セキュリティエンジニアとは(仕事、研修、将来性、転職方法など紹介)
はじめに
企業の大切な財産となる「個人情報」をはじめとする、「情報」を守る役割を担う「セキュリティエンジニア」。セキュリティエンジニアとして働くためには、どのようなスキルが必要か。年収や将来性を含め、就職・転職を考える方のために解説します。
セキュリティエンジニアとは
個人情報保護の意識が高まるなか、企業はセキュリティに対し高い意識をもちはじめています。企業が保有する大切な情報を守る大事な役割を引き受けるのは「セキュリティエンジニア」です。サーバーを監視し、サーバーへの不正アクセスやサーバーに仕込まれるスパイウエアにウイルス、さらには内部の人間による個人情報漏えいなど、多くの脅威や脆弱性(ぜいじゃくせい。安全上の弱点を意味する)と日々戦っています。
仕事内容とは
セキュリティエンジニアは、企業などのネットワークやさまざまなシステムを外部の攻撃から守ったり、ネットワークやシステムのありとあらゆる角度から脆弱性を探し当てたりするなど、セキュリティシステムの弱い部分を補うための提案などをおこないます。
セキュリティエンジニアの仕事内容を簡単に説明すると、以下の5つにわかれます。
- 要望に応じたセキュリティの企画・提案
- システムの設計
- サーバやネットワーク機器などへの実装
- セキュリティの脆弱性や不具合がないかを確認するテスト
- 実装したシステムの運用、保守
エンジニア職全般でおこなわれる段階と同じ流れで仕事を進めていくセキュリティエンジニア。名前にもあるように「セキュリティ」の部分に配慮・特化した対策を考えることが求められることも多いでしょう。脆弱性を抑えるためにセキュリティ機器の導入を提案し、サーバーやコンピューターへの不正アクセス、サイバー攻撃やウイルス感染を防ぐためには何をすべきか、提案・調査をしながら問題点の改善に務めることが主な業務となります。
年収はどれくらい
セキュリティエンジニアは、就職先や働き方・スキルによって年収に差があります。30代のセキュリティエンジニアの平均年収は600万円程度。未経験・初級者となると年収300万ほどからのスタートとなることもあります。他のエンジニア職と比べると若干低い平均金額となるようですが、高度な技術を身につけられれば、年収1,000万円代に乗せることもそう遠い夢ではなさそうです。また国内企業よりも外資系企業に高い需要があり、外資系企業で働くほうが年収もアップする傾向にあるようです。
将来性とキャリアパスについて
セキュリティに対する企業の意識は高まる傾向にあり、仕事内容も細分化されていく傾向にあります。そうなると圧倒的な人材不足に陥る可能性が懸念されているため、高いスキルをもつセキュリティエンジニアは、希少価値のある存在になる可能性を秘めていそうです。情報化がますます進んでいく将来を考えると、セキュリティの脅威は増加していくことが考えられます。
そうなるとセキュリティ面で強み型となるセキュリティエンジニアは、ホワイトハッカー(セキュリティ対策を施したり、悪意ある攻撃からの攻撃を防いだりする”健全なハッカー”)として引く手あまた、人気の職業となるでしょう。
セキュリティエンジニアのキャリアパスは、積み重ねた経験と豊富な知識を武器に、どのような企業で働くかが大きく影響するでしょう。IT系のコンサルティング会社や監査法人などで働くことになれば、全体的な進行管理や、予算・品質・納期・成果物のクオリティなど、プロジェクトに関するすべての責任をもつ役職「プロジェクトマネージャー」のような、マネジメント系の資格を取得してキャリアアップするケースもあります。さらにセキュリティのスペシャリストを目指し、ログ解析や分析のスキルを極めていく道もあります。
セキュリティエンジニアに必要な資格
セキュリティエンジニアに関する専門的な資格はかなり多いため、何から取得すればいいか迷う方も多いかもしれません。さらには資格を持っているかいないかで、セキュリティエンジニアとしてのスキルを判断されてしまうケースも珍しくないようです。知識や実務的なスキルだけではなく、資格取得のために時間を割くこともキャリアアップを目指す上では必要不可欠となるでしょう。
シスコ技術者認定(Cisco Career Certifications)
アメリカに本社を置く世界最大といわれるコンピュータネットワーク機器開発会社、「Cisco System社」がおこなう認定資格のなかにある、5つのグレードにわかれたセキュリティ分野の認定制度が「シスコ技術者認定」です。認知度も高く、シスコ技術者認定の資格を取得していると、セキュリティ分野におけるスペシャリストであることを証明してくれるでしょう。ここでは一番基礎となるグレードの「CCENT(エントリー)」で紹介します。
