今回はセキュリティエンジニアのキャリアについて紹介します。
本メディアのキャリアガイドでは、実際に現場で活躍している専門家たちが、各セキュリティのキャリアについて初心者目線で分かりやすく解説しています。
それでは、セキュリティエンジニアのキャリアについて学んでいきましょう。
【セキュリティエンジニアのキャリアガイド】
チビスケセキュリティエンジニアってあんまりよく分からないんだよな…
かえで心配しないで、今日は初心者にも分かりやすく説明していくよ。
キャリアの概要
セキュリティエンジニアとは、組織のシステムやデータを保護する専門家です。技術的なスキルを活かして、システムのセキュリティを強化し、サイバー攻撃から組織を守ります。
セキュリティエンジニアの定義は人により多種多様であり、一般的には以下のようなキャリアもセキュリティエンジニアとして紹介されることがあります。
- 脆弱性診断士
- ペネトレーションテスター
- フォレンジックアナリスト
- CSIRT
また、よく似たキャリアとして、セキュリティコンサルタントが挙げられますが、セキュリティエンジニアは、より技術的な領域を専門領域としています。
そのため、セキュリティキャリアの中でも、ITやセキュリティに関する専門的な技術力が求められます。
仕事の内容
セキュリティエンジニアの仕事は大きく3つに分類することができます。
- 企画・提案
- 設計・実装
- テスト・運用・保守
以下で詳しく紹介していきます。
企画・提案
企画・提案のフェーズでは、組織やシステムに必要なセキュリティ対策を洗い出し、導入計画を立てます。組織の業務内容やセキュリティリスクを考慮して、適切なセキュリティ対策を策定し、新しいセキュリティ対策を提案します。
このフェーズは、セキュリティコンサルタントが担当することもありますが、上流工程を対応できるセキュリティエンジニアが兼任することも多くあります。
■ 仕事内容の例:
- セキュリティ対策に関わる戦略立案
- セキュリティ対策の業界規制、法律などの調査
- セキュリティアセスメントによるリスクの可視化
設計・実装
設計・実装のフェーズでは、組織やシステムに最適なセキュリティ対策を設計し、それを実際にシステムやネットワークに実装します。具体的な仕事内容としては、セキュリティ対策に関わる要件定義、セキュリティ対策の実装などが含まれます。
■ 仕事内容の例:
- システム開発におけるセキュリティ要件の定義
- プログラミングによるセキュリティ機能の実装
- セキュリティ製品の検証(PoC)や導入
テスト・運用・保守
テスト・運用・保守フェーズでは、実装されたセキュリティ対策の有効性を評価し、システムのセキュリティを継続的に監視・維持します。セキュリティテストの実施と結果の評価、セキュリティインシデントの監視と対応、脆弱性の修正と定期的なセキュリティ強化、セキュリティポリシーや規制の遵守と監査などが含まれます。
■ 仕事内容の例:
- システムに対する技術的なセキュリティ評価(脆弱性診断など)
- 脆弱性に対する改善案の提案、実装
- セキュリティインシデントの技術的な調査(フォレンジックなど)
チビスケセキュリティエンジニアってこんなに幅広い役割があるんだぁ〜
かえでその通りだよ!上流から下流工程まで幅広い仕事があるのが特徴だね!
