株式会社オープンハウスグループ 様

オープンハウスグループ 荒井 康生氏

オープンハウスグループは前身のオープンハウスを商号変更し、2022年1月より持株会社として新たにスタートを切りました。グループ内の事業会社は関東、名古屋、関西、福岡などの都市部を中心に、新築戸建分譲事業や不動産仲介事業、マンション事業、不動産投資事業などを展開し、カスタマーファーストによる「価値ある不動産」の提供に努めています。
更なる成長に向け、M＆Aも積極的に推進しています。それに伴い、社員数や拠点数も増え続けています。早期にシナジー創出を図るため、セキュリティを確保しつつ、グループのネットワーク統合を進めています。

荒井氏

営業担当は外出先から社内システムやクラウドにアクセスする機会も多いので、ゼロトラストセキュリティは必須と考えています。
しかし、守りを重視するあまり、利便性が損なわれてはいけません。事業部門のキーマンと密に連携を図って要件を聞きながら、利便性を損なわずセキュリティを確保する手段を考え、バランスの取れたゼロトラストセキュリティを推進しています。

オープンハウスグループ 升澤 隼澄氏

外部開発パートナーは社外からのリモートアクセスが多いので、VDIを業務環境として提供していました。基本的にシステムやアプリは内製で開発しているため、その開発支援や動作テストなどで外部開発パートナーに協力してもらっています。VDIなら端末側にデータが残らないため、情報漏えいリスクを低減できます。
そのVDI環境は、ユーザごとに権限を設定し、アクセスできるシステムを制限していました。更に、ファイアウォールで特定のポートでのみ通信を許可していました。

升澤氏

VDIのクライアントソフトをダウンロードしてPCにインストールし、そのクライアントソフト経由でアクセスする仕組みなのですが、手間がかかるうえ、パフォーマンスにも問題がありました。「すぐに作業に取りかかれない」「レスポンスの待ち時間が長くなる」などのクレームが上がっていました。

荒井氏

事前の準備も大変でした。外部開発パートナーに業務をお願いする際、リモートアクセス用のVPNとVDI環境を払い出すのですが、その都度人数分のVPNを設定し、ファイアウォールのポートを開ける作業も必要になります。
権限に応じてアクセスを制御しているとはいえ、すべてをコントロールすることは難しい。業務に直接関係のない社内システムやデータにアクセスできるリスクも捨てきれません。このまま運用を続けていくのは、セキュリティ的にも、ガバナンス的にも問題でした。

荒井氏

インフラやセキュリティ面も原則内製化しておりますが、IIJには私たちの各拠点ネットワークの構築及び運用支援や、IT施策の一部実行支援をしてもらっています。海外拠点向けのセキュアなリモートアクセス環境について相談したところ、IIJ Safous ZTAの提案を受けたのです。
Safousはファイアウォール配下にApp Gatewayという機器を設置するだけで利用が可能です。原則的にユーザはWebブラウザからインターネット経由でSafous POPにアクセスすれば、そこからTLSのトンネルを張り、自社環境とセキュアなプライベートアクセスを実現します。多要素認証や細かなアクセス制御も可能で、セキュアに社内リソースにアクセスできます。アクセスログを記録し、PCの操作履歴を録画することもできます。
これならゼロトラストセキュリティのポリシーに沿って、課題となっていた外部開発パートナー向けのVDI環境に代わるセキュアな仕組みを実現できるのではないか――そう考えたのが、きっかけです。

荒井氏

そうなりますね。ゼロトラストセキュリティのソリューションの1つにZscalerを採用しているのですが、実は以前のVDI環境は技術的な制約もあってZscalerと連携できていなかったのです。そのこともセキュリティ面で不安を抱えていた一因です。
その点、IIJ Safous ZTAとZscalerを組み合わせることで、ゼロトラストセキュリティのポリシーの中で運用できます。しかも導入が容易で、ユーザも簡単に利用できる。これを利用しない手はないと思いました。

升澤氏

2023年7月から3ヵ月ほどかけて検証を実施しました。

升澤氏

主に当社側でApp Gatewayの構築や検証を行いました。具体的には、ユーザの使い勝手やパフォーマンス、多要素認証の運用性などです。多要素認証はID/パスワードのほかに、SMSベースの認証やQRコード認証などを使えます。
アクセス時のユーザタイムアウトの間隔を変更してもらったり、IIJには検証時にもサポートしてもらいました。
検証の結果、「使える」と手応えを感じたことから、2023年10月に正式導入しました。

荒井氏

目的に応じてユーザ、プロトコル、アプリケーションレベルで制御を行い、外部開発パートナーは許可されたリソースのみアクセス可能な環境を実現しました。業務に関係のないシステムへのアクセスは禁止したり、ファイルサーバには制限をかけて一部のリソースのみアクセス可能にしたりしています。

升澤氏

VDIは廃止し、外部開発パートナー向けのリモートアクセス環境はSafousに一本化しました。それまで、VDIは環境構築が大きな負担でした。ファイアウォールのポートを開け、VDI環境とアクセス回線のVPNも整備する。それが終わったら動作確認も必要です。
VDIを使える状態で払い出すまでに、大体半日はかかっていました。今はApp Gateway用のサーバを立ち上げて、ユーザの紐付けを行えば、アカウントの払い出しが可能です。作業は1時間もあれば完了します。
作業負担が大幅に軽減されたのはもちろん、短い時間で業務環境を使えるようになるので、外部開発パートナーもスピーディに仕事に着手できます。

荒井氏

既存のシステムに変更を加えることなく利用できる点もいいですね。SASEをはじめとするゼロトラストセキュリティの設定やポリシーを変えることなく、運用を継続しています。
アクセスログを記録し、PCの操作履歴も録画されているので、内部不正や不注意によるセキュリティ事故が発生しても、すぐに監査証跡が可能です。こうした仕組みがあれば、内部不正の抑止効果も高まります。

升澤氏

動作が軽くなって仕事がやりやすいと好評です。以前のようにクライアントソフトをインストールする必要もないし、Webブラウザから簡単にアクセスできます。手間がかからないことも喜ばれています。

荒井氏

以前はVDIを払い出しても、アクセスできないという不具合が出ることがあったのですが、Safous導入後、ユーザからの不具合報告はゼロです。パフォーマンスだけでなく、安定性も向上しています。

荒井氏

目下の課題は組織統合に伴うネットワークの最適化やゼロトラストセキュリティの推進です。全拠点を対象に、網羅的に対応していく方針です。
セキュリティ対策は当社のためであると同時に、大切なお客様情報を守るためでもあります。IIJは多様なネットワークサービスを提供し、技術力も高いです。ネットワークの最適化やゼロトラストセキュリティの強化に向けて、今後も有意義な提案とサポートを期待しています。