導入の背景や課題
多様なクラウドサービスの活用を見据え、グローバルスタンダードなツールを検討
写真左からGA technologies 中村氏 山田氏
「テクノロジー×イノベーションで、人々に感動を生む世界のトップ企業を創る。」を経営理念に掲げるGA technologiesは、2022年5月の宅建業法改正なども背景に不動産DXを推進するほか、創業10年目となる今年からM&Aなど新たな領域にも力を入れています。ChatGPTのような最新技術についてもルールを見定めながら積極的に活用を検討するなど、攻めと守りのバランスを考慮しながら、付加価値を生み出すプラットフォームやプロダクト作りに取り組んできました。
この先、事業が拡大する中でますます多くのクラウドサービスとの連携は不可欠になっていきます。「従来はID管理の基盤として国産のIDaaSを採用していましたが、今後、より多くのサービスと連携していくに当たり、汎用性高く、かつ現在広く普及しているグローバルスタンダードなツールの導入が求められると考えていました」(同社、SRE Team Senior Manager、Corporate IT Senior Manager 中村氏)
GA technologiesはもう一つ課題を抱えていました。さまざまなセキュリティ対策を講じてきましたが、万一に備えたアクセスログを取得できる仕組みが十分ではなかったのです。「RENOSYには約35万人の会員様情報を保有しており、それらが漏洩すると大変なことになります。漏れないよう対策するとともに、万が一漏れてしまった場合に、どこから漏れたのかを調査できるようにする必要がありました」(同社、Engineering Division、QA Team セキュリティエンジニア、他、CSIRT等を兼務 山田氏)
GA technologiesではエンジニアのほか、営業、デザイナーやカメラマンなど多種多様な職種の人材が働いています。中国やタイにもグループ会社があり、国籍も日本だけに限らない中で、誰がどのようなサービスを活用しているか把握できていないことにも課題を感じていました。
選定のポイント
DX推進を加速させるため、IDaaS基盤およびSASEの導入を推進
GA technologiesではサービス基盤も社内システムも、基本的にクラウドをベースとしています。この環境に適したIDaaS基盤として選定したのがOktaでした。
「IDaaSは情報システム系のツールの中でも、セキュリティ管理の中核をなすものです。ここを外してしまってはいけないと考え、連携しているサービスの数が多いグローバルスタンダードなものを選びました」(中村氏)。経済産業省デジタル・トランスフォーメーション(DX)室の「デジタルツール導入実証・調査事業報告書」に含まれているツールであることも後押しとなりました。
人手不足が深刻なエンジニアの獲得・育成という面でも、最も広く利用されているツールを採用する方が有利と考えています。「エンジニアを確保する上でも、例えばIaaSなどのクラウドサービス選定する上でも日本国内だけで展開されているサービスよりもグローバルに使われているIaaSを選定することで人材リソース確保が容易になります。」(中村氏)
また、アクセスログを収集し、さらにクラウドサービス利用状況の可視化からきめ細やかな制御まで実現できるソリューションとしてNetskopeを採用しました。「私たち自身がDXを進めていく立場にあります。新しいサービスを使うなと禁じるのではなく、メンバーができるだけ安全に使えるような環境づくりを積極的に取り入れたいと考えました」(山田氏)
当初はプロキシ製品の導入も検討しましたが、アクセスログの検索性が低く、使いにくいと判断しました。「検討を進める中、そもそもアクセスログを取る目的は何かと原点を考える中で、むしろクラウドへのアクセスを制御すべきではないかと方針が変わり、CASBが浮上しました」。ログの検索性に優れ、社内端末の大半を占めるMacに対応できるといった条件を考えると、Netskopeがほぼ唯一の選択肢でした。
導入の効果
見えていなかった実情を可視化し、新たなルール策定の土台に
GA technologiesはセキュリティ専門企業として多くの実績を持つNRIセキュアの支援を得ながら導入を進めました。2022年前半から基本的な検証を行い、8月以降に本格的な運用を開始しています。
ID基盤の移行には慎重さが求められますが、以前利用していたIDaaSはGoogle Workspaceへのログイン以外に利用していなかったこともあり、移行作業は想像以上にスムーズに進みました。セキュリティを考慮し、社内ネットワークからの接続時にはパスワード認証を、社外からログインする際には多要素認証を求める形で運用しています。
一般に基盤とはユーザーにとっては動いて当たり前であり、できるだけ使い方も変えたくないと言われがちです。しかし「エンジニアではない管理部門の部門長から、『最近ログインの仕組みが変わったけれど、UIが分かりやすくて新しい方がいいですね』と言われました。導入を進めるエンジニアだけでなく、日々ツールを使うメンバー(一般ユーザー)にも配慮された設計になっているところも優れていると感じました。」(中村氏)という具合に好評です。
一方、Netskopeを導入してみると、予想以上に多様なクラウドサービスが活用されている実態が一目瞭然となりました。「Facebookメッセンジャーを使って機微な情報をやり取りするケースが見つかるなど、『こんな使い方がされていたのか』とわかるようになりました。この実情を踏まえ、サービス利用に関するルール作りに取り組み始めています。Netskopeがそれを考える土台になったと思います」(山田氏)
むやみに展開してしまうと、それまで利用できていたクラウドサービスがブロックされる恐れもありましたが、NRIセキュアの支援を得ながら丁寧にチューニングを進めています。また「Netskopeのポリシー設定に際して、NRIセキュアからテンプレートを事前に提供いただけました。『こういった感じで設定すればいいのか』と把握した上で、自前でカスタマイズしていくことができ、とても助かりました」(山田氏)
今後の展望
OktaとNetskopeによって見えてきた「何をすべきか」、全社のリスク診断も実施へ
OktaとNetskopeの導入によって、クラウドを前提としたIT環境において適切なコントロールを実施する土台が整いました。「皆、セキュリティはやった方がいいと思っていますが、具体的に何をやればいいかわからないという悩みがあると思います。それが今回の導入によって見えるようになってきました」(中村氏)
もちろん決して少なくない投資でしたが、経営層も積極的に背中を押しています。経営層からは「今我々は100点満点中何点で、何をしたら点数がどこまで上がるかを整理すべきではないか」という指摘も受けました。
そこで今度は、NRIセキュアの力を借りてセキュリティリスクの診断を実施する予定です。現状をさらに可視化し、目指すべきレベルを明確にしてGA technologiesの「スタンダード」を確立し、それをグループ会社や海外拠点にも展開していきます。「全グループ同一のレベルでしっかりセキュリティ対策ができているという状況まで持っていきたいと考えています。その中で、NRIセキュアのいろいろなサービスに期待しています」(中村氏)
もちろんイノベーションのスピードは緩めません。「新しいクラウドサービスが出てきたら、危ない部分は防いでできる限り安全にしつつ、それらを積極的に使って便利にしていきたいと考えています。安全性と利便性が両立できる、邪魔にならないセキュリティを実現していきます」(山田氏)
※本文中の組織名、職名、概要図は2023年6月時点のものです。
