写真左からGA technologies 中村氏 山田氏 NRIセキュアテクノロジーズ 境 石橋 藤井
GA technologiesは、ネット不動産投資サービスブランド「RENOSY」をはじめ、さまざまな産業でテクノロジーを生かしたイノベーションに取り組んでいます。より高い付加価値を生み出すため、新たなクラウドサービスの採用にも積極的ですが、その環境をさらに拡張し、かつ利用状況を可視化していく基盤として、NRIセキュアの支援を得ながら「Okta」と「Netskope」を導入しました。
一般に新たなセキュリティ対策の導入は、エンジニアをはじめ現場からの反感にぶつかりがちですが、GA technologiesではそうした声はほとんどなく、スムーズに、スピーディーに導入を進めることができました。それを可能にした企業文化やポイントとは何だったのでしょうか。ともにプロジェクトに取り組んだNRIセキュアテクノロジーズの藤井、境、石橋が、GA technologiesの中村氏と山田氏に尋ねました。
急成長企業ならではの「兼務」の多さ、ポリシーにいかに落とし込むかがポイントに
NRIセキュア 石橋:あらためて御社の特徴について教えてください。
GA technologies 中村:GA technologiesは不動産のDX化を進めていますが、不動産業界だけにこだわっているわけではありません。隣接する金融、さらに直近ではM&Aといった領域も含めたさまざまな分野で、テクノロジーでイノベーションを起こすことに取り組んでいます。
NRIセキュア 境:今回のプロジェクトを通じて、テレワークだけでなく出社とのハイブリッド勤務をなさっているように感じたのですが、社内・社外のコミュニケーションで意識されていることはありますか?
中村:チームにもよりますが、基本的に週の5営業日中3回は出社という方針になっています。コミュニケーションに関しては、メンバー同士が信頼して仕事を進められるように、出社時の挨拶の徹底、リモートで会議を行う際は必ず顔を見れるようにするなど、当たり前のことを当たり前にやるということをしています。
GA technologies 山田:たいていはSlackでやり取りし、直接話したければGoogle Meetで、というやり方が普通になっていて、ある意味文化として根付いていますね。
境:中村様は、サービスを支えるインフラを見るSRE(Site Reliability Engineering:サイト信頼性エンジニアリング)に所属しつつ情報システム部門の部門長も兼務されていますが、グループ全体のSREも見ているのでしょうか?
中村:グループ会社に関しては、ITANDIのように内部にSREがいる場合もあれば、RENOSY XのようにGA technologiesに業務委託している場合もあり、チームや領域によっていろいろです。組織急拡大の副作用かもしれませんが、GAグループの特色として「兼務」の多さがあります。「この人ならばこの業務ができるから」という具合に、業務が組織ではなく個人に紐付いているケースが少なくなく、私自身もそんな流れで情報システムを見ています。
NRIセキュア 藤井:Oktaを提供する立場からいろいろな組織を見てきましたが、兼務は珍しくなく、中には数十もの兼務をされているお客様もありました。兼務があるとどうしても権限管理の設計で苦労されますね。グループルールを作成し、属性に応じて「この部署に所属しているメンバーには、これらのSaaSを許可する」といった整理を行っていくのですが、そのルールに当てはまらない部分が出てきます。細かくルールを決めたり、時には手動でルールを追加することもあります。
中村:まさに我々は今、各事業部でどんなツールを使っているかの整理を進めていますが、やはりポリシー設計は難しいですね。たとえば広報担当にfacebookの閲覧だけでなくアップロード機能も許可したとして、同様に人事にも開放すべきか、全員に開放してもいいのか……と突き詰めていくと、グループ設計自体がどうあるべきかという根本的なことも考えなければなりませんね。
今回に限らず新しいツールを入れる時に心がけているのは、最後は担当者に任せるにしても、少なくとも最初の部分ではある程度私自身で設定の構造やポリシーなどに触れ、理解することです。最初からすべて丸投げしてしまうと、回るものも回りません。やはりすべては、責任者がどれだけ引っ張っていけるかにかかっていると思います。
藤井:OktaとNetskopeもそうですが、全体を俯瞰して見ることができる方がいないと導入は難しいと思います。今後は両製品に関してどんな展望を描いていらっしゃいますか?
