sponsored by 株式会社アウトソーシングテクノロジー
情報セキュリティポリシーの策定やネットワークセキュリティ、脆弱性診断、認証システムなど、業務範囲が幅広いセキュリティエンジニア。
基礎は網羅しつつ得意な領域を持ってキャリアアップできる職業なので、このページではセキュリティエンジニアになるために必要な知識・スキルの一つ「サイバーセキュリティ領域」の基礎について紹介します。どんな知識・スキルが必要なのかをまとめました。
セキュリティエンジニアに興味をもった方、そして、今後どこを得意領域にしていこうかなとお考えのエンジニアの方必見です!
ネットワークセキュリティ
サイバー攻撃はネットワークを通して行われることが多いため、ネットワークセキュリティに関する知識が必要不可欠です。特に、顧客情報や技術情報、企業の財政情報といった企業の情報資産は、流出すると企業の信頼性が大きく揺らいでしまいます。このため、攻撃される可能性がある場所を把握した上で、資産を守る対策を行わなくてはなりません。
ネットワークには、社内のみで完結している「クローズドネットワーク」とクラウドなどを利用した「オープンネットワーク」の2種類があるので、それぞれに対応したネットワークセキュリティを選択しましょう。
データセキュリティ
データセキュリティとは、承認されていないアクセスから、データを破壊・改ざん・盗難・漏えいから保護することです。具体的には、データ暗号化、データ秘匿化、キー管理、データサブセット化、データマスキング、ユーザーアクセスの制御、監査、監視などを行うことを言います。
データセキュリティを疎かにして万が一漏洩などが起こった場合、重大な経済的損失へと繋がります。実際に対策をするための知識やスキルはもちろん、クライアントから質問された時に的確に答えられる知識も必要です。
リスク分析
(脆弱性診断・対策、ペネトレーションテスト)
リスク分析とは、利用しているシステムや公開しているサーバー、Webアプリケーション、ソフトウェア等について、組織に危害を及ぼす可能性のあるリスクや脆弱性を評価することです。
システムやWebアプリケーションは当然、セキュリティを意識して作られているのですが、完成してみると、バグや設定不備などが意外にあるものです。バグや設定不備を放置しておくと、そこから不正アクセスや情報漏洩などが起こりかねないため、脆弱性診断やペネトレーションテストなどを行い、具体的な対策を立案します。
リスク分析のスキルは、市販の教材や調査ツールなどを利用して習得することができます。知識やスキルをしっかり習得することで、ペネトレーション・テスター(ペンテスター)として活躍することも可能です。
サイバーセキュリティ分析
サイバーセキュリティ分析とは、さまざまなデータをもとにサイバー脅威の検出、分析、軽減を行うことです。リスク分析にプラスして、脅威インテリジェンス、侵入検知と対応、データモニタリング等も含まれます。
セキュリティ装置やネットワーク機能、業務アプリケーション、SaaSサーバー、ディレクションやレスポンス(EDR)など、さまざまなログデータを収集・分析することで、サイバー攻撃や情報漏洩などの不正行為を検出します。
アプリケーションセキュリティ
アプリケーションセキュリティとは、アプリケーション内のデータやコードを保護するためのセキュリティ対策です。
アプリケーションはさまざまなネットワークから使用することができますが、一方でこれは、ネットワーク経由で外部からの攻撃を受けやすい状態でもあります。このため近年は、ネットワークレベルでのセキュリティ対策に加え、アプリケーション自体のセキュリティ対策が求められています。
アプリケーションセキュリティの知識としては、アプリケーションの通信フローを理解することが大切です。アプリケーションの通信はさまざまですが、まずは「DNS」「メール」「FTP」「HTTP/HTTPS」など、利用者の多い通信のフローを理解してみるのがおすすめです。
エンドポイントセキュリティ
エンドポイントとは、クライアントPCやスマートフォン、タブレットなどの、ネットワークに接続されている端末機器のことです。エンドポイントセキュリティは、さまざまな人が利用するエンドポイント端末や、そこに保存されている情報を保護することを意味します。
特に近年は、働き方改革の影響でテレワークをする人が増加。社内環境だけでなく、従業員がテレワーク先で利用する端末機器のセキュリティ対策も行わなくてはなりません。セキュリティ・スキームもワークスタイルに適合したものにする必要があるため、エンドポイントセキュリティの見直しを求める企業が増えています。
認証・暗号化
ネットワーク通信では、第三者への情報漏洩を防ぐため、暗号や認証技術などが用いられています。「情報へのアクセス権限や利用権限を与えるために、どんな認証技術を使えばいいか」「どんな暗号技術なら情報漏洩を防げるか?」など、サイバー攻撃への対策を考える際には暗号や認証技術に関する知識が必要です。
また、せっかく認証技術や暗号技術を使用しても、脆弱性が発見されたり暗号が解読されたりしてしまっては、セキュリティとしての機能が果たせません。このため、常に先端の認証や暗号について情報収集や理解をしておくことも大切です。
ページ監修
Sponsored by OSTechグループ
株式会社アウトソーシングテクノロジー
株式会社アウトソーシングテクノロジー
セキュリティ人材育成プロジェクトを推進
アウトソーシングテクノロジーは、エンジニアの技術派遣と請負開発で技術力を提供している企業です。日本有数の大手上場メーカーやベンダーを中心に技術支援を行っており、国内の主要プロジェクトを多数手がけるなど実績を重ねています。
人材の育成にも力を入れており、特にセキュリティエンジニアは、セキュリティメーカーやベンダーと共同でセキュリティ人材育成プロジェクトを推進。セキュリティ業界未経験者はもちろん、経験者がより経験を積むための育成体制を整え、2024年には約150名、2025年には約280名のセキュリティ人材輩出を計画(※2024年2月19日時点、公式HPより)しています。
カジュアル面談も積極的に行っているそうなので、キャリアを検討する一選択肢として活用してみてはいかがでしょうか。
編集チームまとめ
ガドマガ編集チームより
育成に力を入れている企業への
転職も視野に入れてみて
転職も視野に入れてみて
セキュリティエンジニアになるためには、サイバーセキュリティ領域の知識・スキルが必要です。専門書など独学での勉強の他、エンジニア同士で勉強会を開く(参加する)、資格取得を目指す、などさまざまな方法を活用して知識を身に着けてみてください。
特にセキュリティ業界に特化するのが初めてなエンジニアの場合は、様々なセキュリティ環境に触れてスキルアップをするのが一番!
次にご紹介しているページでは、セキュリティエンジニアになる近道をご紹介しています。セキュリティエンジニアに興味をお持ちの方は、ぜひチェックしてみてください。
新たな職業の選択肢を!をコンセプトに、様々な職業の魅力を伝えるWebメディアを展開するZenken株式会社。 このページは「セキュリティエンジニア」という職業にフィーチャーするWebメディア「ガドマガ」編集チームが調査しまとめています。