Column
転職に役立つ情報
セキュリティエンジニアの仕事とは?求められるスキルや未経験からなる方法もあわせて解説!
目次
- セキュリティエンジニアの仕事内容
- 企画・提案
- 設計
- 実装
- テスト
- 運用・保守
- セキュリティエンジニアの年収
- セキュリティエンジニアに求められる知識とスキル
- コミュニケーションスキル
- 正しい倫理観と道徳観念
- インフラ・ソフトウェアの知識とこれらを用いた脆弱性診断スキル
- システム・ソフトウェアのセキュリティ脆弱性・対策スキル
- セキュリティマネジメントルールの策定・運用スキル
- セキュリティ監視の構築スキル
- プログラミング言語に関する知識・スキル
- 最新のセキュリティ対策の教育・啓蒙スキル
- セキュリティエンジニアに役立つ資格
- 情報処理安全確保支援士試験
- CompTIA認定資格
- シスコ技術者認定
- LinuC
- 情報セキュリティマネジメント試験
- 公認情報セキュリティマネージャー(CISM)
- 未経験からセキュリティエンジニアになる方法
- まずはほかジャンルのITエンジニアとしての経験を積む
- 未経験可の求人に応募してみる
- 大学・専門学校で専門知識を学ぶ
- 雇用形態にこだわらない
- 資格を取得し知識やスキルを身につける
- セキュリティエンジニアのキャリアパス
- スペシャリスト系
- ITコンサルタント系
- セキュリティエンジニアは将来性が高い理由
- IT普及による情報資産価値の上昇
- 個人情報漏洩に対する意識の上昇
- 進化するウイルスに対する対策が必要
- まとめ
セキュリティエンジニアの仕事内容
セキュリティエンジニアは、情報セキュリティ確保のため幅広い業務に携わります。以下では、セキュリティエンジニアの仕事内容について解説します。企業や個人のスキルにより、以下のすべてを担当する場合と一部のみを担当する場合があります。
企画・提案
クライアントの要件のヒアリングやシステムのコンサルティングを行います。そして、現状の報告をした上で、必要なセキュリティシステムの企画書の作成し提案を行います。この段階で、運用まで視野に入れた企画を立案することが大切です。
設計
企画書に基づき、セキュリティに配慮したシステムの設計を行います。ネットワークやサーバー機器、システムの運用などを把握した上で、すべてを網羅して設計をすることが求められるので、幅広い知識が必要とされます。
実装
設計書に基づき、セキュリティに配慮したシステムの実装を行います。実装では設計と同様に、ネットワーク機器やOSの設定、プログラミングなど幅広い知識が求められます。また、セキュアプログラミング(※1)やセキュリティアーキテクチャ(※2)など、専門的な知識も必要です。
※1:システムやアプリケーションの脆弱性を事前に廃除し、外部からの攻撃や予期せぬシステムダウンなどを防ぐためのプログラミング手法のこと。
※2:セキュリティ確保のための設計方針・設計思想または、それに必要な仕組みの実現のためのフレームワークのこと。
テスト
実装したシステムに脆弱性がないかテストをします。なかでもセキュリティ検査は、特に念入りに行います。セキュリティ検査では、ソースコードのチェックや擬似的にサーバー攻撃を行うこともあります。万が一、脆弱性があった場合は、設計や実装の工程に戻り対応策を検討します。
運用・保守
システム導入後、システム障害やサイバー攻撃から守るための運用・保守もセキュリティエンジニアの仕事です。最新の情報を常に収集して、必要に応じて随時アップデートを行います。また、システム障害やサイバー攻撃が発生した際は対処することが求められます。
運用・保守の工程は、経験が浅い人でも比較的行いやすい業務です。そのため、まずは運用・保守担当から始めてセキュリティの知識やスキルを身に付けてから、企画~実装の工程に業務幅を広げていく人が多い傾向にあります。
セキュリティエンジニアの年収
セキュリティエンジニアの平均年収は、500~600万円程度と言われており、日本の平均年収と比較しても高い傾向にあります。
ただし、企業や個人のスキルによっても大きく異なるため、未経験の場合は300~400万円程度からスタートするケースもあります。一方で、スキルが高いセキュリティエンジニアのなかには1000万円以上を稼ぐ人も多くいます。
セキュリティエンジニアに求められる知識とスキル
セキュリティエンジニアの仕事には、幅広い知識が必要とお伝えしました。では具体的にどのような知識やスキルが求められるのかを以下で見ていきましょう。
コミュニケーションスキル
