はじめに
「セキュリティ担当を置きたい」「セキュリティ体制を整えたい」と考えたとき、まず直面するのが「どの種類のセキュリティが必要なのか」という問いです。
セキュリティには大きく分けて、社内のIT環境を守る「コーポレートITセキュリティ(情報システム・社内ITのセキュリティ)」と、自社プロダクトの安全性を確保する「プロダクトセキュリティ」があります。両者は目的も担い手も異なりますが、混同されたまま体制づくりが進んでしまうケースは少なくありません。
この記事では、両者の役割と対象範囲の違いを整理します。
コーポレートITセキュリティとは
コーポレートITセキュリティとは、社員が業務で使う端末・ネットワーク・社内システムを保護するための取り組みです。主にIT部門や情報システム部門が担当し、社内の情報資産と業務継続性を守ることを目的とします。
代表的な業務には以下が含まれます。
- 社員PCや業務端末の管理・設定
- 社内ネットワークのアクセス制御
- VPNやIDaaS(ID管理サービス)の運用
- フィッシングメール対策・セキュリティ教育
- ISMSやPマークといった認証取得・維持
プロダクトセキュリティとは
プロダクトセキュリティとは、自社が外部に提供するソフトウェアやサービスの安全性を確保するための取り組みです。Webアプリケーション、スマホアプリ、APIなどが対象となり、開発組織と連携しながら脆弱性リスクを管理します。
代表的な業務には以下が含まれます。
- 設計・実装フェーズでのセキュリティレビュー
- CI/CDパイプラインへのセキュリティツールの統合
- 脆弱性の管理と開発チームへの対応支援
- 脆弱性診断・ペネトレーションテストの計画と実施
- インシデント発生時の原因調査と影響範囲の特定
2つの違いを整理する
| プロダクトセキュリティ | コーポレートITセキュリティ | |
|---|---|---|
| 主な対象 | 自社が提供するプロダクト(アプリ・API等) | 社内システム・ネットワーク・端末 |
| 守るもの | 顧客データ・サービスの信頼性 | 社内情報資産・業務継続性 |
| 主な担い手 | 開発組織に近いセキュリティエンジニア | IT部門・情報システム部門 |
| 代表的な業務 | 脆弱性診断、コードレビュー、DevSecOps推進 | 端末管理、アクセス制御、ISMSなどの認証対応 |
| 攻撃の入り口 | アプリの脆弱性、APIの不備、依存ライブラリ | フィッシング、不正アクセス、端末紛失 |
| 関係する部門 | 開発・エンジニアリング組織 | 総務・情報システム部門 |
どちらが先に必要か
両者はどちらも重要ですが、自社の状況によって優先度が変わります。
プロダクトセキュリティを先に整えるべきケース
外部に提供しているWebサービスやアプリを持っている企業では、プロダクトの脆弱性が直接顧客への被害につながります。特にSaaS企業やアプリ開発会社は、プロダクトセキュリティへの対応が顧客との信頼関係に直結するため、優先度は高くなります。
コーポレートITセキュリティを先に整えるべきケース
社内に機密情報や個人データが集中しており、社員端末やSaaSツールの管理が追いついていない場合は、コーポレートITセキュリティから着手する方が適切なケースもあります。
多くの場合は並行して対応が必要
実際には、プロダクトの脆弱性を突かれるリスクと、社内への不正アクセスリスクは同時に存在します。どちらかに絞るのではなく、自社のリスクの大きさに応じてリソースを配分することが現実的な対応です。
判断に迷う場合は、①顧客向けのWebサービス・アプリを継続的に提供しているか、②社員端末やSaaSアカウントの管理が標準化されているか、③個人情報や機密情報がどこに集約しているか、の3点を確認すると優先順位を整理しやすくなります。
「セキュリティ担当者」を置くならどちらに対応できる人材か
「セキュリティエンジニアを採用したい」と考えたとき、プロダクトセキュリティとコーポレートITセキュリティでは求められるスキルセットが大きく異なります。
プロダクトセキュリティエンジニアには、Webアプリケーションの脆弱性に関する知識、開発プロセスへの理解、セキュリティツールの活用経験などが求められます。一方、コーポレートITセキュリティ担当者には、ネットワーク管理、端末管理、社内ポリシーの運用経験などが中心になります。
採用要件を作る前に、自社が「何を守りたいのか」を明確にしておくことが重要です。
まとめ
プロダクトセキュリティとコーポレートITセキュリティは、対象・目的・担い手のすべてが異なります。「セキュリティ体制を整えたい」と考えたとき、まずどちらのリスクが自社にとって大きいかを整理することが出発点になります。
プロダクトを外部に提供しているSaaS企業や開発会社にとっては、プロダクトセキュリティへの対応が顧客との信頼関係を左右します。社内体制が整っていない段階でも、外部の専門家を活用しながら段階的に対応を進めることは十分可能です。
ステラセキュリティのサービス
まず現状のリスクを把握したい場合は脆弱性診断、継続的な運用体制まで整えたい場合はセキュリティチーム代行サービスをご活用いただけます。
脆弱性診断サービス
プロダクトセキュリティの第一歩として、現状のリスクを把握するための脆弱性診断を提供しています。Webアプリケーション診断、スマホアプリ診断、プラットフォーム診断など、プロダクトの特性に合わせた診断メニューをご用意しています。
セキュリティチーム代行サービス
ステラセキュリティのセキュリティチーム代行サービスでは、プロダクトセキュリティの体制づくりを幅広く支援しています。脆弱性診断の結果対応、DevSecOpsの導入支援、設計フェーズからのセキュリティレビューなど、開発スピードを維持しながらセキュリティ体制を整えたいSaaS企業様に適した支援内容です。
「何をすべきか整理したい」という段階からご相談いただけます。お気軽にお問い合わせください。