こんにちは、インフラ系エンジニア専門の転職エージェントの中の人です。
セキュリティエンジニアはきつい、つらいとも言われますが、逆にやりがいや将来性を感じる人も多く、最近では、ホワイトハッカーとも呼ばれるセキュリティエンジニアに興味を持つ人が増えていると思います。
今回はセキュリティエンジニアの仕事や必要スキル、未経験から転職するためのおすすめの方法などを説明します。
セキュリティエンジニアとは
社会問題であるサイバー攻撃やセキュリティ事故から企業や国を守るのがセキュリティエンジニアの役割ですが、IoT等の影響により、家電や自動車などがインターネットにつながり、インターネットにつながることによってサイバー攻撃や情報漏えいなどのリスクが強まり、セキュリティエンジニアの必要性と価値が、時代とともに上がっています。
ではセキュリティエンジニアは、どんな人が活躍しており、活躍している人はどんな仕事をしているのでしょうか?
下記からは未経験者の方に、より具体的なイメージを持っていただくために、セキュリティエンジニアとして働く著名人を説明します。
セキュリティエンジニアの著名人①:名和利男さん
セキュリティエンジニアの非常に有名な一人として、株式会社サイバーディフェンス研究所の専務理事、上級分析官、PwCサイバーサービス合同会社の最高技術顧問を勤める「名和利男さん」が挙げられるでしょう。
名和利男さんは、航空自衛隊のセキュリティ担当からキャリアをスタートされ、サイバーセキュリティの第一人者の一人として活躍されており、NHKの番組である「プロフェッショナル 仕事の流儀」にも「不屈のトップガン、サイバー攻撃に挑む」というテーマで出演されています。
ネタばれになりますので詳細はお伝えしませんが、「プロフェッショナル 仕事の流儀」にてセキュリティエンジニアとしての仕事や、仕事に向き合うポリシーを語っており、個人的には「プロフェッショナル 仕事の流儀」の中では相当上位に入るレベルで面白いと思います。
https://www.nhk.or.jp/professional/2017/0619/index.html
動画は著作権の関係上、URLを張る事が出来ませんが、興味がある方は、TUTAYAか何かのレンタルショップなどでレンタルをしていただければと思います。
セキュリティエンジニアの著名人②:サコ・ランシネさん
コートジボワールの民族衣装を着ている姿をテレビで見たことがある方もいらっしゃると思いますが、TBSの「世界くらべてみたら」などで出演されている「サコ・ランシネさん」も某有名外資系企業のセキュリティエンジニアです(芸能人ではなく、本業はエンジニアです)。
サコ・ランシネさんは学生時代から開発、インフラを学び、日本企業でエンジニアになった後、外資系企業でインフラ・セキュリティに携わり、現在は某外資系でセキュリティエンジニアとして日本の国防関連機関・政府などにセキュリティの企画提案などを行うセキュリティのスペシャリストです(テレビ活動等と並行しながら、ものすごく勉強をされている勤勉家です)。
サコ・ランシネさんは、当方でのインタビュー記事があり、サコさんがネットワークエンジニアとして努力する理由などの記載がありますので、興味があれば「サコ・ランシネさんインタビュー」もあわせてお読みください。
セキュリティエンジニアの仕事内容とは
セキュリティエンジニアの仕事は幅広いですが、大きく下記3つに分ける事が出来ます。
セキュリティエンジニアの仕事①:セキュリティ企画・管理
セキュリティの企画・管理業務は、お客さまのITセキュリティ状況を把握し、CSIRT(Computer Security Incident Response Team、読み方はシーサートです)の組織構築、改善活動など セキュリティ面での管理体制を構築することや、セキュリティに紐づく意思決定のサポートを行います。
また、ISMS(情報セキュリティマネジメントシステム)やプライバシーマーク取得のコンサルティングを行う人もいます。
セキュリティ企画や管理を行う場合は、ITセキュリティにおける多角的視野や幅広い経験が求められ、セキュリティコンサルタントと呼ばれる事も多いです。
セキュリティエンジニアの仕事②:セキュリティ設計・実装・テスト
セキュリティエンジニアはセキュリティ関連のシステムを設計するだけでなく、ネットワークやシステムの運用管理まで考慮したセキュリティ設計を行っていきます。
また、セキュリティシステムの実装だけでなく、ネットワーク機器やOSなどセキュリティの観点から実装を行っていくため、セキュアプログラミングやセキュリティアーキテクチャーの知識も必要となります。