中村:まだOktaと連携できていないサービスがあるため、今後、連携対象を広げていく予定です。また、社内では外部サービスを利用する際のチェックリストを設けていますが、そこにNetskopeのサービススコアを反映し、「このサービスは安全だから使ってもいいだろう」といった判断を下していきたいと思っています。また、人事マスターデータと連携し、新たに社員が登録されたらOktaやNetskopeの設定に適用させるといった一連の流れもしっかり自動化したいと考えています。
スピーディーに進んだ切り替え、背景には数年前からの種まきが
境:今回、ご支援する立場から1つ気になっていたことがありました。多くのグループ会社を束ねる立場として、各社のセキュリティ担当者との調整はどのようになさっていたのでしょうか。いろいろなお客様を見ていると、新たなソリューションを本社の情シス主導で導入しようとしても、誰もやらずプロジェクトが動かないか、それとも反発されるか、どちらかのパターンに陥ることが少なくありませんが……。
中村:たとえばITANDIの場合は、ITANDI側のシステム担当者やエンジニアの部門長とやり取りしながら進めましたが、それほど課題は感じませんでした。現場目線や課題を理解しないまま進めようとすると反発はあるでしょうが、すでに社内のメンバーとの協力関係ができあがっており、その辺りの信頼が得られているのがGA technologiesのいいところかもしれません。何かをやるときだけ頑張るのではなく、普段から良好な関係を作り、信頼を築いておくことが情報システム部門として大切だと思います。
Netskope導入に関しては、実は2〜3年前から少しずつ問題提起を行っていました。他社の情報漏洩事件が報じられたタイミングなどで、「現状ではうちはログのトレーシングが十分ではないのですが、これは問題ですよね」と少しずつ、少しずつ伝えて雰囲気を温めていき、機が熟したところで「じゃあ、そろそろやりますか」と実施したところがあります。
藤井:Oktaの導入に当たっては、Okta Verifyの配布や登録など、ある程度ユーザーさんに手間を強いる部分が生じますが、そこも反発なく、スムーズに導入が進んだのでしょうか。
中村:はい。それまでも、たとえば「パスワードだけでSalesforce.comにログインできてしまうのは危険だから、二段階認証を有効にしたい」と、現場から言ってくるくらいでした。セキュリティに対しては一定の理解があると思います。
藤井:御社の導入・展開は非常に迅速だったと思います。特にOktaは1カ月もかからず、実質的に約3週間で1300ユーザー分の切り替えまで実施していただきました。他の導入例に比べ非常に早いスピード感でしたが、ユーザーの皆様への周知などで工夫されたことなどはあったのでしょうか。
中村:社内のポータルサイトがありまして、そこに通知を掲載するとSlackにも通知がいく仕組みになっています。
ある日ログインしようとしたら画面が変わっていてOktaに入らざるを得ないから、やむを得ず切り替えた、という部分もあるかもしれません。
藤井:Okta導入では、切り替える前の準備が成功の鍵を握ると感じています。まずユーザー様にOktaに入っていただかないと話が始まりません。他社様の場合、その先で何もアクセスできなくなるような事態を避けるため、アクティベートメールの有効期限を延ばしたり、再通知を行ったりといった工夫をされるケースが多かったのですが、GA technologies様ではアクティベートメールの有効期限がデフォルトの7日間だけで移行が進み、非常に迅速だと感じていました。そういえば、切り替え作業は夜ではなく、朝の7時からでしたね。
中村:あのときは、さすがに「みんながログインできなくなったらどうしよう」とドキドキしながら切り替えを迎えました。
藤井:今回は認証部分の切り替えだけだったため、トラブルが起きた場合でも、元に戻せば済む部分もありました。ただ今後、プロビジョニングを行い、さまざまなサービスとのID連携が進んでいくと、元に戻すのは容易ではなくなります。そういった場合は時間的に余裕あるタイミングの方がベターかもしれません。
石橋:他に、NRIセキュアとのコラボレーションに関して進めやすかった部分があればお聞かせください。
山田:Slackでやり取りさせていただくことができ、とてもスムーズでした。
中村:こちらからの雑な質問にも、きちんと意図を汲んだ上で対応していただけたことが印象的でした。たとえばGA technologiesでは開発環境にDockerを利用しているのですが、「Dokcerからの通信をバイパスできないのですけれど」と投げると、きちんと「マニュアルのここにあるこの辺を設定すればできると思います」といった具合に、丁寧に対応していただけました。