| シスコ技術者認定 CCENT(エントリー) | |
|---|---|
| 運営会社 | シスコ・システムズ社 |
| 受験料 | 各コース・分野により異る。「CCENT(エントリー)」は19,800円 |
| 受験資格 | とくになし |
| 受験時期 | 随時実施 |
| 出題数 | 各コース・分野により異る。「CCENT(エントリー)」は45~55問/90分 |
| 回答形式 | 複数または単一選択 |
| 合格率 | 非公開 |
| 取得レベル | セキュリティエンジニア業務の基礎レベルのグレード。初級者・未経験でも押さえておきたいネットワークセキュリティの本的な知識が必要となる試験内容 |
CompTIA Security+
世界的に知名度が高く、世界中の企業やセキュリティプロフェッショナルが活用できる認定資格です。セキュリティエンジニアとして高いスキルと知識をもつことが証明されるこの資格では、業務を滞りなく遂行できるクオリティのセキュリティスキルや知識が求められます。
| CompTIA Security+ | |
|---|---|
| 運営会社 | CompTIA Security |
| 受験料 | 43,732円 |
| 受験資格 | とくになし |
| 受験時期 | 随時実施 |
| 出題数 | 最大90問/90分 |
| 回答形式 | 複数または単一選択、パフォーマンスベーステスト(シミュレーション) |
| 合格率 | 非公開(合格の目安は100~900点中、750スコア以上) |
| 取得レベル | 難易度は高くないものの、初級者・未経験者には難易度が高め。 業務経験が最低2年以上ある程度のレベルが求められます。 |
CompTIA CySA+
CompTIAがおこなう認定資格のひとつで、さきほど紹介した「Security+」の上位資格となります。「CySA」とは「CyberSecurity Analyst」の略称です。ITセキュリティの分析や、セキュリティ全体の改善業務をおこなえるレベルの知識をもっている証となる資格です。
| CompTIA CySA+ | |
|---|---|
| 運営会社 | CompTIA Security |
| 受験料 | 45,071円 |
| 受験資格 | とくになし |
| 受験時期 | 随時実施 |
| 出題数 | 最大85問/165分 |
| 回答形式 | 複数または単一選択、パフォーマンスベーステスト(シミュレーション) |
| 合格率 | 非公開(合格の目安は100~900点中、750スコア以上) |
| 取得レベル | Network+、Security+合格者などの上位資格となるため、中~上級向け。セキュリティ実務者として3〜4年の経験程度のレベルが求められます。 |
CISSP
セキュリティを扱う人がもつ資格の中では、最高峰ともいわれている、セキュリティのプロのための認定資格です。資格試験では「概念と設計、計画」・「実装と技術」・「運用と評価」の3つの分野から問題が出題され、3年ごとに認定を受け直す必要があります。
| CISSP | |
|---|---|
| 運営会社 | ISC2 |
| 受験料 | 699米ドル(75,000円前後) |
| 受験資格 | セキュリティ関連企業で4年以上の業務経験がある、または大卒 |
| 受験時期 | 随時実施 |
| 出題数 | 250問(日本語・英語併記)/360分 |
| 回答形式 | 複数選択 |
| 合格率 | 非公開 |
| 取得レベル | ISC2がおこなう認定資格のなかでは最も高難易度を誇るレベル。実務経験を持ち、上級レベルに近い知識やスキルが必要とされる。 |
未経験からセキュリティエンジニアになるには
スキルや知識、資格などが有利になるセキュリティエンジニアですが、「運用と保守」業務などは未経験からでも可能な分野です。セキュリティシステムのアップデート作業や、不具合がないかチェックする役割を果たす「運用と保守」の業務。まずは運用と保守でおこなう業務を先輩などから学び、経験を積んでいきましょう。そうすることで自ずと次のステップとなる「企画」や「設計」などへの知識が自然と備わっていき、仕事の幅を広げることも可能になるでしょう。専門のスクールや独学で知識を蓄えておくことで、その努力や熱意を汲んでもらい未経験でも採用されるケースもあります。現場に飛び込み働くことでスキルアップ・ステップアップが望める仕事です。
セキュリティエンジニアにはどのような人が向いている?