あわせてテスト段階では、脆弱性診断(セキュリティ検査)も行い、システム上の脆弱性を発見し、対策を行う事も仕事となり、脆弱性診断は多くのセキュリティエンジニアが必要とされている業務の一つと言えます。
セキュリティエンジニアの仕事③:セキュリティ運用・保守
システム導入後の運用・保守として、不正アクセスやスパイウェアといったサイバー攻撃からシステムを守る事が仕事となり、具体的には、セキュリティに関わるインシデント対応(事故対応)、フォレンジック対応(不正侵入調査)などを行います。
また、SOC(Security Operation Center)などにて、24時間体制でサイバー攻撃の分析、セキュリティに関わるログ分析、セキュリティ設定の最適化、複数の事故から全体像を描き、効果的な対策を検討なども行います。
セキュリティエンジニアに必要な知識・スキル
セキュリティエンジニアに必要な知識・スキルは幅広く、ネットワーク、サーバーの防御技術やサイバー攻撃の手口についての知識やもちろん、データべースセキュリティ、セキュアプログラミング、認証・暗号・セキュアプロトコルなどの知識、物理セキュリティから情報セキュリティについての法令まであります。
ただし、全ての知識やスキルを網羅的に学ぶ事は必要なく、複数の知識やスキルに精通する事が望ましいと思います(全てをパーフェクトに学ぶことは難しく、あなたの得意な領域を作る事が重要と言えます)。
また、セキュリティエンジニアとして特に必要とされやすい知識・スキルは下記2つとなります。
特に必要とされやすいスキル①:ネットワーク、サーバーOSの知識・スキル
サイバー攻撃の多くはコンピューターやネットワークの技術を使ってデータの搾取や改ざん、破壊といった攻撃を行いますので、サーバーへの侵入行為や乗っ取り、マルウェアの送り込みなど、ネットワークを通じて行われる攻撃の検知や防御が必要となり、ネットワークやサーバーOSの深い知識・スキルが求められます。
特にルーターによる防御、ファイアーウォール、IPS(不正侵入防御システム)、IDS(不正侵入検知システム)、サーバー・OSのハードニング(要塞化)やログ・イベントの分析・管理、エンドポイントセキュリティ、等の知識やスキルが必要とされやすく、実務で密接にかかわるインフラエンジニアやネットワークエンジニアとしての経験が問われると言えます。
特に必要とされやすいスキル②:セキュアプログラミング開発・言語の知識・スキル
OSやアプリケーションにおいて、プログラムコードの中に脆弱性(バグや仕様上の欠点など)が含まれていることにより発生するセキュリティーホールを解消するため、対象となるプログラムを分析し、テスト項目を設計し、脆弱性を解消するスキルや知識(脆弱性診断)が必要となります。
特に必要とされやすいスキルとしては、C言語、C++言語や、Java、Ruby、Python 、JavaScript等を用いたWebプログラミングスキルは非常に強く求められている所と言えます(また、データベースのセキュリティ対策経験があれば、なお良いと思います)。
また、セキュアプログラミング開発の場合は、特に理系大卒(可能な限り情報系学部卒)がバックグラウンドとして求められやすい傾向が強いと思います。
もちろん、上記以外でも、暗号(セキュアプロトコル、無線LANの暗号化含む)、電子証明書、認証技術、情報セキュリティ運用知識、情報セキュリティに関する法令なども必要とされる事はありますが、おおもとの土台となる必要スキル・経験としては上記の「ネットワーク、サーバーOSの経験」か、「セキュアプログラミングの経験」のいずれか一つが大きいです。
未経験からセキュリティエンジニアになるには
セキュリティエンジニアは「エンジニア未経験」からキャリアチェンジする事は非常に難しい所が実状です(新卒の場合は、情報系大卒、院卒で、アプリからインフラ、セキュリティまで学んできた方は、最初からセキュリティエンジニアになれる事はありますが、学生時代に相当勉強をした人でないと、かなり難しい職種です)。
ゆえに、未経験からセキュリティエンジニアになるためには、基本的に下記2パターンと言えます。
未経験からセキュリティエンジニアになるキャリアパス①:ネットワーク・インフラエンジニアとして、実務経験を3-5年以上積む(特に文系におすすめ)
未経験からセキュリティエンジニアを目指すには、ネットワークエンジニアもしくはインフラエンジニアになる事が一番近道と言えます(ネットワーク・インフラエンジニアの仕事は、常にセキュリティと隣り合わせと言えます)。
