セキュリティエンジニアの仕事内容やキャリアパスについて
公開日:2019.12.24 最終更新日:2020.12.25
ITエンジニア職種
ニュースや新聞で、情報漏洩に関する話題を多く目にするようになりました。子どもから大人まで、幅広い世代がインターネットを利用して便利に暮らすようになった反面、多くの人が常にサイバー攻撃の危険にさらされています。
パソコンやスマートフォンだけではなく家電製品などさまざまなものがインターネットにつながる現代社会において、情報セキュリティへの関心は一層高まっており、同時にセキュリティエンジニアの需要も増えています。
ここではセキュリティエンジニアについて、詳細な業務内容や必要とされているスキル、目指すためのキャリアパスや将来性について具体的に解説していきます。
セキュリティエンジニアとは
セキュリティエンジニアとは、情報セキュリティを専門に扱うエンジニアをさします。サイバー攻撃から情報を守ることはもちろん、情報流出などのセキュリティインシデント(情報セキュリティ上の事故や問題)が発生しないように日常的に対策を実行し、システムのセキュリティ対策を強化していく仕事です。
従来、企業の社内システムはシンプルな構造でしたが、現在はクラウド環境やスマートフォンの普及などさまざまなネットワークが活用されています。こうしたネットワークの広がりにともない、サイバー攻撃も多様化しているのです。
ITインフラが広く普及するにしたがって、サイバー攻撃の激化と巧妙化に対するセキュリティの強化が急務となりました。こうしてセキュリティに特化したエンジニアが必要とされたのです。
セキュリティエンジニアの仕事内容とは?
まずは、セキュリティエンジニアの業務内容について具体的にご紹介していきます。
情報セキュリティは、セキュリティインシデントが発生してから対応するのでは遅いため、水際で防ぐことがとても重要です。そのため、システムの利用方法や運用ルールなどを適切に定めたうえで、セキュリティインシデントを未然に防ぐことが業務の基本的な目的です。
システムの調査・分析
システムの状態を調査し、さまざまなデータを分析して、致命的なセキュリティホールがないか検証します。また、システムの状況を明確にするために情報収集・分析を行い、対策するべき要素や事象を明確化させます。
ゼロデイ攻撃(脆弱性が発見された日(0日目)に、対応手段が定まっていないタイミングで発生する攻撃)のような、事前の対策が難しいセキュリティインシデントもあるため、日々システムの状況を把握しておくことがとても大切です。
システムのオペレーション
インシデントの発生を未然に防ぐため、日々対策を実行し、セキュリティインシデントが発生した際には、その対応を行います。
ゼロデイ攻撃のような対応が難しいセキュリティインシデントでは、セキュリティベンダーなどと連携する必要がある場合もあり、その際の橋渡しも行います。
システムの評価・提案
システムのセキュリティレベルを評価し、新しい対策の提案や施策の実行も担当します。攻撃手法は日夜変化するため、常に評価のアップデートを重ね、調査・分析と併せて最新のセキュリティ対策を行う必要があります。
セキュリティ教育
セキュリティインシデントはシステムのバグなどから発生するだけでなく、運用するメンバーから発生する場合もあります。そのため、システムの運用メンバーや社内メンバー全体に対して、教育などのセキュリティ向上施策の検討と実施も担当します。
セキュリティエンジニアに求められるスキルと知識
セキュリティエンジニアに求められるスキルには、大きく分けて3つの分野があります。順番に解説していきます。
OS、アプリケーション、ファイアウォール等の知識
各種システムのセキュリティに関する知見。これは、セキュリティエンジニアにとって最も重要なスキルです。
OSによって異なる対策や知識、アプリケーションの持つ脆弱性、ファイアウォールの設定とセキュリティホールの対策など、多岐にわたる深い知識が必要です。
ウイルスや不正アクセス手法の知識
不正アクセスにはどのような手法があるのか、今のサイバー攻撃のトレンドや狙われている脆弱性はどこにあるのか。これらの知見は、悪意のあるサイバー攻撃から情報を守るために重要となる知識です。
管理しているサーバーやシステムの抱えている問題をいち早く解決、対応するために、常に最新の情報を持っておく必要があります。
情報セキュリティマネジメントへの理解
情報セキュリティマネジメントとは、組織全体の情報セキュリティを確保するため、計画、運用、評価、改善を行うものです。
情報セキュリティは、システム面で対策すれば万全というわけではありません。どのように組織に取り込むかを理解し、組織全体と一体になって対応していく必要があるため、情報倫理、セキュリティマネジメント、システムセキュリティなどの情報セキュリティマネジメントへの深い理解が求められます。
2016年には国家試験である「情報セキュリティマネジメント試験
」が新設されました。セキュリティの要となる人材の育成が、社会全体の課題となっているのです。
セキュリティエンジニアとして取得したい資格
セキュリティエンジニアがキャリアを伸ばしていくうえで、取得を目指すべき4つの資格があります。
CISSP(シーアイエスエスピー)(Certified Information Systems Security Professional)
セキュリティ プロフェッショナル認定資格制度であるCISSPは、国際的に認定された資格です。8つのセキュリティ共通知識分野について、深い知識を有していることの証明となり、セキュリティ専門家としてのスキルの裏付けといえます。2018年1月の時点で全世界で122,000名以上が取得しています。
