TOP-おすすめ記事-【SIer編】セキュリティ業務解説:提案・構築から、開発環境の防衛まで

【SIer編】セキュリティ業務解説:提案・構築から、開発環境の防衛まで

  • 最終更新:

SIer(システムインテグレーター)におけるセキュリティ業務は、一般的な事業会社や金融機関とは大きく異なる、「2つの顔」を持っています。

  1. 顧客に「セキュリティを売る・提供する」という、ビジネス(攻め)の側面。
  2. 自社(開発環境)を「鉄壁に守る」という、コーポレートセキュリティ(守り)の側面。

SIerは、顧客のシステムという「城」を設計・構築する立場であると同時に、自社が「攻撃の踏み台(サプライチェーン攻撃の起点)」にならないよう、自らも高度に防衛する必要があります。

 

1. 【攻め】顧客への「価値提供」としてのセキュリティ業務

 

こちらがSIerの「本業」としてのセキュリティ業務です。顧客の課題を解決し、ビジネスとして利益を上げる役割を担います。

 

① セキュリティ・コンサルティングと提案

 

顧客の「セキュリティ、何とかしたい」という漠然とした悩みに対し、専門家として最適な道筋を示します。
 

  • 課題ヒアリング: 「ランサムウェア対策を強化したい」「ゼロトラストを実現したい」「クラウド(AWS/Azure)のセキュリティ設定が不安」といった顧客の課題をヒアリングします。
  • ソリューション提案: 前回の記事で紹介したようなCrowdStrike(EDR)やZscaler(SASE)などの最新プロダクトを組み合わせ、顧客の予算と課題に合わせた最適なセキュリティ・ソリューションを提案・販売します。
  • アセスメント: 顧客の現状のセキュリティ体制を評価(アセスメント)し、弱点(脆弱性)を洗い出して改善ロードマップを作成します。

 

② セキュアなシステムの設計・構築(SI)

 

顧客から受託したシステム開発プロジェクトにおいて、セキュリティを担保する中核的な役割です。
 

  • セキュリティ要件定義: システムの設計段階で、「どのようなセキュリティ要件(暗号化、アクセス制御など)を満たすべきか」を定義します。
  • 製品の導入・構築: 提案したセキュリティ製品(ファイアウォール、WAF、EDR、IDaaSなど)を、顧客の環境に実際にインストールし、正しく動作するよう設定・構築(インテグレーション)します。
  • セキュア開発の推進: アプリケーション開発部門と連携し、脆弱性を生み出さないコーディング(セキュアコーディング)が行われているかレビューしたり、開発プロセス(DevSecOps)にセキュリティ検査を組み込んだりします。

 

③ 運用・監視サービスの提供(MSP / MSSP)

 

システムを「作って終わり」ではなく、その後の「運用」まで請け負うサービスです。SIerにとって安定した収益源となります。
 

  • MSP(Managed Service Provider): 顧客が導入したセキュリティ製品(ファイアウォールなど)の日常的な運用(設定変更、パッチ適用など)を代行します。
  • MSSP(Managed Security Service Provider): 顧客のSOC(セキュリティ・オペレーション・センター)業務を代行します。24時間365日体制で顧客のシステムのログを監視し、サイバー攻撃の兆候を検知・分析。インシデント発生時には即座に顧客へ通報し、対応を支援します。

 

2. 【守り】自社を防衛するセキュリティ業務

 

SIerは、多数の顧客の機密情報(システム構成図、個人情報など)や、開発中のプログラムソースコードを大量に保有しています。もしSIerが攻撃されれば、顧客のシステムにまで被害が拡大する「サプライチェーン攻撃」の起点となりかねません。

そのため、自社を守るセキュリティは一般企業以上に厳格です。

 

① サプライチェーン攻撃の起点にならないための防御

 

  • 開発環境の厳重管理: 顧客向けのシステムを開発する環境(ネットワーク)は、社内の一般業務ネットワークから厳格に分離・隔離されます。
  • ソースコード管理: 開発中のプログラムが外部に流出したり、マルウェアを仕込まれたりしないよう、アクセス管理と監視を徹底します。
  • 納品物のスキャン: 顧客に納品するソフトウェアやシステムに、脆弱性やマルウェアが含まれていないか、納品前に徹底的に検査します。

 

② 顧客情報の保護

 

  • 厳格なアクセス制御: 顧客から預かった機密情報へアクセスできる担当者を最小限に絞り、「誰が」「いつ」「何に」アクセスしたかをすべて記録・監視します。
  • DLP(情報漏洩対策): 機密情報がメールやUSBメモリなどで不正に持ち出されるのを防ぐシステムを導入します。

 

③ コーポレートセキュリティの維持

 

  • これは一般の事業会社と同様の業務ですが、基準は高くなります。
  • 全従業員のPCへのEDR導入と監視、フィッシング訓練、クラウド利用の統制、脆弱性管理などを実施します。

 

まとめ

 

SIerのセキュリティ業務は、「最新のセキュリティ製品・技術のプロフェッショナル」として顧客の課題を解決するコンサルタント/エンジニアとしての側面と、顧客からの信頼を失墜させないために自社の開発環境を鉄壁に守る「自社防衛のガーディアン」としての側面を併せ持ちます。

技術力、提案力、そして高度な倫理観が同時に求められる、非常に専門性の高い職務です。

    記事の新規作成・修正依頼はこちらよりお願いします。