エンジニアの仕事と聞くと、人と関わるよりパソコンと向き合って黙々と作業をするイメージの方が強いかもしれません。しかし、実際はクライアントとのやり取りが常に発生します。
また、セキュリティエンジニアには、クライアントとのコミュニケーションを通して、セキュリティにおける要望や課題を見つけ、適切な対策を打つことが求められます。そのため、コミュニケーションスキルが必要不可欠です。
正しい倫理観と道徳観念
セキュリティエンジニアは、自身の知識・スキルを活用すれば、クライアントの持つ重要情報に触れることができる立場にあります。
つまり、クライアントの立場で考えると、正しい倫理観と道徳観念を持ち合わせていないセキュリティエンジニアに仕事を任せたら、重要情報を悪用される可能性があるのです。そのため、正しい倫理観と道徳観念を持ち合わせた人でないと、セキュリティエンジニアは務まりません。
インフラ・ソフトウェアの知識とこれらを用いた脆弱性診断スキル
セキュリティエンジニアには、ハードウェア・ソフトウェアなどのインフラ全般やネットワークなどの知識が欠かせません。それぞれの要素におけるセキュリティ知識に加え、各要素を組み合わせたときに発生する可能性がある脆弱性について理解していることが求められます。
また、インフラ・ソフトウェアの知識をもとに脆弱性診断を行うスキルも必要です。診断ツールを扱うスキルやサイバー攻撃における最新技術・トレンドを知る姿勢があると良いでしょう。
システム・ソフトウェアのセキュリティ脆弱性・対策スキル
セキュリティエンジニアには、システム・ソフトウェアの脆弱性を発見し、対策をするスキルが必要です。システム・ソフトウェアに対する攻撃を実際に行うことができるレベルまで理解していることで、脆弱性を発見し、対策を行うことができます。
セキュリティマネジメントルールの策定・運用スキル
セキュリティマネジメントとは、情報セキュリティを確保するために組織全体で守るべきルールのことです。情報セキュリティにおいては、技術的な対策だけでなく、利用者による扱い方も重要な要素です。そのため、利用者が誤った使い方をしないように、組織に合ったセキュリティエンジニアマネジメントルールを策定し、運用するスキルが求められます。
セキュリティ監視の構築スキル
システムやソフトウェア、ネットワークに対して、外部からのアクセスや攻撃が行われていないか監視をするにあたり、セキュリティ監視システムを構築するスキルも必要です。具体的には、セキュリティツールの選定や導入を行い、問題発生時に通知がくるような仕組みを作ります。
企業によっては、セキュリティ監視サービスを導入していますが、セキュリティエンジニアが運用を担うケースもあるので、セキュリティ監視の構築スキルは身に付けておくべきでしょう。
プログラミング言語に関する知識・スキル
セキュリティエンジニアの仕事には、プログラムにセキュリティ対策を施すセキュアプログラミングが含まれるため、プログラミング言語に関する知識やスキルが求められます。
また、そもそもプログラムが読めないと、プログラムに生じる脆弱性の判断もできないので、プログラミング言語に関する知識とスキルは、セキュリティエンジニアに欠かせない力です。
最新のセキュリティ対策の教育・啓蒙スキル
セキュリティエンジニアは、情報セキュリティに関する教育や啓蒙活動を行うことがあります。そのため、人に分かりやすく正しい情報を伝えるスキルも求められます。また、情報セキュリティは日々技術が進化していているので、常に最新の情報を把握する姿勢も大切です。
セキュリティエンジニアに役立つ資格
セキュリティエンジニアの仕事に資格は必須ではありません。ただし、資格を取得することで一定の知識やスキルを持っていることをアピールでき、就職・転職活動で有利に働く可能性があります。また、資格取得のための勉強を通して、効率的に知識やスキルを身に付けることができるので、挑戦してみるのもおすすめです。
以下では、セキュリティエンジニアの仕事に役立つ資格をご紹介します。
情報処理安全確保支援士試験
情報処理安全確保支援士試験は、情報セキュリティに関する知識や技能を認定する試験です。この試験では、情報セキュリティにおけるネットワークやハードウェア、アプリケーション、法令などに関する内容が幅広く出題され、高度な試験と位置づけられています。
情報処理安全確保支援士試験に合格し所定の手続きを行うと、国家資格である「情報処理安全確保支援士(登録セキスぺ)」の資格保持者となることができます。
CompTIA認定資格
