sponsored by 株式会社アウトソーシングテクノロジー
インフラエンジニアからセキュリティエンジニアへ、実際にキャリアアップをした方にインタビュー。セキュリティエンジニアになった経緯、仕事の楽しさや難しさ、一日のスケジュールなどをお聞きしました。
「セキュリティ対策の経験や知識を活かしてキャリアアップしたい」とお考えのインフラエンジニアの方必見です!
【セキュリティエンジニアSTORY】
インフラエンジニアからのキャリアチェンジ
責任の大きさはみんな同じ
大切なのは学び続けること
大切なのは学び続けること
アウトソーシングテクノロジー(T.M)さん
インフラ設計・構築エンジニアからセキュリティエンジニアに
インフラ設計・構築エンジニアからセキュリティエンジニアに
- 前職:運用エンジニア(運用保守・設計・構築)
- 現在の業務:セキュリティアナリスト
終始、柔らかい笑顔でユーモアたっぷりの回答をくださったT.Mさん。冗談っぽく謙遜される一方で、仕事への真摯な姿勢を強く感じた取材でした。インフラエンジニアからのキャリアチェンジを考えている方必見です!
“風通しの良さ”が働きやすさを創る
前職はインフラエンジニアとして運用、保守、設計、構築まで担当されて、
アウトソーシングテクノロジーにジョインされたと伺いました!
そうですね、もう7〜8年ぐらい前ですね。前職も含めると派遣エンジニアとしては16年ぐらい。派遣エンジニアになる前の30手前までは、インターネットプロバイダでサーバーを貸し出す会社のインフラ系のエンジニアとして仕事をしていました。スタートアップの企業だったこともあり、てんやわんやしながら仕事をしていましたよ(笑)。
色々と経験を積まれたのですね!
T.Mさんが思う、派遣エンジニアの良さはどんなところですか?
派遣エンジニアは、派遣先企業である程度ナレッジが貯まってくると、メンバーが入れ替えられるんですね。なのでその度に新たな配属先企業で環境を作り直して仕事をしなくてはなりません。
仲良くなった人たち、そこで培ったナレッジがリセットされるのは少々残念ですが、非常に幅広い経験が積めますし、新しい環境でいろんな技術を学べる、各配属先企業の様々な運用スタイルに触れられる点は1つメリットかなと思います。
さまざまな現場に行くことで人脈が広がる点も魅力です。実際、以前お世話になった企業の方から、直接私の方に「こんな人いない?」って相談の電話がかかってきて、営業担当に話を通すなどもあります。エンジニアの範疇以外に見えますけど、私はそこも含めて仕事だと思っています。
アウトソーシングテクノロジーの働きやすさはどんなところに感じますか?
働きやすさは、配属先企業にもよるので一概には言えないですね。ただ、福利厚生や組織がしっかりしているのは良い点かなと思います。やっぱり企業の規模が非常に大きいので、安定感はありますね。
その分、スタートアップ出身者からすると「もう少し融通を」という場面もあるので、そんな時は改善して欲しいなとは思いますが(笑)。
改善して欲しい…なかなかデリケートな話題ですが
でも私はちゃんと伝えますね。聞いてくれるメンバーですし。そう考えてみると、“風通しの良さ”はアウトソーシングテクノロジーでの働きやすさの一つ。私が勝手に風を吹かしているだけかもしれませんが(笑)。
上司や営業の人たちとも本音を話せるし、それをちゃんと受け止めて、フィードバックしてくれるのは良い点ですね。最初からダメ出しなんてことはありません。
分からないことは得意な人に聞く。自分のできることを突き詰める
元々インフラエンジニアだったT.Mさんが、
どういう経緯でセキュリティエンジニアになったのでしょうか?
当時は、アウトソーシングテクノロジーも、ここまで本腰を入れてセキュリティエンジニアの育成を行っていなかったので「他に知見があるメンバーがいないから頼む!」と言われたんです。「仕方がないな、行ってくるよ」と、そんな感じです(笑)。
元々インフラ系のエンジニアをやっていたので、当然セキュリティの重要性は分かっていました。自分でも、インフラの部分でセキュリティホールとか、脆弱性が見つかった時に対応をしたこともあったので、多少馴染みもありましたね。
セキュリティエンジニアの魅力、逆にスタート時の不安などを聞かせてください
うーん、まず不安はありませんでした。インフラも長年携わっていましたし。魅力…言語化するとなると難しいですね。
ただ、ずっと新しいものを勉強し続ける必要がある、という意味ではインフラであれセキュリティであれ変わらないと思っていて。勉強は基本的にし続けなければならない、それもまたその仕事の1つなんだってところさえ、腹に落ちていればなんとかなるんじゃないかと思います。
セキュリティエンジニアは、業務の幅がすごく広い印象があります。
法律とか、学ぶ範囲もすごく増えるのですか?
