブロックしています。これにより、営業活動において不用意に不審なサーバへメールを送信するリスクを防ぎ、結果としてセキュリティリスクの大幅な低減につながっています。

運用面での考慮不足については、通信が視覚的に理解できるようになったことで大きく改善されました。 特に、ポリシールールの一覧に表示される「Hits」という項目が重要な役割を果たしています。これはそのルールに合致した通信の発生回数を示すもので、不要なルールを判別するのに有効です。0回であれば不要と判断でき、削除することでセキュリティホールの縮小やFPの抑制につながります。

そして現在対応を進めているゼロトラストに向けた取り組みでも、Akamai Guardicore Segmentationが貢献しています。ログをCSV形式で出力できるため、これをもとに通信のIPレンジやポートを調査し、内部の通信のうち本当に必要なもののみ許可する厳しいルールを設定可能です。また、マイクロセグメンテーションのプロセス単位での制御により、サーバーに「門番」を置くことができます。

Akamai Guardicore Segmentationの導入はセキュリティを向上させましたが、それ以外に当初想定していなかった効果ももたらしました。

「オンプレミスからクラウドに移行する際に、旧環境のサーバーを停止して問題がないかを確認するために通信状態を調べるのですが、通信の可視化によって楽に行えるようになりました。また、『Mapを確認し、通信の矢印がなければ連携されていない』という直感的な確認方法により、使用しているソフトウェアと連携されていない機器が、一目で分かるようになりました」（池田氏）

「最終防衛ライン」「最後の壁」として攻撃に立ちはだかる Akamai Guardicore Segmentation

池田氏は、Akamai Guardicore Segmentationの価値を「最終防衛ライン」という言葉で評価した上で、「セキュリティを強化するだけでなく、日々の業務もスムーズにしてくれる、心強い味方です」と話します。今後の展望については、「現在はインバウンドの制御のみですが、今後プロセス単位やアウトバウンドの制御も実施し、不要な穴を塞いでいきたいと考えています」と力強く語ります。

荒井氏は、「最後の壁」と表現して異口同音に Akamai Guardicore Segmentationの価値を評価します。

「第1の壁がデータセンターのファイアウォール、第2の壁がEDR、そして最後の壁としてマイクロセグメンテーションの Akamai Guardicore  Segmentationがある。3つの壁で外部・内部からの脅威に対してしっかり対策を打ちたいと考えています」（荒井氏）

その上で荒井氏は、「今後も Akamai とのパートナーシップにより、脅威ハンティングの分野でプロアクティブに攻撃者より先を行き、セキュリティを継続的に強化していきたいと考えています」と語り、Akamai へ期待を寄せています。