セキュリティエンジニアになるには?がわかる
本サイトは、株式会社アウトソーシングテクノロジーを
スポンサーとして、Zenken株式会社が運営しています。
本サイトは、株式会社アウトソーシングテクノロジーを
スポンサーとして、Zenken株式会社が運営しています。
サイバーセキュリティだけではなく、インフラ知識や製品、情報セキュリティなど幅広く学ぶことによって成り立つ職種。知れば知るほど奥が深く夢中になれる。幅広いけどセキュリティに特化するという強みを持つ替えのきかない職業「セキュリティエンジニア」になる方法を紹介していく。
本サイトは、株式会社アウトソーシングテクノロジーをスポンサーとして、Zenken株式会社が運営しています。
これからセキュリティエンジニアを目指す!とはいえ、今の知識・スキルレベルによって道のりは少しずつ違う。
それぞれのキャリアパスと第一歩を踏み出すためにそれぞれが注目すべき点と、共通して押さえてほしいポイントをまとめてみた。
セキュリティ強化対策をやってみて奥が深い!セキュリティを極めてみたいけど、なかなかセキュリティ案件にあたらない…
どの企業も情報セキュリティの強化に力を入れている現在。今の職場で案件を待つより、実績のある会社に転職するのも一つの手段かもしれない。中には、国内の主要プロジェクトに参加できる機会が多数用意されている企業もあるからチェックしてみて欲しい。
運用保守のインフラエンジニアも、監視業務やインシデント対応などを通して、セキュリティ領域に求められる基本的な知識やスキルをある程度身につけている。
転職後は運用保守、ログ解析、脅威検出などの業務から任せられるケースが一般的だ。業務を通して専門性を磨きながら、セキュリティを考慮した設計・構築へと業務の幅を広げていくことになるだろう。
運用保守の経験って活かせるの?いきなりセキュリティエンジニアはハードルが高いかしら…順当に上流工程を目指すべき?
運用保守の経験も、セキュリティ体制構築の際に活かせる。不安なら、セキュリティの製品知識や法令、運用のノウハウなど、「基礎中の基礎」から教えてくれる、教育体制が整った企業を選ぶのがおすすめだ。
外部からの攻撃や情報流出に備えたシステム設計の経験や、脆弱性に配慮しながらソフトウェアを開発した経験などを活かせる。プログラミングに関する知識も、脆弱性を診断する際に活かせるだろう。
ただし、セキュリティの専門家としてはまだ経験が不足しているため、セキュリティの保守・運用や監視業務からスタートして専門性を高めていくケースが多いと考えられる(具体的な業務の内容は知識やスキルで異なる)。
インフラ経験ないと無理?自分の経験がどんな場面で活かせるのか想像が付かない…
セキュリティエンジニアの仕事は幅広く、プログラミングスキルやネットワーク関連の知識、コンサルスキルなど、各場面でさまざまな知識・スキルが必要だ。どの経験も無駄になることはない。培った自分のスキルのなにかが活かせる、それがセキュリティエンジニアだから。
未経験でも、セキュリティエンジニアを目指すことは可能だ。活かしやすい経験として、営業や接客の経験が挙げられる。業務でクライアントからヒアリングしたり、クライアントと交渉したりすることがあるためだ。専門性は、研修プログラムの受講や資格の取得によって証明できる。
転職後の業務は身につけているスキルで異なるが、まずは研修からスタートするケースや、対応可能な業務を行いながら指導を受けるケースが多いだろう。知識やスキルを習得すれば、専門性の高い業務へステップアップできる。
色んな知識やスキルが必要なセキュリティエンジニア。さすがに未経験から目指すのは無謀すぎる?
たしかに、未経験から一足飛びにセキュリティエンジニアを目指すのはハードルが高い。しかし、セキュリティ人材は不足しているからチャンスはある。2023年時点で11万人のセキュリティ人材不足、世界規模で言うと400万人の追加人材が必要(※)だと報告されているのだから、自分自身の努力はもちろん大事だが、どう努力していいか教えてくれる教育体制が整っている企業、段階を踏んでキャリアアップできる企業を選ぶのが近道だ。
さまざまな案件を抱えている企業なら、幅広いスキルや経験を積んでいち早く一人前のセキュリティエンジニアになることが可能だ。その中で自分の得意分野が見つかれば、スキルを伸ばしてキャリアアップも夢じゃない!