そもそもCompTIA(コンプティア)とは、IT規格の標準化を提言するため、ITベンダーとパートナー企業がオープンな対話を行う場としてアメリカで発足したIT業界団体です。そして、このCompTIAが提供するのがCompTIA認定資格です。
CompTIA認定資格は、IT業界に従事するエキスパートにより、IT業務のニーズ調査、職務分析、試験開発が行われます。そのため、実際に今、IT業界で必須とされるスキルを身につけることができる資格として、ワールドワイドで250万人以上のIT業務従事者に取得されています。
シスコ技術者認定
シスコ技術者認定は、ネットワーク製品大手のシスコシステムズ社が認定する資格です。ネットワークに関する知識やシスコ製品の扱い方など、実際の業務で役立つ知識とスキルが問われます。
また、シスコ技術者認定は5つのレベルに分かれており、「エントリー」「アソシエイト」「スペシャリスト」「プロフェッショナル」「エキスパート」の順に難易度が上がっていきます。
LinuC
LinuCはサーバーOSとして高いシェアを占めるLinuxの技術力を証明できる認定資格です。初級から順に「LinuC-1」「LinuC-2」「LinuC-3」の3つのレベルに区分されています。
現在はLinuxについての知識だけでなく、クラウドやオープンソースのライセンス、アーキテクチャの基礎など、幅広い内容の問題が出題されています。また、サーバーセキュリティに関する知識も問われることから、セキュリティエンジニアに役立つ資格と言えます。
情報セキュリティマネジメント試験
情報セキュリティマネジメント試験は、情報セキュリティマネジメントの企画・運用・改善を通して、情報セキュリティの確保に貢献できるスキルを持つことを認定する国家資格です。
試験は実際の現場でその時々に直面している事例をもとに出題され、サイバー攻撃などの脅威から組織を守るために必要な基本的な知識やスキルが問われます。そのため、セキュリティエンジニアはもちろん、業務で個人情報を扱う人や情報管理を担当する人など、情報セキュリティに関わる幅広い人々に役立つ資格です。
公認情報セキュリティマネージャー(CISM)
公認情報セキュリティマネージャーは、マネジメントレベルの情報セキュリティに関する知識・スキルが問われる国際資格です。具体的には、組織のセキュリティマネージャーとして、情報セキュリティに関する戦略やリスク管理などのマネジメントを行う能力を証明できます。
ただし、認定を受けるためには、情報セキュリティの実務経験を5年以上、そのうち3年はセキュリティマネージャーとして実務経験を積んだ上で、試験に合格する必要があります。
未経験からセキュリティエンジニアになる方法
未経験からセキュリティエンジニアになることは可能ですが、誰でも簡単になれるわけありません。そこで以下では、未経験からセキュリティエンジニアを目指す方法として、おすすめの方法を5つ解説します。
まずはほかジャンルのITエンジニアとしての経験を積む
セキュリティエンジニアはITエンジニアのなかでも専門的な職種です。そのため、まずは他のITエンジニアとして経験を積み、その後セキュリティエンジニアにキャリアチェンジをする方法がおすすめです。
例えば、インフラエンジニアやネットワークエンジニア、アプリケーションエンジニアなどの実務経験を通して身につけられる知識・スキルは、セキュリティエンジニアの仕事に活用できます。そのため、このようなITエンジニアの経験を積むことで、その後のセキュリティエンジニアへの転職活動が有利になるでしょう。
未経験可の求人に応募してみる
一概にセキュリティエンジニアと言っても、求人により仕事内容は異なります。そして、比較的求められるスキルが少ない求人は未経験可とされているケースもあるので、このような未経験可の求人に応募してみるのも手です。
具体的には、脆弱性診断エンジニアやSOC(Security Operation Center)運用エンジニアなどが未経験可の求人も多い傾向にあります。このような仕事から始めて徐々に担当領域を広げていくことでセキュリティエンジニアとしてスキルアップできます。
大学・専門学校で専門知識を学ぶ
情報系の学部・学科の大学や専門学校で専門知識を学ぶことで、セキュリティエンジニアの基礎であるITスキルを体系的に身に付けることができます。大学や専門学校であれば、未経験者向けの授業から始まるのでつまずきにくく、特定の言語や技術に関して掘り下げて学習することも可能です。
ただし、情報セキュリティを専門に学べる大学や専門学校はあまり多くないので、卒業後そのままセキュリティエンジニアを目指すのであれば、情報セキュリティに関する自主学習が必要でしょう。
雇用形態にこだわらない