境:ありがとうございます。我々としてもとても働きやすかったと感じています。Slackでのやり取りはもちろん、込み入った話が必要な時はそのままSlack上で「今から一時間後ならミーティングができます」と即座にGoogle Meetを設定したりと、スピーディーに進めていけました。リモートワークで違う場所にいながら、まるで同じオフィスで働いているかのように進めていけた感覚がありました。
中村:私からも1つ質問があります。NetskopeやOktaといったツールを入れた後、それらを理解し、運用できる人材を育てるポイントは何でしょうか。こんな技術スタッフやバックボーンを持つ人をアサインするといい、といった傾向があればいいのですが。
境:運用についてはアウトソースされるお客様もいらっしゃいますが、自社で運用される場合は、ある程度セキュリティを理解している方をアサインするのが望ましいと考えます。そういった担当者の方へ向けて、我々からトレーニングプランを提供し、自社運用が円滑に回るようサポートさせて頂くこともございます。
藤井:当社ではよくSASE,IDaaS,エンドポイントと3点防御の説明をさせて頂くので、その3点で分けると傾向として、Netskopeについてはエンドポイントのプロよりもネットワーク系のプロの方が扱いやすいように思います。Oktaは認証系ですので、どんな分野から派生していっても大丈夫という印象があります。
「HEART」のしっかりしたエンジニアが揃うからこそ、手段ではなく本質にフォーカス
境:エンジニア人材の育成もお二人の守備範囲なのでしょうか。非常に広い範囲を見ていらっしゃいますね。
中村:基本的には各チームで育てていく形です。GAの新卒エンジニアには1つ特徴があります。基本的に未経験でも採用しています。「GAGS」(GA GROUP SPIRIT)というGAグループのスピリット、マインドを備えているかどうかが採用のポイントです。そうして採用した後は、CTO自らブートキャンプという育成プログラムを通してエンジニアを育成し、その後配属されていきます。
境:プロジェクトを一緒にやらせていただく中で、皆様の技術力の高さを感じていました。質問をいただくにしても、単純に「これがわかりません」ではなく、ある程度調査した上でさらに深い質問が来る、という感覚があり、毎回すごいなと感じていたのですが、背景にはそうしたしっかりとした育成体制があるのですね。
ただ、エンジニアの方々が主役となるのはいいことですが、たとえばNetskopeの導入によって普段使い慣れているツールや技術スタックが使えなくなることに大きく反発し、最悪の場合転職してしまう、といったケースを耳にしたこともあるのですが……。
中村:先ほど申し上げたGAGSのキーワードの1つに「HEART」があります。何かと言うと、「誠実。素直。人としてちゃんとしよう。」ということなんですね。弊社のエンジニアはこのHEARTの部分がしっかりしているので、「このツールが使えなきゃだめだ」とか「この言語が使いたい」といった本質とは異なる部分に価値を見出す人はあまりいません。エンジニアの本質とは、何らかの課題を解決したり、効率化を図るためにものを作ることです。勿論、導入することでプラスになるものは導入しますが、一人一人がその本質を見抜く力を持っていることが、GA technologiesの強みだと思っています。
境:それらはあくまで手段に過ぎない、ということですよね。
藤井:そうした形が理想型だと思いながらも、なかなか踏み切れない情シスの方々も多いと思います。やはり、背景には社内の協力体制や信頼感があり、さらには経営層の理解もある、そういった関係性があるからこそ推進できるのかなと思います。
境:ちなみにプロダクトに関しては、上流工程からセキュリティを埋め込む「シフトレフト」などにはもう取り組まれているのでしょうか。
山田:はい。セキュアコーディングから始まり、一年ほど前からようやく、要件定義や設計段階でのセキュリティの埋め込みも始めました。そこで効いているのが、先ほども触れたHEARTの部分です。転職前はセキュリティというと、「またか……」と嫌な顔をされるイメージがありましたが、GA technologiesではまったくそんなことがありません。本質を踏まえて、「危ないからこうしましょう」と提案すると、「ああ、そうですね」と素直に受け入れてくれるので、とてもいい会社だなと思います。
OktaとNetskope導入によって実現した現状の可視化、次はグループ全体の課題に取り組む
石橋:この先、事業価値を高めていく上でセキュリティにはどんな要素が求められるでしょう?