教育制度やキャリアアップ制度が整っている会社なら、未経験から入社しても安心だ。比較的難易度の低い案件からスタートして、徐々に難しい案件に携わることで、無理なく成長することができるだろう。
まずは実務経験を積まないと始まらない。ここからは、よくある3つのセキュリティ業界で、積める経験値とセキュリティ領域の経験値が少ない・未経験でも採用されるのか?各業界の採用の特徴を見ていこう。未経験者が外せないポイント「様々な案件ができるか」「サポート体制」についても触れてみたので参考にしてほしい。
自社のセキュリティプロダクトやサービスには強くなれる。自分達のプロダクトが評価されて、売上げを作っていく業界なので、最初から高い知識・技術レベルを求められる場合が多い&セキュリティエンジニア経験が長い人にも人気の職場なので、未経験者には狭き門だと思っておいてよい。
複数案件を受託しスピーディーに回していくので、様々な案件に関わることができる。ただし、自社の機器や環境に特化しがちなので、極めたいセキュリティ領域が明確である人向け。人よりシステム投資が大きい傾向はあるので、即戦力優位な業界。人材育成・技術サポートまで期待できる企業は少なめ。
正社員雇用で様々な企業に派遣されるので、転職リスクなく様々な案件に関われる。派遣先ごとに異なる機器や環境で経験を積むため、幅広く通用するセキュリティ人材に。育成環境を整えて未経験者も受け入れる会社も多い業界だが、セキュリティ人材に特化した教育環境まで整えているのは大手中心。
当メディアのスポンサーでもあるアウトソーシングテクノロジーも、国内に20ヶ所以上自社研修施設を持つITエンジニア派遣大手グループで、多くのセキュリティエンジニアを輩出しています。その理由について、セキュリティ人材育成を任されている方やセキュリティエンジニアの社員さん達に聞いてみました。
全国各地に拠点を展開しているため、希望する地域での勤務希望も出しやすい。さらに、さまざまな強みやノウハウを持つ1,000社以上の大手企業と連携し(2024年5月調査時点)、豊富な案件や活躍できる環境を用意。このため、エンジニアの志向に合わせたキャリアアップが可能です。
アカデミーやグループ内スクール、E-ラーニング、社内勉強会など豊富な研修を用意。祝い金などで資格取得も支援しています。また、各セキュリティベンダーと連携して、セキュリティ人材育成プロジェクトを推進。専門知識を持ったセキュリティ人材の輩出を目指しています。
客先で働くエンジニアの評価は、上位エンジニアが担当。エンジニア目線で業務マネジメントやキャリアマネジメントを行うことで、派遣先の評価と派遣者のスキルのズレが生じないようサポートしているのが特徴です。キャリアアップやスキルアップも、相談しやすい体制が整っています。
2023年度以降、評価制度を刷新。アカデミー制度は大学の授業のような単位制で、一定の単位数を取得することで年収が上がる仕組みです。さらに、資格取得や経験値を積み重ねることで給与も上げられます。アクションと紐づく評価が明確なので、モチベーションを維持しながらどんどんキャリアアップすることができます。
ここでは、アウトソーシングテクノロジーで実際に活躍するセキュリティエンジニアのみなさんにインタビュー。
やりがいや働きやすさについて話してもらった。
技術面以外の相談ができるキャリアアドバイザーという方々がいて、定期的に面談をしてくれるので心強いです。雑談をしながら自分の知見を共有することも心がけています。
お客様から評価をいただけているのがやりがいにつながっています。足りない部分のご指摘をもらうこともありますが、それはそれで成長できるチャンス。非常にありがたいですね。アナリストとしての面白味としては、判断がつきづらい悪意のある攻撃もあり、都度新しい発見ができることを楽しんでいます。
T.Mさんのインタビュー記事も
残業が結構少なく(※)て、自分の時間を取りやすいですね。退社後は、資格取得のための勉強をしています。提携している会社さんから無料で勉強素材を提供して頂いていて、試験も無料で受けられるので、せっかくなら取得しておこうと思っています。
(※)アウトソーシングテクノロジーの残業平均は12.5時間(2024年4月調査時点)