学ぶ範囲は、その時自分に与えられたロールによると思います。法律の部分からセキュリティをバックアップするよ、というのであれば、派遣先企業の法務部との連携になりますね。
1人で仕事をしているわけではないので、相談先はあります。○○さんがこういうところに強い、これは○○部が専門だ、というのを把握しておけば、あとはどうにかなりますよ(笑)。
もちろん、自分の責任範囲でやらなきゃならないことは当然プロとしてありますが、その責任範囲を超えていたり、能力範囲を大きく超えていたりするような場合は、然るべきところに相談をすればいいと思っています。そこでダメ出しされるような環境なら、その環境にいること自体を見直した方がよいかもしれませんね。
大事なのは、どの部分を誰に頼るのか、キャッチアップをすることですね!
ただ、情報をとりに行くのが苦手な人もいるのではないかなと思いますが…
厳しい言い方をすれば、そういう人は、セキュリティエンジニアだけじゃなくて、エンジニアとしても少し難しいと思いますね。
エンジニアって、ずっと作業だけをしているわけじゃないんです。営業マンより多くの方と対話する必要があると私は考えています。自分の都合と、会社の都合、コンピューターシステムの都合、3つの都合があって、ちょうど折り合いのつくところに話を持っていくというか。
なので、極端な話をすると、自分の見解を基に正しく話せる人、コミュニケーションが取れる人、バランス感覚がある人であれば、セキュリティエンジニアだけではなく、どんなエンジニアでもしっかり仕事はできていくと思います。
始終笑顔でインタビューに応じてくれたT.Mさん
厳しさもやりがいも包み隠さず話してくれました
T.Mさんと同様に、セキュリティホールや脆弱性など業務内容に多少なじみがあるというインフラエンジニアの皆様も多いのではないでしょうか。設計・構築で培ってきたスキルは十分活かせそうです。
インフラエンジニアを続けるにせよ、セキュリティエンジニアにキャリアチェンジするにせよ、やはりエンジニア職は、生涯勉強が必要な職業のようです。T.Mさんも話していたように、新しい環境で、様々な技術や運用スタイルに触れられる派遣エンジニアは、実務でその勉強が幅広くできる環境とも言えるのではないでしょうか。
T.Mさんが在籍する技術派遣会社アウトソーシングテクノロジーでは、セキュリティエンジニアにキャリアチェンジできるよう、研修制度を整えてインフラ経験者を積極採用しています。あわせて参考にできるよう、募集要項のリンクをつけておきます。一助となれば幸いです。
続いて、T.Mさんが携わる「セキュリティアナリスト」の仕事内容を深堀りしていきます。
日々新たな発見ができる。成長できる仕事です
セキュリティアナリストとしてのお仕事内容を教えていただけますか?
簡単に言うと、様々なお客様の環境の中で、発生したマロップ(悪意のあるオペレーション)を拾って、それが本当に悪意のある操作なのか、そうではないのかを判断したり、対応をすべきかどうかを判断したりしています。
本当に悪意のある操作なら、どういう対応をしなければならないか。どこから通信が発生して、どんな不正プログラムを導入されてしまっているのか。それに対処するためには何をしなければならないか。というところを整理・分析して、お客様に提案する、というのが主な仕事です。
毎朝、アメリカのチームから引き継ぎがありますよね?
システムって24時間365日動いているじゃないですか。でも人間は24時間365日動けないので、私の配属先企業では、アメリカ・日本・ヨーロッパの3つのチームに分かれて対応しています。
それぞれ時差を利用して3交代でやっているので、その引き継ぎを朝行うんです。もちろん、引き継ぎは全部英語ですね。
元々英語は、お得意ですか?
苦手ですね(笑)。中学生に毛が生えた程度のレベルです。でも引き継ぎは大体パターンが決まっていて、今日発生したインシデントとかマロップについての話なので、何を言っているかは大体わかるんですよ。
「こういったことが起きたよ」っていうのをサマリーで送ってきてくれるので、チェックしておけば、相手が何を言っているかが分かります。ただ質問があった場合は、口頭だとうまく言えないので、「メッセージで送るね」って伝えて、メッセージで返してもらっています。
海外とのやり取りは、インフラエンジニアの時からあったのでしょうか?