収入・平均年収
求人ボックスの統計データによると、セキュリティエンジニアの平均年収は約589万円のようです。
ただし、全体の給与幅としては350〜1,037万円と比較的広く、勤務先やスキルにより大きな差があるようです。
また、セキュリティエンジニアとして独立した場合は、フリーランスエージェント等と契約することで年収1000万円以上を目指すことができるでしょう。
将来のキャリアパス
セキュリティコンサルタント
セキュリティエンジニアからセキュリティコンサルタントになることもできます。
セキュリティエンジニアを経験することで、より現場の状況や課題を考えながら顧客を支援することができます。セキュリティコンサルタントの仕事は、基本的には戦略策定や業務設計などの上流工程にあたるものです。しかし、現場経験をせずにコンサルタントになった人たちは、理論的な知識だけを頼りにコンサルティングを行うことになります。その結果、顧客とのコミュニケーションで問題が発生したり、現場では使えない戦略や業務設計をしてしまうこともあります。
顧客とスムーズにコミュニケーションを進めるためにも現場経験があった方が確実に有利です。そのため、セキュリティエンジニアとして一通り経験を積んだ後に、コンサルタントになるのは非常におすすめです。
ホワイトハッカー
ホワイトハッカーとしてキャリアアップすることもできます。セキュリティエンジニアの仕事でも、脆弱性診断やペネトレーションテストを担当することがありますが、より専門性を特化させることも可能です。DX化に伴い、クラウドや、モバイル、IoT等、ホワイトハッカーによるセキュリティ評価が求められる領域は拡大しています。このような状況において、ホワイトハッカーの需要は今後も増加していくことが考えられるため、ホワイトハッカーとしてキャリアを発展させることも選択肢の1つになるでしょう。
セキュリティマネージャー、CISO
技術的な経験やスキルを活かして、セキュリティマネージャー、CISOになることも可能です。これらのキャリアは、組織全体のセキュリティ活動を統括・指揮します。セキュリティエンジニアとしての技術的な知識を持つことで、組織のセキュリティ課題の特定や解決策の選定において、より的確な判断ができるようになります。セキュリティマネージャーやCISOは、組織の中でも上位の役職になるため、高い給与水準を期待することができるでしょう。
独立エンジニア
独立してフリーランスや起業家になることも可能です。近年、セキュリティ人材が不足しており、企業の中でセキュリティ専任者がいないことが多くあります。こういった中、企業が外部のセキュリティ専門家を雇うケースが増えています。具体的には、セキュリティインシデントの発生時や、取引先からセキュリティ対策を求められたことをきっかけに外部の専門家に依頼することが多いようです。このように、企業におけるセキュリティ意識は年々高まっているため、今後もセキュリティ専門家のニーズは増加し続けるでしょう。
チビスケ僕はホワイトハッカーになりたいなぁ…
キャリアの魅力
最新のセキュリティ技術を学べる
セキュリティエンジニアは、最新のセキュリティ技術や製品に触れることが非常に多いです。セキュリティ製品や機能の深い理解が求められるため、最新の技術を学べる機会が多くあります。また、仕事内容によっては、自身でプログラミングする機会もあるため、プロラミングスキルやセキュアコーディング等の根本的な技術力を身につけることも可能です。このようなスキルは汎用性が高いため、他のセキュリティキャリアに転職する際も自身の強みとして活かすことが可能です。
ネクストキャリアの選択肢が広い
セキュリティエンジニアのメリットは、とにかく技術に触れる機会が多く、ITやセキュリティ技術に関わるスキルを向上できる点です。こういった技術的なスキルは、セキュリティコンサルタントやCISOを目指す上でも非常に役に立つスキルになります。技術が分からずにコンサルタントや上位のマネジメント層になる人が多い現状です。こういった中で、技術が分かり、具体的な提案ができる人材は非常に重宝されるでしょう。
将来的にも高い需要が期待できる
企業のデジタル化が進むにつれて、セキュリティを重視する企業も増加しています。一方で、セキュリティ人材は不足しており、世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²の調べによると世界では340万人不足しているようです。このような状況において、セキュリティエンジニアは将来的にも社会から必要とされ、高い需要が期待されます。サイバー攻撃のリスクは年々高まっているので、セキュリティエンジニアが活躍できる領域は今後ますます広がるでしょう。
必要なスキル
IT、セキュリティ技術力
セキュリティエンジニアには、ITやセキュリティのスキルが求められます。キャリアに就く前に、OSや、ネットワーク、プログラミング等のIT基礎を一通り学んだ上で、セキュリティの基礎技術も学んでおくことが重要です。ITの基礎スキルの勉強方法については以下の記事で解説しているので、ぜひ参考にしてみてください。
英語スキル
英語スキルは必須ではありませんが、あると活躍の場が凄く広がります。実は、国内で導入されているセキュリティ製品は海外製ばかりです。そのため、英語ができると、海外ベンダーと直接コミュニケーションができたり、英語の製品マニュアルでも難なく読み解くことができます。さらに、国内におけるセキュリティエンジニアの平均年収は約600万円なのに対して、海外だと1600万円に上ります。海外へのキャリアパスを考えている人は英語も勉強しておくことが良いでしょう。
役立つ資格
セキュリティエンジニアで役立つ資格は以下のとおりです。
■ 基本情報技術者試験/応用情報技術者試験
基本情報技術者試験は、ITに関する基本的な知識を評価する試験です。また、応用情報技術者試験は、より高度な知識を要求される試験です。これらの試験はセキュリティエンジニアにとって基本的なITスキルの習得に役立ちます。
■ 情報処理安全確保支援士
情報処理安全確保支援士は、情報セキュリティ専門家を育成するための国家資格です。本資格が優れている点は、セキュリティの理論を学べるのと同時に、実務的な視点で勉強できるという点です。そのため、試験も実務の文脈での問いが多いのが特徴です。本資格を勉強することで、セキュリティ対策の立案や運用、監視、対応などに必要なベースとなるスキルを習得することができます。
■ Comptia Security+
Comptia Security+は国際資格であり、海外だとセキュリティキャリアを始める上で1番最初に目指す資格となります。本資格では、セキュリティの基礎的な理論や技術が学べるので、セキュリティエンジニアに必要なベーススキルを習得することができます。
■ デジタルフォレンジック資格(CDFP-B, CDFP-P, CDFP-M)
デジタルフォレンジックに携わる方には非常におすすめな資格です。デジタルフォレンジック資格では、デジタル証拠の取得、分析、復元を学べ、セキュリティエンジニアがセキュリティインシデントの対応を行う上でのベーススキルを習得することができます。
なるには?