セキュリティ人材の不足が課題となっている中で、アウトソーシングテクノロジーでは、セキュリティエンジニアの育成・輩出を本気で行っている。特に、教育制度や就業環境の充実ぶりには注目して欲しい。
セキュリティエンジニアを目指したいなら、チェックしておきたい一社であることは間違いないだろう。
セキュリティエンジニアの仕事は多岐にわたる。単に、運用保守を行うだけではない。ここでは、セキュリティエンジニアの基本的な仕事内容を紹介しよう。
クライアントの要望に基づくセキュリティ戦略を立案・提案する業務だ。既存のシステムを対象とすることもある。具体的には、ヒアリングやセキュリティ診断などで現状を把握して対策を提案する。また、情報マネジメントシステムやプライバシーマークの取得を目指している場合は、認証取得の支援も求められるだろう。
提案したシステムを設計・構築する業務だ。セキュリティ上のリスクは、さまざまな場面で発生する可能性がある。したがって、ネットワークの運用・管理はもちろん、ソフトウェア、ハードウェアの選定・設定、運用形態などにも注意を払わなければならない。戦略通りにシステムを機能させるため欠かせない業務だ。
運用は「構築したシステムを正常に稼働させる管理業務」、保守は「構築したシステムをメンテナンスする業務」だ。前者はマニュアルに沿ってスケジュール通りに作業する業務で、後者は故障や不具合などのイレギュラーなトラブルに対応する業務と認識しておけばよいだろう。いずれも継続的な取り組みを求められる。具体的な業務として、OSのアップデート、パッチの適用、セキュリティポリシーの更新などがあげられる。これらの業務によって、システムの正常な動作を維持する必要がある。
ネットワークやログを監視し、不正アクセスなどの脅威を検出する業務だ。原則として、監視はセキュリティ情報イベント管理(SIEM)ツールなどを活用してリアルタイムで行う。AIを使って脅威を検知できるものもある。早期に脅威を検出し、対応できる体制を構築することが重要といえるだろう。
情報資産の脆弱性を特定し、リスクを評価する業務だ。脆弱性の特定は、脆弱性診断ツールなどを用いて行い、脆弱性ごとに危険性を明確にし、リスクを評価する。この評価をもとに、対策を講じる優先順位を決定し、被害や損失を軽減する業務だ。
インシデントに対応する業務だ。具体的には、原因の特定、封じ込め、復旧などを行う。インシデントの把握には、セキュリティ情報イベント管理(SIEM)ツールや不正進入検知システム(IDS)などを活用する。被害を軽減するため、マニュアルなどに沿って迅速に対応することが重要だ。復旧前には、システムのテストを実施する必要がある。
構築したシステムに、テストやセキュリティ診断を実施する業務だ。具体的には、シナリオに沿って仮想の攻撃を実施しセキュリティを評価する、コードを解析して潜在的な脆弱性を発見するなどの取り組みが行われている。課題が見つかった場合は、対応策を検討しクライアントに改善案を提案しなければならない。
セキュリティエンジニアの業務は、非常に幅広いため、セキュリティエンジニアとして活躍するためには、さまざまな知識やスキルが必要だ。以下では、セキュリティエンジニアに求められる6つのスキルを紹介しよう。
▼クリックすると項目が変わります▼
セキュリティエンジニアになるためには、システムを構築する際の土台となるサーバー、「Windows」や「macOS」に代表されるOSなどITインフラの基礎知識が必要だ。また、多くの人と協力して業務を進めるため、コミュニケーションスキルや情報セキュリティに関する知識、「想定外」を考慮するための柔軟な発想力なども身に着けておこう。
快適なIT環境を構築するために欠かせないITインフラ。セキュリティはITインフラと密接に関係するため、ITインフラの知識やスキルが欠かせない。インフラエンジニアとして設計・構築・運用経験があるなら、知識やノウハウを活かせるだろう。もちろん、セキュリティに関する知識、コミュニケーションスキルや発想力なども必要だ。
サイバー攻撃はネットワークを通して行われることが多いため、ネットワークセキュリティに関する知識・スキルが不可欠だ。データセキュリティやリスク分析、アプリケーションセキュリティ、エンドポイントセキュリティ、認証・暗号化、脆弱性診断やペネトレーションテストといったリスク分析の知識も身につけておくと役立つだろう。