インフラエンジニアの時は、日本の中で、公共系の仕事が多かったので、そこまで多くはなかったですね。もちろん、海外のプロダクトについての質問を提供元に送るとかはしていましたが。
なので、英語に対する抵抗感はありました。最初は「英語はできないよ、無理無理」と言っていましたね(笑)。お客様にも「英語力が低いです」というのは伝えて、理解を得た上でお仕事に携わらせてもらっています。
英語力以外の部分、今まで培ってきた中で、「お客様が何を求めているか」を理解して企画に落とし込む力や、人の3倍ある対話力(笑)などで、貢献できているのではないかなと思っています。
チャレンジは無駄にならない。まずはトライしてみて!
アナリストの勉強も、日々ご自身で?
体系的にしっかり勉強している感じではないですね。インフラエンジニア時代からですが、毎朝新聞を読むのと同じような感覚で、新しい情報や気付き、知識を仕入れています。それが積み重なって、1つのラインになっていくので、そういうのが大事かなと思っています。
セキュリティエンジニアの仕事の厳しさを聞かせてください
こちら側で判断ミスをして間違った案内をしてしまうと、それがお客様の損害に直結しかねないので、大きな責任を感じています。
ただ、それはどのエンジニアであっても同じですよね。インフラエンジニアも、 やり方を間違えてしまうと、1発でシステムが止まってしまう。ニュースにもなりますよね。銀行の何々が止まった、免許センターの何かが止まったとか…。
セキュリティエンジニアもインフラエンジニアも、お客様に被害を与えかねない部分での責任の大きさはそんなに変わらないと思います。
反対に、楽しさを感じるのはどんな時ですか?
お客様から評価される時でしょうか。幸いなことに、お客様からもある程度評価いただけていると思っているので。もちろん、経験不足から足りない部分のご指摘をもらうこともあるんですが、それはそれで非常にありがたいと思っていますし、成長できるチャンスだと思います。
セキュリティアナリストとしての面白味は、新しい発見があること。明らかに悪意がありそうに見える…なんとも言えないヤバさを感じるエラーがあるんです。でも指標としては大きくなくて「判断に迷う…」というのが結構あって。そういう時は「お?来たな!」と腕がなります。
セキュリティアナリストならではですね(笑)ちなみに、最近のセキュリティのトレンドは?
大きなセキュリティインシデントになりがちな部分っていうのは、意外に昔から変わっていなくて、メールで変なファイルをダウンロードさせられたり、USB経由でワームが送り込まれたりすることが多いですね。
そのワームを使って不審なサイトにアクセスして、より悪質なツールをダウンロードさせるとか、標準のアプリケーションを使って、ファイルの情報を抜いて送るとか。
Windowsに標準で装備されているツールを使って、正常な活動に見せかけて悪意のある振る舞いをする、というのがやっぱり多いですね。増えてきています。
プライベートの時間はどうされていますか?
今は、ベンダーの立場でアナリストとして仕事をしているので、基本的に3交替です。ヨーロッパのチームに引き継ぐ時間になれば仕事が終わるので、残業もほぼないですね。
しかも、今の職場は基本的にテレワーク。 18時前くらいに仕事が終わった後は、食事の用意をしたり、勉強をしたりして過ごしています。
T.Mさんの“とある一日”
セキュリティアナリストとして海外とのやりとりもしっかりこなし、新聞を読む感覚で、日常的に新しい知識を取り入れているT.Mさん。
そんなT.Mさんのある日の一日の流れを紹介します。
- 9:00 業務開始アメリカチームからの引き継ぎや調査対象チケットの確認
- 9:30 朝のチームミーティングの開始、注意が必要な内容などを共有
- 10:00 顧客からの問い合わせや調査チケットの対応を実施
- 12:00 ランチ 基本的にリモートなので自宅で食事
- 16:30 夕方のチームミーティング 本日発生した、インシデント等について情報共有
- 17:00 セキュリティのトレンドや最新の攻撃手法等についての調査
- 17:45 業務終了
まずは思い切りやってみることに価値がある
今後の目標を教えてください
もちろんセキュリティアナリストとして経験を積んでいきたいですが、まずはやっぱり英語力ですね。自分のレベルの低さは痛いほど理解しているので、じわじわと積み上げていきたいなと考えています。オンライン英会話が安く受講できたり、TOEICの団体受験など、会社の制度も活用してみるのもよいかなと思っています。
セキュリティエンジニアを目指すみなさんに、応援メッセージをお願いします!