セキュリティエンジニアに向いている人の特徴は次の3つです。
細かな点を見逃さない根気強い人
セキュリティ攻撃を受けるなどした場合、何がおかしいのか、欠点はどこにあるのか。問題点を根気強く探せる人は、セキュリティエンジニアの仕事に向いています。攻撃してくる見えない敵との戦いは、長期戦になるケースも珍しくはありません。細かな点を見逃さないよう、コツコツと問題点を潰していく根気の良さと、細かなことを見逃さない繊細さや注意力がある人にはうってつけの仕事です。
自学自習が得意で、学ぶことに意欲的な人
エンジニアの仕事は、日々情報がアップグレードしていきます。誰かに勉強するようにいわれてからとか、なにかトラブルが起こってから学んでいては間に合いません。学びが足りず業務を遂行できないと、セキュリティエンジニアとしての信頼にも影響を及ぼします。学ぶこと・調べることが好きで、情報収集が得意。これらの人はセキュリティエンジニアとしてキャリアップしていける人材となれそうです。
コミュニケーション能力とモラルが高い人
業務の性質上、個人情報や企業内の機密情報などを取り扱うセキュリティエンジニアには、高いモラルと信頼性が求められます。自身のモラルの高さや信頼性を伝えるためには、コミュニケーション能力の高さも必須となってきます。信頼関係が成り立ってこそ、仕事ができると考えておくほうがいいでしょう。
未経験からセキュリティエンジニアになるために必要なスキルと習得方法
セキュリティエンジニアになるためには、以下の3つに対するスキルと知識が必要不可欠となります。
- インフラに関する知識
- ネットワークに関する知識
- クラウドに関する知識
インフラに関する知識
インフラとは「インフラストラクチャー」の略称で、「下支えするもの」「下部構造」のなどの意味合いで使われる言葉です。さまざまな産業や、私たちの生活を支え、成り立たせるために必要となる施設やサービスのことをイメージするとわかりやすいでしょう。道路や鉄道に空港、通信施設などがそうです。生活に根付く電気やガス、水道などもライフラインと呼ばれており、インフラのひとつです。
自由度の高い言葉のため、セキュリティエンジニアの場合、サーバーやソフトウエア、アプリケーション。パソコンやタブレットなどの端末などもインフラとして扱われます。情報システムのセキュリティを支えるセキュリティエンジニアは、システムやソフトウエアに加え、サーバーなど幅広くチェックする業務をおこないます。どれかひとつのインフラに長けるのではなく、大きな目で全体を見渡し、判断できる力が必要となっていくでしょう。
ネットワークに関する知識
インフラの知識に加え、重要になるのはネットワークに関する知識です。前述したように、ソフトウエアやアプリケーションだけを管理するわけではないので、サーバーやインフラのチェックをできるレベルのスキルを取得しておかなければ業務に支障をきたします。インフラとネットワークの知識やスキルは、同時に取得していくことを心がけてください。
クラウドに関する知識
クラウドとは、ユーザーがインフラ(サーバーやデータを保存する倉庫のようなストレージ、ネットワークなど)を所有していなくても、インターネット上で利用したいときにだけ利用できるサービスのことを指します。クラウドを利用することで、社内のどこからでも同じデータにアクセスし共有できたり、メールを会社と出先の両方でチェックできたりするなど、クラウドでできることは私たちの生活に根付きはじめています。