最近は、システムやアプリケーションに生じる脆弱性の原因を事前に取り除き、あらかじめ情報漏洩や乗っ取り、予期しないシステムダウンなどを防ぐ「セキュアプログラミング」が主流だ。
セキュリティの自動化需要も増しているから、プログラミングの知識やスキルがあるとよい。スキルがあれば、自動化の提案や自動化ツールの構築、他ツールとの連携などもできるだろう。
セキュリティ対策のためにどんなソリューションを導入するか選定したり、導入後の管理をしたりするのもセキュリティエンジニアの仕事だ。必要充分な対策ができる製品を予算や利便性に配慮して選ぶことが大切だ。次のページでは、セキュリティ製品の種類とそれぞれの役割、セキュリティ対策で注意するべきポイントについて解説しているから、ぜひ参考に。
セキュリティ対策を組織的・体系的に企業が行うことを「情報セキュリティマネジメント」と言う。セキュリティ対策は、法律に則って行わなくてはならないため、「個人情報保護法」「サイバーセキュリティ基本法」など法令に関する知識が不可欠だ。また、規格に準じた対応をすることで、企業としての信頼性を高めることができるだろう。
ここでいうエンドポイントは、PC・タブレット・スマートフォンなど、ネットワークの末端に接続されているデバイスを指す。社外でこれらのデバイスを活用するケースが増えているため、エンドポイントセキュリティの重要性が高まっている。エンドポイントセキュリティでは、端末を直接保護することが重視されている。
未経験であっても、セキュリティエンジニアを目指せる。ここでは、未経験からセキュリティエンジニアになる方法を紹介しよう。
ネットワークエンジニアは、セキュリティエンジニアへキャリアチェンジしやすいとされている。ネットワーク設計・構築・運用の経験を活かせるためだ。また、トラブルシューティングの経験もインシデントの分析や対応に活かせるだろう。ただし、サイバーセキュリティに関する知識やプログラミングに関する知識などを学ぶ必要がある。
サーバーエンジニアも、セキュリティエンジニアを目指しやすい職種といえる。サーバー構築・運用・保守で培った経験やOS、クラウドに関する知識を活かせるためだ。サーバーの構成や運用に関する知識は、キャリアチェンジの際に大きな強みになりうる。サイバーセキュリティに関する知識やプログラミングスキルを磨けば、可能性はさらに広がる。
データベースエンジニアからセキュリティエンジニアになることも可能だ。データベースの構築・運用・保守・監視に関する経験、データサイエンスなどの知識を活かせるだろう。例えば、SQLのスキルを活かしてセキュリティ対策を実施するなどが考えられる。セキュリティエンジニアを目指す場合は、セキュリティや情報セキュリティマネジメントに関する知識をさらに深めることが求められる。
設計・構築のインフラエンジニアは、セキュリティエンジニアに求められる最低限の知識やスキルを身につけているのではないだろうか? 具体例として、サーバーやネットワーク、OSに関する知識などがあげられる。ITインフラの設計・構築で培った知識・技術を、セキュアなシステムの設計・構築に活かせる。日々の業務で培ったサイバーセキュリティに関する知識も大いに役立つはずだ。設計・構築のインフラエンジニアは、セキュリティエンジニアへのキャリアチェンジがしやすい職種だ。詳しくは、設計・構築のインフラエンジニアからセキュリティエンジニアへ転職した方のインタビュー記事を参考にしてほしい。
インフラ運用保守も、セキュリティエンジニアを目指しやすい職種の一つだ。運用監視で培った経験やインフラの設定に関する知識を活かせる。インシデントに対応した経験も役立つだろう。セキュリティエンジニアと親和性が高い職種といえる。インフラ運用保守からセキュリティエンジニアへ転職した方のインタビューを参考にしてほしい。
既存のシステムにセキュリティ対策を講じるケースが多いため、SEはシステム設計・構築の経験を活かせる。開発エンジニアは、アプリケーションの開発経験が役立つだろう。基本的な開発の流れは、一般的なアプリケーションと変わらないためだ。ただし、セキュリティに関する専門性は十分といえない。プログラミングやサーバーセキュリティに関する知識など、専門性をさらに磨く必要がある。