思いっきりやってみたら良いと思います。できたにしろできなかったにしろ、とにかくやってみればいい。見てくれている人は必ずいますし、セキュリティはどの分野でも必要なので、キャリアチェンジをしたとしても、十分強みとして使えるスキルですし。
今の職場で頑張っているなら、その頑張りのまま、とりあえずトライしてみてください。
本日は貴重なお話、ありがとうございました
編集チームまとめ
設計・構築の経験は
セキュリティエンジニアで十分活かせる
セキュリティエンジニアの業務内容は非常に幅広く、携わる領域によって異なる知識が必要です。
T.Mさんのように設計・構築経験のあるインフラエンジニアなら、ITインフラの知識をもとに、安全性の高いシステムを設計・構築したり、実際のサーバー攻撃への対応などを考えたりすることができるでしょう。
とはいえ、インフラエンジニアで少し関わってきたセキュリティを究めるには、様々なセキュリティ環境でスキルアップは必要。このメディアのスポンサーであり、T.Mさんも在籍している、アウトソーシングテクノロジーでも手厚い育成体制でエンジニアを迎え入れているとのことです。簡単に会社情報をまとめてみましたので、ぜひあわせて参考にしてみてください。
Sponsored by OSTechグループ
株式会社アウトソーシングテクノロジー
株式会社アウトソーシングテクノロジー
セキュリティ人材×テクノロジーで企業の課題解決を支援
国内外グループ全266社、日本国内に54の営業拠点を構える(※2023年12月時点)OSグループの一員であるアウトソーシングテクノロジー。2004年の設立以来、「人材 × テクノロジー」のソリューションサービスで、現場の課題解決をサポートしています。
事業の柱である「人材」の育成にも注力。特にセキュリティエンジニアは、セキュリティソリューションメーカーやベンダーと共同でセキュリティ人材育成プロジェクトを推進するなど、セキュリティ業界未経験者はもちろん、経験者がより経験を積むための育成体制を整え、2024年には約150名、2025年には約280名のセキュリティ人材輩出を計画(※2024年2月19日時点、公式HPより)しています。
ここからは「セキュリティエンジニアを目指したい!」とお考えの方のために、知っておきたい基礎知識を編集チームが補足します。
設計・構築インフラエンジニアが活かせる経験
システムにどのようなセキュリティが必要なのか、提案するのもセキュリティエンジニアの仕事です。提案した企画が通ったら、内容に基づいて設計・構築を行います。
セキュリティに配慮した、できるだけ安全なシステムを設計・構築する際に、インフラエンジニアとして積み重ねた設計・構築経験を大いに活かすことができるでしょう。
セキュリティエンジニアの年収相場
求人ボックスの統計データによると、セキュリティエンジニアの仕事の平均年収は、約543万円(※1・2)。日本の平均年収が458万円(※3)なので、比較すると高い水準であることが分かります。また、インフラエンジニアの平均年収は約520万円なので、転職することで収入アップを叶えることができるでしょう。
ただし、全体の給与幅が356〜1,031万円と幅広い点は要注意。企業やスキル、経験などによって大きな差があるようです。
(※1)求人ボックス(https://求人ボックス.com/セキュリティエンジニアの年収・時給)2024年3月13日調査時点
(※2)求人ボックス(https://求人ボックス.com/インフラエンジニアの年収・時給)2024年3月13日調査時点
(※3)国税庁「令和4年分 民間給与実態統計調査」(https://www.nta.go.jp/publication/statistics/kokuzeicho/minkan/gaiyou/2022.htm)2024年3月13日調査時点
ガドマガ編集チームより
替えのきかない
セキュリティエンジニアになるには
セキュリティエンジニアになるには
需要に対してセキュリティ人材は大きく不足しているため、スキルや知識を身につけることで、強みを持つ替えのきかないセキュリティエンジニアになることが可能です。特に、今セキュリティ対策業務に携わっているインフラエンジニアなら、即戦力として活躍できるでしょう。
次にご紹介するページでは、「あなたじゃないと!」と言われるセキュリティエンジニアになる方法をご紹介。未経験者がセキュリティエンジニアになるための道のりやコツを紹介している特集ページもあるので、ぜひチェックしてみてください。
新たな職業の選択肢を!をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。 このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。