こんにちは、インフラ系エンジニア専門の転職エージェントの中の人です。
ホワイトハッカーと呼ばれる事もあるセキュリティエンジニアですが、セキュリティエンジニアの仕事は、具体的にどのような内容なのでしょうか?
高度セキュリティ人材は人材不足と言われて久しいですが、今回は高度セキュリティ人材であるセキュリティエンジニアの仕事内容などを説明します。
セキュリティエンジニアとは
セキュリティエンジニアとは、情報セキュリティの一連業務を専門的に携わる職種であり、社会問題であるサイバー攻撃やセキュリティ事故などから企業や国を守る事も求められる職種です。
セキュリティ対策の重要度が高まっている中、セキュリティ対策を担う人材は大きく不足している傾向があり、2015年のIPA(情報処理推進機構)の算出によると、情報セキュリティ人材は従業員100名以上の企業で2万2000人不足しているというデータが出ており、セキュリティ人材を本気で目指す方にはチャンスがある環境とも言えます。
セキュリティエンジニアの仕事内容とは
セキュリティエンジニアの仕事は多岐に渡り、業界やプロジェクトによっても異なる所がありますが、基本的には下記5つの仕事に集約されると言えます。
セキュリティエンジニアの仕事①:セキュリティ企画、管理
セキュリティ企画、管理の仕事は、技術寄りというよりも「管理寄り」の仕事であり、会社や組織におけるセキュリティ対策の方針(セキュリティポリシー)などを決める支援を行う事や、ISMS、プライバシーマークといった認証を取得する支援を行う人を指す場合が多く、技術者ではない人もいるポジションです(セキュリティコンサルタントと呼ばれる事もあります)。
基本的には「サイバーセキュリティへの対応強化を行うために、施策を企画、管理する仕事」となります。
セキュリティエンジニアの仕事②:セキュリティ設計
セキュリティ設計の仕事は、「セキュリティも考慮したシステム全体のポリシーを作る事」であり、セキュリティのみではない経験とスキルが非常に問われる業務です。
セキュリティ設計はシステムをセキュアにするために、「どのような攻撃があり、何が狙われ、どのように防御するのか?」を考え、セキュリティのポイントとなる暗号技術や鍵管理の使い方なども含めて検討する事もあり、また、そもそも脆弱であった仕様や設計を発見する事もありますが、セキュリティ要件以外にもネットワーク、サーバーOS、アプリケーションなど全体像を見ながら設計をしていくため、セキュリティーアーキテクチャを含む、幅広い知識や経験が必要と言える仕事です。
セキュリティエンジニアの仕事③:セキュリティ実装
セキュリティ実装の仕事では、セキュリティ関連のシステムのみでなく、様々な機器や環境(ネットワーク機器、サーバー、OS、ミドルウェアからアプリケーションまで)を設定、実装していく事が仕事となります(セキュリティの要因は、システム全般にありますので、セキュリティの知識のみではなく、セキュリティ以外の様々な知識が必要となる業務です)。
セキュリティ実装は、セキュリティ運用を学んだ後に携わる仕事と言えるでしょう。
セキュリティエンジニアの仕事④:テスト(セキュリティ検査)
テスト(セキュリティ検査)はセキュリティエンジニアの重要な仕事であり、テスト業務に関してはセキュリティ専属チームがいる場合も多いと言え、セキュリティエンジニアとして力を発揮する業務と言えます。
セキュリティ検査では、システムの脆弱性を発見する事や、攻撃者の立場になりサイバー攻撃が成功するかを確かめるペネトレーションテスト、またその対策を行う業務となりますが、特に脆弱性診断の割合が多いと言えます(脆弱性診断の仕事は、長くなるため、本記事下記部分に補足で記載します)。
セキュリティエンジニアの仕事⑤:セキュリティ運用
セキュリティエンジニアとして最初の仕事やキャリアとなりやすい業務がセキュリティ運用といえます。
セキュリティ運用では、情報システムやネットワークに対するアクセス等を記録するログ(システムログやイベントログ、アクセスログなど)を取得、管理、分析を行う事で、セキュリティインシデントが起きた際に、取得したログなどを分析し、インシデントの発生理由や見つけ方、対策の手がかり等を見つける、なども仕事になります。
セキュリティ運用は、現場でセキュリティインシデントを学ぶ最初のステップと言えます。
補足:脆弱性診断の仕事内容
セキュリティエンジニアが力を入れる仕事である「脆弱性診断」は、ネットワーク機器やサーバーOS等のITインフラを診断する「プラットフォーム診断」と、Webアプリケーションを診断する「Webアプリケーション診断」の2つに分けられます。
プラットフォーム診断とは
プラットフォーム診断は、ネットワーク機器やサーバーのソフトウェア(Webサーバーやメールサーバー、ファイル共有サーバーなど)、OS(LinuxやWindowsなど)、ミドルウェアの脆弱性を検出する仕事です。
具体的には、ファイアーウォールの外側から実施する診断と、ファイアーウォールの内側から実施する診断があり、不正アクセスの観点から侵入方法を考える事や、検査ツール・脆弱性スキャナーを使い、脆弱性をまとめる診断を行い、対策を出す事が業務となります。
Webアプリケーション診断とは
Webアプリケーション診断では、Webアプリケーションの構成に応じて、攻撃者側の観点で疑似攻撃を行い、安全性を診断する仕事です。
Webアプリケーション診断は、ECサイトや会員制サイトといった個人情報等が大きく関連するWebサイトに行われる事が多く、SQLインジェクションなどのサイバー攻撃からシステムを守る診断です。
補足:セキュリティアナリストの仕事内容
サイバー攻撃を受けた時に攻撃手法を分析や対応する事や、サイバー攻撃からの防衛策を提示するセキュリティの専門性が高いエンジニアを、セキュリティアナリストという事があります(ただし、セキュリティオペレーションセンターに所属する経験が薄いエンジニアの事をセキュリティアナリストと呼ぶこともあります)。
セキュリティオペレーションセンター(SOC)のセキュリティアナリストの仕事は、ネットワーク機器(ファイアーウォールやプロキシサーバー、DNSサーバーなど)のログを監視する事や、場合によってはログを分析する事で、ネットワークの攻撃送信元などを解析、リスク分析等を行います。
また、レベルが高いセキュリティアナリストは、マルウェア対策として不審なプログラムやファイル、コードを解析し、脅威の特定などを行う人を「マルウェアアナリスト」と呼ぶ事もあり、あわせて不正アクセスやサイバー攻撃を受けた事を証明するデータを収集、解析、分析、報告という一連の流れ(フォレンジック調査)を行う人を「フォレンジックアナリスト」と呼ぶ事もあります。
セキュリティエンジニアの仕事はきついのか?