IT未経験からでもセキュリティエンジニアを目指せる。ただし、基礎的な知識やスキルが不足しているため、難易度は高い。セキュリティエンジニアは、 ITエンジニアの経験を求められることが多いためだ 。手厚い教育体制を整えている事業者であれば採用の可能性はある。IT未経験からセキュリティエンジニアになった方のインタビューを参考にしてほしい。
情シスや社内SEからセキュリティエンジニアへキャリアチェンジを図ることもできる。ITに関する最低限の知識を身につけているためだ。例えば社内SEであれば、システムを運用・保守した経験を活かせるだろう。さらにシステム開発をした経験があれば、社内でのシステム開発の一翼を担ったり、外注した際のベンダーとの調整を行ったりする際に力を発揮できるはずだ。実務経験を積みながら、セキュリティ対策の選定・導入・管理、情報セキュリティマネジメントに関する知識を身につけることがキャリアチェンジの近道だ。
プログラマーからセキュリティエンジニアを目指すこともできる。プログラミングに関する知識やスキルを活かせるからだ。脆弱性をあらかじめ排除したセキュアプログラミングに取り組んだり、専門知識を活かしてプログラムに潜む脆弱性を診断できたりするだろう。ただし、セキュリティに関する専門的な知識、ITに関する幅広い知識を身につける必要がある。
ITサポート、ヘルプデスクは、業務ツールや社内システムなどに関する幅広い知識を求められる。身につけた知識や経験を活かして、セキュリティエンジニアを目指すことも可能だ。ただし、サーバー、ネットワーク、OS、セキュリティに関する知識などを学ぶ必要がある場合が多い。教育体制が充実している事業者で、実務経験を積みながら専門性を高めることが重要だろう。
QAエンジニアやテスターから、セキュリティエンジニアを目指すこともできる。共通の基盤は少ないものの、プログラミングやソフトウェア開発に関する知識を活かせるためだ。また、品質をマネジメントするスキルも応用できるだろう。ただし、サーバー、ネットワーク、セキュリティに関する専門的な知識を身につける必要がある。
ITコンサルタントは、ITに関する幅広い知識とコンサルティングに関する基本的なスキルを活かせる。セキュリティ戦略立案・提案、セキュリティ設計などに活かしやすい能力だ。ただし、セキュリティエンジニアに必要なすべての専門性を備えているわけではない。自身の知識やスキルを基に、足りない専門性を補う必要がある。
セキュリティエンジニアは、培ったスキルや知識を活かしてさまざまな職種にキャリアアップできる。ここでは注目の3つのキャリアパスを紹介しよう。
「セキュリティを極めたい」という人のキャリアアップ先としておすすめだ。ウィルス対策ソフトウェアなどのセキュリティ対策ソフトウェアや関連サービスを開発・提供しているベンダー企業などで、高度なセキュリティ機能が含まれたプロダクト開発を行うことができる。
セキュリティアナリストは、企業のシステムがサイバー攻撃を受けた際に、ログやセキュリティ事象を解析して攻撃手法の分析を行う仕事だ。幅広い知識や判断力が求められ、難易度も高いが、見事攻撃者の意図を見抜き、問題解決できたときには、大きな達成感を感じられるだろう。
セキュリティコンサルタントは、セキュリティエンジニアとしての経験や知識を活かして、企業に「どんな情報セキュリティリスクがあるか」「どんな対策を実行すべきか」、助言やサポートを行う仕事だ。インシデント対応の経験や、クライアントへの説明・提案経験などが多い人なら、即戦力として活躍できるだろう。
ペネトレーションテストを実行する専門職だ。ペネトレーションテストは、ITインフラに対して仮想のサイバー攻撃を行い、セキュリティ対策を評価する手法。実際のサイバー攻撃を再現するため、ペンテスターには高度な専門性が求められる。脆弱性を洗い出し、改善案までをクライアントへ報告するまでが仕事だ。
エンドポイントやファイアウォールの操作ログをリアルタイムで監視し、組織をサイバー攻撃から守る専門職(SOCアナリスト)だ。具体的には、各種ツールから発せられるアラートを分析して対応の必要性を判断する(優先順位をつける)。脅威に関する情報を収集し、セキュリティポリシーを策定することもSOCの業務の一部だ。