山田:やはり、事業の邪魔をしないことが一番重要だと思います。セキュリティはしばしばブレーキに例えられますが、完全に車(=事業)を止めてしまっては意味がありません。安全にカーブを曲がれるようなブレーキであることが求められると思います。
石橋:安心してクラウド活用を推進していくには、他にどういった取り組みが必要でしょう。
山田:今回あらためて感じたことですが、まずは可視化が重要だと思います。これまでサービスの利用状況については、薄々危機感を抱きつつ実態がわからない状態でしたが、そこにNetskopeを導入したことで、具体的にどんなものがあるかが把握できました。現状がわからなければ対策は打ちようがありませんから、やはり可視化は第一にやるべきことだと思いました。
もう1つは、先ほども述べた通り便利さとのバランスです。できれば安全は必要最小限にとどめ、便利さを優先し、できる限りブロックしないという感覚で進めていますが、それにはやはり「どの従業員がどんなサービスを利用しているか」を把握しなければなりません。その意味でも、Netskopeを導入して良かったと感じています。
境:根底には、去年の宅建業法の改正にともなってオンライン取引が増加しているといった背景もあるのでしょうか?
山田:それもありますが、やはり弊社は何十万人と多くの会員を抱えています。そのお客様の情報が漏洩すればビジネスが成り立たなくなりますから、セキュリティ対策を強化することは最重視することの1つと捉えています。
中村:以前から、グループ全体のリスク管理体制の中で情報セキュリティ委員会を設け、エンジニアの他、法務や広報など、さまざまな部署から人を集め、セキュリティの向上に取り組んできました。その中で軸にしているのは、もし大きな問題が発生したとき、「そこまでやっていたのなら仕方ないよね」と納得していただけるような、株主やお客様に説明しても恥ずかしくない状態に持っていくことです。
石橋:他に、今後どういった取り組みを推進されていく予定でしょうか。
山田:この数年で、不動産の内見をオンラインでできるようになったり、申し込みや契約を電子的にできるようになりましたが、不動産業界にはまだまだアナログな部分が多々残っています。そういった部分の改善をこれからも進めていきます。
中村:その中で、どこまでを内製で自分たちが作りどこから外部にお願いするか、限られたエンジニアリングのリソースをどこに投下し、価値あるものを作っていくかは、考えどころだと思っています。その一環として、いわゆる情シスの業務の中でも、キッティングやヘルプデスクといった部分はアウトソースしていくことも検討しています。
藤井:おっしゃるとおり、リソース配分は悩みどころですね。
中村:今回の導入によって、セキュリティ全体の課題感がうっすらと見えてきましたが、まだはっきり可視化できたわけではありません。経営層にきちんと報告できるような形で可視化する必要があると考えていますし、IT戦略全体にも力を入れていかなければと思っています。
山田:Netskopeの導入によって、シャドーITという局所的な課題については可視化でき、解決策が見つかりつつありますが、GAグループ全体のセキュリティ課題はまだぼんやりしている状態です。まずそこをクリアにした上で、中長期的な戦略を作っていければと考えています。
中村:長期的には、M&Aによりグループに加わった会社も含め、グループ全体で一定のセキュリティレベルが担保されている状態を目指しています。まずはそれに向け、まだぼんやりしている足元の部分をはっきりさせていきたいと思います。
境:そういう意味では、リスクアセスメントサービスをご活用いただきながら、今後もぜひ、ともに前進していければと思います。ありがとうございました。