ゆえに、まずは未経験でネットワークエンジニアもしくはインフラエンジニアに就職・転職し、ネットワーク・サーバー・OS・セキュリティといったITインフラ全般を学ぶ事が一番スムーズなやり方と言えます。
また、あなたのバックグラウンドが文系であれば、ネットワーク・インフラエンジニアのキャリアが、セキュリティエンジニアには一番近道です。
未経験でネットワーク・インフラエンジニアを目指したい方は、別記事ですが「未経験からネットワークエンジニアになるには?求人の実状や年収、転職のやり方などを解説」をあわせてお読みください。
未経験からセキュリティエンジニアになるキャリアパス②:プログラマー、システムエンジニアとして、複数の開発言語の実務経験を3-5年以上積む
未経験からセキュリティエンジニアを目指すためのやり方として、ネットワークエンジニアもしくはインフラエンジニアからスタートするより難易度は上がる傾向がありますが、プログラマー、システムエンジニアからキャリアチェンジするやり方もあります。
特にWebアプリケーションの開発経験を求められ、Java、Ruby、Python、.net等の言語の開発経験が3-5年以上欲しく、また大学でC、C++、Linux等といった幅広い知識も勉強していた方が望ましいと思います(理系のバックグラウンドを求められる事が多いポジションです)。
また、プログラマーからセキュリティエンジニアへのキャリアチェンジは、相応難易度がありますので、ご理解のもと選択ください。
セキュリティエンジニアに必要・有効な資格とは
セキュリティエンジニアになるために「絶対に必要な資格」はありませんし、資格を取るだけでセキュリティエンジニアになれる訳ではありませんが、要所のタイミングで資格があると有効になる事はあります。
セキュリティエンジニアになるためには、基本的には、下記3パターンのタイミングで資格が有効になると思います。
資格が有効なタイミング①:未経験からエンジニアになる場合
まず第一に「未経験からエンジニアになる場合」には、資格取得は非常に有効です。
特にネットワークエンジニアやインフラエンジニアになれかつ、セキュリティも一緒に勉強できる「CCNA」は非常に有効でしょう。
■関連記事:【まとめ】改定後の新CCNAとは?資格の取得メリット、難易度、勉強方法など
資格が有効なタイミング②:エンジニアからセキュリティエンジニアになる場合
エンジニアから「セキュリティエンジニアになる場合」も、資格は有効と言えます。
エンジニアからセキュリティエンジニアになる場合に、特におすすめしたい資格は、国家資格の「情報処理安全確保支援士(RISS)」です。
情報処理安全確保支援士を取得すれば、市場からは「セキュリティに強みを持つ人材」という評価になるでしょう。
資格が有効なタイミング③:セキュリティエンジニアとしてステップアップする場合
非常に多くの企業がセキュリティエンジニアに求めたい資格として「CISSP」があります。
CISSPは難易度が高い資格ですが、セキュリティエンジニアとしてステップアップを考える場合には、市場価値を大きく上げる事が出来る資格だと思います。
また、セキュリティエンジニアの資格については、別記事ですが「未経験でセキュリティエンジニアを目指す!おすすめの資格とは」を記載していますので、興味があればあわせてお読みください。
さいごに
セキュリティエンジニアは大変なポジションではありますが、セキュリティ対策は年々重要度が増しており、当然ながら、今後は更にセキュリティエンジニアのニーズが増えてくるでしょう。
未経験からセキュリティエンジニアになるには多少長い道のりではありますが、セキュリティエンジニアに興味を持つ方はチャレンジ頂けますと幸いです。
■転職相談:ネットワーク・インフラエンジニア求人を紹介してほしい方のお申込みはこちら
■CCNA・LPICの無料資格取得支援、転職支援サービスを希望の方はお申込みはこちら
キャリアや転職などに関するご質問・ご相談を希望される方はこちらから
LINEで相談 >> 
メールで相談 >> メールからのご相談
ネットワーク・インフララボは個人情報保護を遵守します。ご相談頂いた際に伺った個人情報を含め、適切に管理します。また、相談内容に関しては、ご相談者様の同意が無ければWEBに掲載は致しませんので、ご安心下さい。
※お電話での匿名相談を希望の場合は、お電話相談希望の旨などをLINEもしくはメールに記載下さい。
※ご相談に費用はかかりません(無料です)。