組織のセキュリティに関する仕組みを構築する専門職だ。具体的には、セキュリティ戦略の立案と策定、脅威に対抗できるシステムの設計、脆弱性に配慮したソフトウェアの開発などに取り組む。幅広い領域でセキュリティに関する仕組みを構築する点が特徴だ。
コンピューターやネットワークに関連するインシデントが発生した際に、各種ログなどの情報を調査・解析して原因を究明したり、サイバー攻撃の全容を把握したり、証拠を発見・保全する専門職で、「デジタル鑑識」と呼ばれることもある。被害の拡大を防ぐ重要な業務を担当する。
情報システム部門で働いてきていて、セキュリティの重要性を実感。方向性が合致したアウトソーシングテクノロジーに転職しました。現在は、数多くの経験を活かし、セキュリティエンジニアとしてプロジェクトを率いるだけでなく、営業支援やオブザーバーの業務にも携わっています。
ここでは、今さら聞けないセキュリティエンジニアの基礎知識を紹介しよう。セキュリティエンジニアの将来性は?仕事内容は?向いているのはどんな人?などの情報をまとめてみた。
セキュリティ対策の需要が増す中で、セキュリティに精通した人材は不足している。特に日本企業は状況が深刻で、ある調査によると、セキュリティ人材が11万人も不足しているそうだ(※)。IT業界のみならず、金融業界、メーカー、インフラ業界、医療業界、保険業界など活躍の場も広がっている。
セキュリティエンジニアの仕事は、システムの企画・提案から設計・実装・テスト・運用・保守など多種多様だ。このため、セキュリティに関する知識やスキルはもちろん、コミュニケーションスキルや法律の知識なども必要だ。セキュリティエンジニアの仕事内容について詳しく知りたいなら、次のページを確認しよう。
セキュリティエンジニアに向いているのは、ITに触れることが好きな人、論理的に考えられる人、問題解決能力がある人、コミュニケーションが苦手ではない人、学習意欲がある人。向いていないのは、新しい知識やスキルに対する関心が低い人、学習意欲がない人だ。未経験者には狭き門だが、中には未経験者を積極的に採用し、育成をしている会社もある。
セキュリティエンジニアの平均年収は、スキルレベルや勤務する地域などで異なる。「職業情報提供サイト(job tag)」によると、令和5年の平均年収は558.3万円だ。スキルによっては、年収1,000万円以上を目指すこともできるはずだ。人材が不足しているため、今後の年収アップを期待できる点も見逃せない。
資格を取得することで、自身の知識やスキルを証明できる。おすすめの資格として、情報処理安全確保支援士(通称:登録セキスペ)や情報セキュリティマネジメント試験(情報処理技術者試験の新区分)があげられる。前者は情報セキュリティに関する国家資格であり、後者は情報セキュリティに関する基本的なスキルを認定する国家試験だ。資格を取得することで、キャリアチェンジがしやすくなるだろう。
これまでセキュリティ業界で働いたことがなくても、セキュリティエンジニアになることは可能です。未経験でセキュリティエンジニアを目指す方が知っておきたい情報をQ&A形式でまとめました。
セキュリティエンジニアになるには、幅広い知識やスキルが求められます。まずは以下の中から優先順位を決め、自分に足りない知識やスキルから学ぶとよいでしょう。
ESET(イーセット)によると、2023年にセキュリティ分野で使用頻度が高かったプログラミング言語は、PythonやPHP、JavaScript、SQL、PowerShellです(※)。他の分野でも使われることが多いCやC++、Javaなども需要があります。 プログラミング経験は必須ではありませんが、少なくともプログラミング言語の基本は理解しておくとよいでしょう。またプログラミングの際に脆弱性を発生させない「セキュアプログラミング」の考え方を学ぶこともおすすめします。
セキュリティエンジニアとして働くにあたって、特に学歴や専攻が重要視されるわけではありません。 一般的には、理工学部の情報系や社会情報系の出身者が多い傾向にあります(※)。また近年注目を集める人工知能の分野でセキュリティエンジニアになるには、アルゴリズムなどの数学的知識が求められるでしょう。 しかし、文系出身でもセキュリティエンジニアとして活躍している方もいます。文系か理系かよりも、セキュリティ領域においてどのような知識やスキルを身につけるかが重要です。