CCSP(シーシーエスピー)(Certified Cloud Security Professional)
クラウドサービスを安全に利用するために必要な知識を体系化した国際的な資格です。有資格者にクラウドコンピューティングセキュリティに関する専門的能力および、クラウドセキュリティの専門知識があることを証明します。
実務経験者を対象にした資格であり、受験には最低5年以上のIT企業でのフルタイム勤務と、3年間の情報セキュリティ部門での実務経験、1年以上のクラウドセキュリティの経験が必要です。
情報処理安全確保支援士(RISS(アールアイエスエス)(Registered Information Security Specialist))
サイバーセキュリティ分野の国家資格であり、政府機関や企業等における情報セキュリティの確保とその支援を行います。有資格者の増強が行われている資格であり、日本政府のサイバーセキュリティ戦略本部が打ち出したサイバーセキュリティ人材育成総合強化方針において、2020年までに3万人超の資格保有者を確保することが目標と定められています。情報処理技術者試験制度のスキルレベル4に相当する高度情報処理技術者試験と同等資格で、合格率は14~19%という難関資格となります。
セキュリティエンジニアにおけるキャリアパス
ここからは、セキュリティエンジニアになった後、さらに上位のキャリアパスには一体どのような職種があるのかご紹介します。
セキュリティ対策は企業にとって経営に関わる大きな課題であるため、キャリアパスはより深い知識と経験を持った専門家としてのキャリア以外に、技術知識を持って経営に携わるキャリアもあります。
セキュリティコンサルタント
包括的なセキュリティ専門家として、企業のセキュリティ対策に対するさまざまな施策の提案と実行を担当します。情報セキュリティの強化や、クライアント企業の抱える情報セキュリティに関する課題解決を行います。
実務経験はもちろん、最新のサイバーセキュリティ情報と知識、多くの資格を有することで、強い説得力を持ってクライアント企業の情報の安全に働きかけます。
CSO(シーエスオー)(Chief Security Officer)
より経営に近いポジションで社内のセキュリティ責任者として、情報セキュリティを統括します。経営と情報セキュリティの現場の橋渡しを担当し、セキュリティ施策をコストや経営リスクなどをふまえた形で検討・提案・実行します。
情報漏洩は端末の持ち出しや不注意な媒体の使用、不正なURLを閲覧したことによるマルウェアの感染など、社内のセキュリティリテラシーの不足によるものも多くあります。そのようなインシデントを防ぐため、システム面の強化以外に、社内のリテラシー向上などの意識改革も行い会社全体のセキュリティを管理します。
未経験でセキュリティエンジニアになるには
未経験でも現場で育成する条件が整っている場合は、すぐにセキュリティエンジニアになることができます。
しかし、インシデントを未然に防ぐ仕事が中心であり高度で幅広い知識と実務経験を求められるため、まずはエンジニアとしての経験を積んでからキャリアアップする先として目指すほうがよいでしょう。
先に挙げたセキュリティエンジニアとして求められる資格のほとんどが、実戦的な試験内容であったり、受験資格に実務経験を求めている点からも、経験が重視される職種であることは間違いありません。
ネットワークやインフラエンジニアから目指す
セキュリティエンジニアは広域の知識が求められ、特にネットワークやインフラの知識と関係の深い職種です。そのため、未経験者であればまずはネットワークエンジニアやインフラエンジニアを目指し、技術や知識をつけてからセキュリティについての経験を積むとよいでしょう。
専門的な学校で学ぶ
未経験から直接セキュリティエンジニアを目指す場合は、専門的な学校に通い集中して学習するほうがよいでしょう。セキュリティエンジニアに求められる知識はオンラインで公開されているものも多くあるため、独学でも習得することは可能ですが、非常に時間がかかります。
重要なのは「系統立てて」学ぶことです。そのため、効率よく習得したい場合は、しっかりと系統立てて学べるエンジニア向けの学校をおすすめします。
人材ニーズが高まるセキュリティエンジニア
サイバー攻撃の複雑化、巧妙化、さらに社会全体も情報漏洩に厳しくなり、企業は高いセキュリティを求められています。セキュリティエンジニアのニーズは年々増大しており、今後も高まっていくと予想されています。
セキュリティエンジニアからのキャリアパスは将来性が高く、情報システムコンサルタントや企業の経営に近いポジションでエキスパートとして活躍することもできます。また、外資系企業でもセキュリティに関するコンサルタントとしてキャリアを開くことができ、大きなキャリアアップを目指せる職種といえるでしょう。
- セキュリティエンジニアの派遣求人の一覧はこちら
セキュリティエンジニアを目指す場合、AKKODiSのエンジニア正社員(無期雇用派遣)をご検討ください。希望の地域限定で働くことが可能な無期雇用派遣は、キャリアアップしながら給与もスキルも上げたい、安定した会社で安心して長く働きたい、といった思いを持っている人におすすめです。
また、AKKODiSでは、ご自身のキャリアプランを実現するあらゆる職種のご紹介をしています。
- AKKODiSのエンジニア正社員(無期雇用派遣)への応募はこちら
(2020年12月現在)