雇用形態にこだわらないことで、未経験からでもセキュリティエンジニアになりやすくなります。セキュリティエンジニアは正社員や契約社員と比較して、派遣社員の募集が多いという特徴があります。そのため、まずは派遣社員としてセキュリティエンジニアの経験を積むことがおすすめです。
また、正社員の場合、求められる経験やスキルが高い上にライバルも多いですが、派遣社員は経験が浅い人歓迎の求人が多い傾向にあるので、派遣社員も視野に入れることで選択肢が広がるでしょう。そして、派遣社員として経験を積んだ先には、正社員への転職や派遣社員としての給料アップの道が見えてきます。
資格を取得し知識やスキルを身につける
『セキュリティエンジニアに役立つ資格』でご紹介した資格を取得して知識やスキルを身につけ、セキュリティエンジニアになる方法です。先述した通り、セキュリティエンジニアに資格の取得は必須でもないものの、資格を取得していれば一定の知識やスキルを持っていることを証明できます。
また、企業としても、未経験者を採用する際は判断材料が少ないなかで人選をするので、資格を持っている人は他者と差別化され、採用に繋がりやすくなります。
セキュリティエンジニアのキャリアパス
セキュリティエンジニアは、セキュリティ関連の職種でキャリアアップしていくケースがほとんどです。以下では、代表的なキャリアパスをご紹介します。
スペシャリスト系
セキュリティエンジニアの分野を極めて、スペシャリストを目指すキャリアです。運用・保守担当からスタートし経験を積むことで、企画・提案や実装まで担えるようになり、さらにリーダーやマネージャーにキャリアアップしていくケースが多くあります。
キャリアアップするにつれて、より高いITスキルやリスクマネジメントの能力も求められるようになりますが、セキュリティエンジニアの仕事を突き詰めたいという思いがある人には適したキャリアと言えます。
ITコンサルタント系
セキュリティエンジニアとしての経験を活かし、企業のセキュリティに関する企画・提案を行うITコンサルタントや、企業をサイバー犯罪から守るホワイトハッカーにキャリアチェンジする道があります。
これらのITコンサルタント系の職種は、その企業のビジネス全体に関わる仕事です。そのため、セキュリティ分野以外にも、経営的な視点など幅広い知識やスキルを身に付ける必要があります。
セキュリティエンジニアは将来性が高い理由
セキュリティエンジニアは、長期的に見ても需要が高いものの、供給が追いつかないことが想定されているため、将来性が高い職種と言えます。供給が追いつかない点については、そもそもの労働人口の減少と急激なIT需要の高まりが大きな要因です。
では、今後もセキュリティエンジニアの需要が高いとされている理由は何なのでしょうか?
IT普及による情報資産価値の上昇
IT普及により顧客情報や事業計画、財務情報などの情報資産価値が上昇しています。そのため、国や企業といった組織では、情報資産を守る取り組みの重要性も高まり続けることが想定されます。
例えば企業の場合、万が一、個人情報や事業計画を漏洩してしまったら、顧客や取引先の信頼を一気に失い企業の存続の危機となるため、情報資産を守るセキュリティエンジニアは欠かせません。
個人情報漏洩に対する意識の上昇
近年は、スマートフォンをはじめ、車や家電など、生活に身近なあらゆるモノがインターネットに繋がる社会になりました。それに伴い、顧客情報の流出などの個人情報漏洩に関するニュースを耳にする機会が増えてきています。
社会全体として個人情報漏洩に対する意識が上昇していることもセキュリティエンジニアが必要とされる理由の1つと言えるでしょう。
進化するウイルスに対する対策が必要
年々、サイバー攻撃の手口が複雑化・巧妙化し、ウイルスも進化しています。現代では、ちょっと前まで有効だった対策もすぐに無意味になってしまうのです。そして、今後も進化は止まらず、より高度化していくことが想定されています。
そのため、日々高度化するサイバー攻撃の手口やウイルスに対して、最新のセキュリティ対策や施策を打ち出すことができるセキュリティエンジニアは、長期的に見ても需要が高い職種です。
まとめ
本記事では、セキュリティエンジニアの仕事内容や役立つ資格、将来性などについて解説しました。
セキュリティエンジニアは、システムの脆弱性をいち早く見つけ対策をしたときなど、自分の仕事がセキュリティリスクから企業を守っていることを実感できたとき、大きなやりがいを感じられるでしょう。
また、セキュリティ分野の専門性とITエンジニアとしての幅広い知識・スキルを同時に身につけられるのもセキュリティエンジニアの魅力です。