新卒で就職する
セキュリティエンジニアには新卒からでも十分になることができます。新卒でセキュリティエンジニアを目指す場合は、以下のようなことを意識して学生生活を送ると良いでしょう。
1.学位と資格取得
コンピュータサイエンスや情報セキュリティに関連する学位があると就職活動では凄く優位になります。大学や専門学校で情報セキュリティに特化したコースを履修することで、基礎的な知識を習得しましょう。また、基本情報/応用情報や、情報処理安全確保支援士などを勉強しておくことでも、同期との差別化を図れるでしょう。
2.インターンシップやプロジェクト参加
学生時代にセキュリティ関連のインターンシップやアルバイトに参加することで、実務経験を積み重ねることができます。企業での経験は、就職活動においても強力なアピールポイントになります。
3.カンファレンスやセキュリティ競技への参加
もし研究が得意なら積極的にカンファレンスでの登壇経験を積みましょう。学術的な実績は就職活動でもアピールポイントになりますし、何より社会人になってからは中々経験することはできません。また、CTFなどのセキュリティ競技への参加も企業は重視します。もし、CTFが苦手の場合でも、SECCON Beginners等の初心者イベントに参加して、自己研鑽に対する積極的な姿勢を企業にアピールできるようにしておくのも1つの手です。
ネットワークエンジニアから転職する
ネットワークエンジニアからセキュリティエンジニアへの転職も1つの方法です。セキュリティエンジニアには、ネットワークの技術的なスキルが必要であるため、ネットワークエンジニアで培われた技術力を活かすことができます。
ネットワークエンジニアからの転職を目指される人は以下のステップを参考にしてみてください。
1.セキュリティスキルの習得
セキュリティの技術的なスキルを証明するため、情報処理安全確保支援士やCEHなどのセキュリティ関連の資格を取得しましょう。
2.セキュリティイベントへの参加
セキュリティイベント(地域の勉強会やカンファレンス等)に参加すると、セキュリティ関連の知識を広めたり、ネットワーキングを行ったりすることができるため、転職活動に役立ちます。
3.自分がなりたいキャリアの整理
セキュリティエンジニアと一言で言っても、様々な役割があります。セキュリティ製品の導入、技術的なセキュリティ評価、プログラミングによるセキュリティ機能の実装など、本当に多種多様です。ご自身が理想とするキャリアや、強みを活かせるキャリアを整理した上で就職活動に臨むことが良いでしょう。
チビスケ新卒・転職ともに、ITやセキュリティのある程度の技術力が必要そうだね…
まとめ
今回はセキュリティエンジニアのキャリアを紹介しました!
セキュリティエンジニアになるメリットの1つとして、最新のセキュリティ製品や技術に触れながら、セキュリティの技術力を向上させることができるため、将来のキャリアの幅を大きく広げられることにあります。
私は、セキュリティエンジニアからセキュリティコンサルタントになりましたが、コンサルタントとして自信を持ってサービスを提供できるのはエンジニアとして技術的な経験を積んでいたからだと確信しています。
セキュリティエンジニアは将来性があり、高年収を目指せるキャリアなので、目指している人はぜひ頑張ってください!
コメント