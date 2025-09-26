総合不動産企業のオープンハウスグループは、積極的なM&Aによる急速な事業拡大に対応するため、ここ数年でクラウドシフトを進めてきた。一方で、急増するAWSアカウントとまだ統一されていなかったセキュリティ基準は、懸念となっていた。人海戦術による対応が限界を迎えるなか、同社は2025年5月、パブリッククラウド環境フルマネージドセキュリティサービス「CloudFastener（クラウドファスナー）」を導入し、主にAWS環境を対象としたセキュリティ対策を強化している。ここでは、情報システム部 インフラクトラクチャG インフラ課 主任の渡辺 悠氏にセキュリティ対策の課題や解決に向けた取り組みを伺った。

M&Aによる事業拡大により、セキュリティ基準を迅速に統一化していくことが急務に

オープンハウスグループは、戸建て関連事業を中心に成長し、最近では、マンション事業、収益不動産事業、米国不動産事業、不動産金融事業など、事業領域を拡大している。また、M&Aを積極的に行いグループ会社化することで、単に事業規模を拡大するだけなく、各社が持つ専門性やノウハウを取り込みつつ、グループ全体のシナジーを創出している。従業員数は、同社を含むグループ全体で約6,000人（2025年3月末時点）、管理するサーバは500台に上るという。

システムのクラウド移行は2020年頃から開始され、現在は複数のクラウドサービスを活用してシステム運用を行っている。特に、AWS（Amazon Web Services)は基幹系システムを中心に幅広く利用されており、グループ全体で100近いアカウントが稼働している。

同社がシステムのクラウド化を進めた理由について渡辺氏は、「当社は、事業が急成長しており、従来のオンプレミス環境ではインフラの調達や構築に時間がかかり、事業拡大に追いついていけません。クラウドであればこの問題が解決できると考え 、クラウドシフトを進めてきました」と説明する。

オープンハウスグループ 情報システム部 インフラクトラクチャG インフラ課

主任 渡辺 悠氏

ただ、事業拡大に伴いシステムが拡張されていくなか、グループ全体に広がるAWS環境において、セキュリティに対する懸念が大きくなっていったという。

「私たちインフラ課の役割は、インフラ基盤の安定稼働を担保するだけではなく、事業の成長戦略にあわせて、セキュアで拡張性の高いインフラを企画・構築していくことにあります。その中で、近年特にクラウド活用が急速に広がっており、そのガバナンス強化が私の重要なミッションの一つとなっています。現在 、AWSだけでもグループ全体で100近いアカウントが稼働しています。これまで事業部ごとにシステムが構築されてきたところに、M&Aで新たな環境も加わったため、セキュリティ基準が当社の水準と合わないケースが発生していました。そのため、セキュリティポリシーや運用基準をグループ全体で統一するということが急務となっていたのです」（渡辺氏）

実際に具体的な穴（セキュリティホール）が見えていたわけではないが、どこかに脆弱性があり、そこから侵入されてデータが流出するのではないかという不安を感じていたという。

内製でのアラート対応に限界を迎え、セキュリティ運用体制の見直しを検討

こうした不安を抱えたなか、転機となったのは、2024年に参加したAWS主催のセキュリティワークショップであった。渡辺氏は次のように当時を振り返る。

「アカウント数が増加するにつれて管理が非常に難しくなっているという課題を感じていました。そんな中でセキュリティワークショップに参加し、Amazon GuardDutyやAWS Security HubといったAWSが提供するセキュリティサービスをハンズオン形式で体験することで 、これらを活用できればセキュリティレベルを格段に向上できるのではないかと強く感じました。しかし同時に、それらを全アカウントで有効化し、日々大量に検知されるアラートを適切に運用・管理できる体制がなければ、宝の持ち腐れになってしまうという課題も見えたのです」（渡辺氏）

当時のセキュリティはまさに“人海戦術”となっており、AWSのアカウントごとにSecurity Hubを開き、検知された項目を一つひとつ確認するという手動対応を行っていたといい、アカウント数が50を超えたあたりからはチェック体制が限界を迎えていたという。このような背景から 、ツールによる網羅的なセキュリティ対策へ本格的に舵を切ることになった。

そんなときに、AWSの担当者を通じて、サイバーセキュリティクラウドが提供する「CloudFastener（クラウドファスナー）」の存在を知り、導入の検討を開始した。また、CloudFastenerの導入検討を進めるなか、同社はCSPMやCNAPP製品についても同時に情報収集と比較検討を行ったという。

「CNAPPの多くは、膨大なアラートを一覧表示するダッシュボードを提供するだけで、どこから着手すればよいのかわからず、対応の優先順位付けが難しいという懸念がありました。その点、CloudFastenerは、テクニカルアカウントマネージャーやサポートエンジニアの方と直接対話ができ、彼らが持つ豊富なクラウドナレッジを享受できる点に魅力を感じ、導入の決め手となりました」（渡辺氏）

CloudFastenerの導入効果は「絶大」、事業拡大に追従するセキュリティ体制を構築

本番環境への導入は2025年5月。導入後の状況について渡辺氏は、「効果は絶大でした」といい、具体的に改善された点を次のように語る。

「CloudFastenerは、検知した設定不備を各種のチケット管理ツールに自動で起票してくれます。これにより、これまでブラックボックスだった各環境のリスクが、「誰が」「いつまでに」「何をすべきか」という具体的なタスクとして可視化され、リスク一つひとつへの対応がしやすくなりました。たとえば、あるクラウドサービスで設定の不備が判明した際には、より安全な構成を推奨する具体的なアドバイスをいただき、適切な構成に変更することでセキュリティレベルを強化しました。また、アカウントごと、あるいは脆弱性の種類ごとといった、多角的な側面から問題の棚卸しや対応ができるようになった点も、手動で対応していた頃と比べて大きな改善点です」（渡辺氏）

さらにCloudFastenerの導入は、M&Aを行った際のガバナンス強化にも貢献しているとし、「新たにグループに加わった企業のAWSアカウントを連携させると、その環境のリスクが即座にチケットとして起票されます。これにより、PMIの初期段階で客観的かつ具体的な課題リストを基に改善計画を立てられるようになり、安全かつ迅速なシステム統合が可能になりました」と渡辺氏は事業拡大にも追従できる体制が構築できた点も評価する。

最後に、これからAWS環境のセキュリティ対策を強化しようと考えている企業に対し、渡辺氏に助言を求めると、次のようなアドバイスをしてくれた。

「当社のように事業拡大によって、AWSのアカウントやリソースが増え、手動でのセキュリティ管理に限界を感じ始めているのであれば、一日でも早くセキュリティ可視化サービスを検討することをお勧めします。自分たちが思っている以上に、環境にはリスクが潜んでいる可能性が高いからです」（渡辺氏）

その上で、ツール選定において重要なポイントが2つあると続ける。

「一つは、『自社の運用に合った形で課題を管理できるか』です。一般的なCNAPP製品のように、ただアラートが並ぶダッシュボードがあるだけでは、情報が多すぎて対応の優先順位付けができず、結果として形骸化してしまう恐れがあります。もう一つは、『導入後のサポート体制、特に人とナレッジを確認すること』です。ツールは導入がゴールではありません。継続的に運用し、組織のレベルを上げていく上で、信頼できる専門家のパートナーシップは、ツールの機能以上に価値があると感じています」（渡辺氏）