未経験の方がセキュリティエンジニアとして働く上で、必ず取得しなければならない資格はありません。ただし、取得しておくとキャリアの実現に役立つ資格はいくつかあります。 例えば、情報処理推進機構はセキュリティエンジニアに「特に有用」な国家資格として、情報処理安全確保支援士(旧情報セキュリティスペシャリスト試験)を挙げています(※)。またインフラエンジニアなど、他の領域での経験がある方は、ネットワークスペシャリストや応用情報技術者の取得も検討するとよいでしょう。
セキュリティエンジニアとしてのキャリアをスタートするなら、他の領域のエンジニアとしての実務経験が役立ちます。 特にサーバーやネットワーク、OSなどのインフラを担当するインフラエンジニアの経験は、セキュリティエンジニアとしての仕事にも活かせるものが多く、キャリアチェンジの際にアピールできるでしょう。
厚生労働省によると、セキュリティエンジニア(情報セキュリティ技術者)として働く方の28.6%が、入職前の訓練期間として「1カ月超~6カ月以下」が適切と回答しています(※)。独学する場合、さらに多くの期間を必要とするでしょう。 専門のスクールに通う場合、独学よりも勉強時間を短縮できますが、目安として25~75万円程度の料金がかかります。 あまり費用をかけたくない方は、セキュリティ領域の研修制度が充実した企業を選ぶのがおすすめです。働いて給与を得つつ、セキュリティエンジニアとしての経験も積めます。
セキュリティエンジニアといっても、さまざまな仕事や働き方がありますが、以下に1日の流れの例を紹介します。
セキュリティエンジニアとして働くには、サーバーやネットワーク(VPN、無線LANなど)、OS(Windows、macOSなど)の知識が求められます。 サーバーやOSはシステム構築の土台となり、ネットワークは業務上のデータや個人情報をやりとりするインフラです。サイバー攻撃を防ぐには、セキュリティ技術の知識だけでなく、こうしたインフラやITに関する基礎知識も欠かせません。
セキュリティエンジニアは、さまざまなセキュリティ製品・ツールを日常的に使用しています。例えば、ファイアウォールやIDS・IPS、脆弱性診断ツール、特権ID管理(アクセス管理)ツール、ウイルス対策ソフトなどです。 またクラウドサービスを利用する場合は、AWSやGoogle Cloudなどの開発環境や、Amazon Auroraなどのデータベースに関する知識も求められるでしょう。
はい。国立研究開発法人情報通信研究機構によると、サイバー攻撃関連の通信数は2023年に過去最高を記録し、サイバーセキュリティ上の脅威はますます拡大しています(※)。一方で、セキュリティに関する専門人材は質的にも量的にも不足しているのが現状です。 またデジタルトランスフォーメーション(DX)への関心の高まりにより、これまでにないデジタル関連リスクやインシデントに対応できる人材が必要とされるようになりました。今後もセキュリティエンジニアの需要は見込まれるでしょう。
セキュリティエンジニアの仕事は幅広い。豊富な知識と経験が必要な上、責任も重い、難易度の高い仕事だ。しかしだからこそ、他のエンジニア職とは一線を画し、どの企業でも必要とされる「替えの効かない」エンジニアになることができる。将来性が高く、高収入も目指せる。
一つだけ注意したいのが、セキュリティエンジニアをしっかり育成してくれる企業を選ぶこと。さまざまな案件を通して知識とスキルを身につけられれば、必ず強みのあるセキュリティエンジニアになれるはずだ。「よくいるエンジニア」で終わりたくないなら、ぜひ勇気を出して一歩を踏み出してみよう。
活かせる経験
対処した経験
セキュリティエンジニアになるには
設計・構築のインフラエンジニアは、運用・保守の経験も積んでいることが多いだろう。監視業務やサーバー設計などで培ったスキルは、セキュリティエンジニアに求められるスキルの一部だ。
転職後は、ITインフラの知識を活かし、セキュリティを考慮した設計・構築などの業務に携わりつつながら、専門性を磨くことが期待されるはずだ。