三井不動産グループは現在、デジタル導入による全事業領域でのビジネス変革、デジタル人材の変革、デジタル基盤の変革という3つの変革を目指してDXを推進している。これに伴い業務のシステムへの依存度が高まるなかで、急務として取り組んでいるのがグループ全体のセキュリティ強化だ。

6月26日~27日に開催された「TECH+セミナー セキュリティ 2025 Jun. 今を守り、未来を築く」に三井不動産 DX本部 DX一部 DXグループ エンジニアリングマネージャーの春山智氏が登壇。同グループのサイバーセキュリティの取り組みについて説明した。

グループ全体のサイバーセキュリティを管理する「グループCSIRT」

三井不動産グループはオフィスビル、住宅事業に加えて商業施設やホテル、スポーツエンターテインメント、商業施設関連のECなど多様な事業を展開している。拠点数にして100以上もあるグループ会社はそれぞれがITシステムを運用しているが、IT要員が不足している会社もあるという。また不動産事業においてはビルの制御システムへのIT導入も進んでいるが、セキュリティ対策は一般のIT業界に比べて遅れ気味だと春山氏は話す。そこでグループでのインフラセキュリティを標準化することで、全体のセキュリティの底上げを目指している。

同グループのサイバーセキュリティの主管組織はDX本部で、そのなかの「グループCSIRT」が全体のサイバーセキュリティ専門組織として、ITガバナンス、統制、基盤・整備運用、分析・インシデント対応の4チームで活動している。ITガバナンスチームは情報システムの構成管理や日常のIT運用の効率化にあたる。統制チームはルール整備、点検や診断の担当、基盤・整備運用チームはセキュリティ製品の導入や運用、海外向けの支援を、分析・インシデントチーム対応は脅威の動向分析やインシデント時の実際の対応を担当する。そして各チームは、施策の事務局としてグループ各社の調整を行うヘルプデスク、インフラ担当チーム、セキュリティベンダーなどと連携する体制をとっている。

「グループCSIRTが各社と連携することで、CSIRTを中心としたグループ全体のセキュリティ強化を目指しています」(春山氏)

  • 三井不動産グループのサイバーセキュリティ担当の体制

担当者の負担増が課題

サイバーセキュリティに対しては、5つの基本方針に沿って取り組んでいる。まず、基本対策の徹底だ。脆弱性の放置など対策の穴が脅威になるためである。次に、侵入はあり得ると想定し、最悪の場合にどう対応するかを考えることである。そして3つ目はセキュリティの可視化だ。検知や対応の状況を月次でレポートして可視化し、四半期で経営層に報告するなどの仕組みをつくることで課題を浮き彫りにする。4つ目はビル・建物のセキュリティ強化、5つ目はグループ全体のセキュリティシステムの統合だ。

  • サイバーセキュリティ対策の基本方針

ただ、セキュリティ担当者の負担は大きい。新たな脅威や脆弱性は日々新たなものが見つかっていて、全てに即時対応することは難しくなっている。そこで担当者の負担を軽減するため、リスクに応じて対応の優先度を決めることにした。ただちに攻撃に悪用される可能性の高い脅威については最優先で緊急対応するが、それ以外は計画的に改善を進めることにしている。また、グループ内の小規模の会社や、大型DX案件が並走している場合には対応要員が不足する場合もあるため、対応の効率化も図っている。具体的には検知や監視を自動化して作業負荷を軽減するとともに、平時から構成管理を行ってシステム構成を把握することで、緊急時に迅速に対応できるようにしている。

具体的なセキュリティ強化の取り組み事例

優先度の高い脅威へのアプローチとして取り組んでいるのが、脅威インテリジェンスとASM(Attack Surface Management)の活用だ。VPN機器の脆弱性などただちに悪用される脅威に対応し、初期侵入を防ぐことがその狙いである。また万一侵入を許してしまった際の内部拡散を防ぐため、攻撃者の視点から穴を見つけるペネトレーションテストも実施している。テストは内部の環境や運用に即して高頻度で迅速にチェックするため内製で行い、ホワイトハッカーの資格を持つ分析・インシデント対応チームのメンバーが担当している。

グループ全体のシステムのセキュリティ維持のための点検や診断も実施している。統制的セキュリティチェックとしては、ルールに基づく準拠性のチェックを行っている。構成管理ができていないと漏れが発生するため、人手と時間をかけて要件を網羅的にチェックしているという。技術的チェックについてはツールによる自動チェックのほか、特定の領域では外部の専門サービスも活用している。また年次の点検においては、CSIRTチームがグループ会社の現場に足を運び、現場の状況を見て確認しているそうだ。

新たな取り組みとしては、ブランドプロテクションがある。三井不動産グループを騙るフィッシングサイトや詐欺目的の偽SNSアカウントなどが出現してきているため、専用のサービスを利用してインターネット上を継続的に監視する。もし偽サイトなどを発見した場合は、このサービスを通じてテイクダウンさせることも可能だ。これにより顧客の被害を防ぐとともに、グループのブランドを守ろうという取り組みだと春山氏は説明する。

「こうした新たなリスクに対応するため、システム部門だけでなく広報やイベント担当などとも連携できるよう、体制の構築に取り組んでいます」(春山氏)

ビル・建物の制御システムのセキュリティも重要課題だ。ビル制御システムはインターネットに接続されていることが多く、そこにリスクがある。そのため、保守ベンダーが特定用途で特定の通信先と通信する場合を除き、通信可能なIPアドレスを制限することとし、必要に応じて監視機器も導入した。一般的にビルでは内部施設として敷設された回線に、ビル制御の中央監視や空調、エレベーターなどのベンダーが相乗りして利用することが多いが、制御システム全体を考慮したセキュリティのルールは未整備だった。そこで新たにガイドラインを定め、新規の建物については竣工時から必要な対策を講じるようにした。

グループ全体のITインフラを統合してリスク管理を一元化

今後の大きな目標は、グループ全体のITインフラの統合だ。グループ各社がそれぞれ構築してきたITインフラを統合して構成管理を一元化し、全体のIT資産を把握できるようにする。同時に先進的なセキュリティ機能を一括導入し、ルールも標準化する。こうしてインシデントの検知や監視を統合運用すればリスク管理を一元化することができ、運用も効率化することが可能だ。

目下の課題は、新たなリスクに対応することだと春山氏は言う。そのためにはまず、BCPの策定が必要だ。ランサムウェアにより業務に多大な影響を及ぼす事例も多発しているため、長期間のシステム停止の可能性も前提としたBCPの策定が急務となっている。また生成AIについても、AIが攻撃に悪用されるリスクや不用意なAIの利用による情報漏えいのリスクがある。同氏は「こうした新たなリスクへの対応についても早急に検討し、施策に反映させたい」と話した。

また、三井不動産グループではサイバーセキュリティに関する情報共有にも力を入れている。NCA(日本シーサート協議会)やCRIC-CSF(産業横断サイバーセキュリティ検討会)、ISF(Information Security Forum)に加盟し、他社の取り組みや最新の技術などの情報を収集している。

「さらに情報共有のネットワークを広げ、新たなリスクの気付きや施策検討のヒントにしたいと考えています」(春山氏)