大きなデータのソフトをいちいちインストールしなくても、クラウド上で処理し共通することも可能です。クラウドを取り入れる企業も増えてきているので、クラウドのセキュリティを確かなものにし、どのように保守・運用するかの提案もしていく必要があります。
必要なスキルの習得方法
セキュリティエンジニアに必要なスキルや知識は、難しいものが多いイメージもあるかもしれませんが、ある程度のラインまではネット上の学習ツールや、書籍などを使った独学で身につけることが可能です。しかし将来的に早めのキャリアアップを視野に入れているのであれば、最初から専門のスクールや、大学などで専門的な学習を受けることもオススメです。可能であればできるだけ最先端の技術に触れる・学べるスクールや大学選びをするといいでしょう。
セキュリティエンジニアへの就職、転職方法
未経験でも独学やスクールなどで一定ラインのスキルや知識を有していれば、その努力や意欲を評価してもらいやすくなるセキュリティエンジニア。そうなれば未経験での就職・転職の難易度はぐんと下がります。しかし専門職の色が濃い業務内容のため、求人情報を眺めているだけではなかなか次のステップに進むのは難しいかもしれません。
もしまだ勉強中であればスクールや大学の就職や転職のサポートを利用してみるといいでしょう。派遣に登録して少しでも経験を積みながら更に学習することもオススメです。転職エージェントなども上手に利用することで、未経験でも就職・転職の道が見えてくるはずです。
セキュリティエンジニアのフリーランス
セキュリティエンジニアの仕事の分業化は、フリーランスとの連携で進歩しているとも言われています。抱える業務内容の多さもセキュリティエンジニアの特徴のため、できる仕事は外注に出すことも珍しくはないようです。「Lancers」や「CrowdWorks」などのクラウドソーシングサイトを利用して仕事を獲得するか、人と人とのつながりのなかから仕事を獲得することも可能です。ただしまったくの初心者・未経験者の場合、最初は安価な案件しか見つからないかもしれません。しかしそこで経験を積み、高いスキルや豊富な知識を得ていくことで、将来的なキャリアアップを目指していきましょう。フリーのセキュリティエンジニアの需要は高い傾向にあるので、努力次第では高額報酬も夢ではありません。
まとめ
誰かの見ていないところで起こる、不穏な攻撃やシステムの穴を巧妙に突いてくるトラブルに、静かに的確に対応する縁の下の力持ち「セキュリティエンジニア」。難しい知識やスキルが必要な部分もありますが、初心者・未経験の方でも努力次第で、先輩たちに負けない知識やスキルを会得することは可能です。努力を続け、コツコツと地味な仕事でも諦めずやっていければ、セキュリティエンジニアは未経験でも挑戦できる職種です。さらなる高みを目指してスクールに行くもよし、ネット上でエンジニアの交流・学習ができるサイトや、テクトレなどの無料で学べるITスクールをどんどん活用し、セキュリティエンジニアとして確かなステップアップを目指してください。
チェックリスト
- セキュリティエンジニアになるにはインフラやネットワークの知識が必要不可欠
- 未経験者はまず運用・保守についてのスキルを身に着ける
- 必要な資格があるわけではないが、資格の有無でスキルを判断されることもある
- 業界的にニーズは高まる傾向にあるので、知識と実績を積んだフリーランスの活躍の場は多い
- 未経験者は、テクトレなどの教育型エージェントを活用することも有効