セキュリティエンジニアの仕事は、きつい、つらいとも言われますが、きつい、つらいと言われる一番の理由は「セキュリティエンジニアは、幅広い知識、スキルが必要とされる」ためと言えるでしょう。
ゆえにセキュリティエンジニアは向き・不向きがはっきりしており、勉強を継続したくない人には活躍が難しい職種と言えますが、逆に情報収集や勉強を継続できる人には活躍できる可能性が高い仕事と言えます。
セキュリティエンジニアの年収とは
セキュリティエンジニアの年収は、初級スキルの場合は400-500万円ほどであり、ITエンジニアの中では、やや高い職種に入ると思います(ただし、SOCの監視オペレーターの場合は300万円台の可能性が高いと思います)。
また、活躍するセキュリティエンジニアは、年収800万オーバー、年収1000万オーバーの方も多くおり、実力に応じて年収が上がる職種といえます。
具体的にセキュリティエンジニアの年収を知りたい方は、別記事で「セキュリティエンジニアの年収は高い?年収1000万はどんな人?」を記載していますので、あわせてお読みください。
セキュリティエンジニアになるための勉強
セキュリティエンジニアになるために必要なスキルは幅広く、特にセキュリティと切れない関係であるネットワーク、サーバー、OSのスキルや知識は必須といえます。
あわせてプログラミングやデータベース、暗号化や認証技術、情報セキュリティに関する法令の知識などもポジションによっては求められる事があり、幅広く勉強を行う事が必要な職種といえます。
セキュリティエンジニアになるための勉強方法については、別記事の「未経験からセキュリティエンジニアになるための勉強、順番」に記載していますので、興味があればあわせてお読みください。
セキュリティエンジニアになるための資格とは
セキュリティエンジニアになるために必要な資格はありませんが、資格があると尚歓迎となる場合は相応多いと言えます(セキュリティエンジニアには幅広い知識が必要であり、体系的に学べる資格は有効とも言えます)。
初級者におすすめ出来る資格としては、シスコ技術者認定やCompTIA認定が有効ですが、資格で評価を勝ち取るには、国家資格である情報処理安全確保支援士が欲しい所だと思います。
また、セキュリティエンジニアになるための資格については、別記事で「未経験でセキュリティエンジニアを目指す!おすすめの資格とは」を記載していますので、興味があればあわせてお読みください。
未経験からセキュリティエンジニアになるには
未経験からセキュリティエンジニアになるためには、まずネットワークエンジニア(インフラエンジニア)もしくはシステムエンジニアとしての経験を積み、セキュリティの勉強を行う事が一番の近道と言えます(特にネットワーク・インフラエンジニアは、仕事内容にセキュリティが大きく絡みますので、最もセキュリティエンジニアになるためには近道と言えます)。
未経験からセキュリティエンジニアを目指したい方は、別記事で「未経験からセキュリティエンジニアになるには、仕事内容やスキル、資格など」を記載していますので、興味があればあわせてお読みください。
■転職相談:ネットワーク・インフラエンジニア求人を紹介してほしい方のお申込みはこちら
■CCNA・LPICの無料資格取得支援、転職支援サービスを希望の方はお申込みはこちら
キャリアや転職などに関するご質問・ご相談を希望される方はこちらから
LINEで相談 >> 
メールで相談 >> メールからのご相談
ネットワーク・インフララボは個人情報保護を遵守します。ご相談頂いた際に伺った個人情報を含め、適切に管理します。また、相談内容に関しては、ご相談者様の同意が無ければWEBに掲載は致しませんので、ご安心下さい。
※お電話での匿名相談を希望の場合は、お電話相談希望の旨などをLINEもしくはメールに記載下さい。
※ご相談に費用はかかりません(無料です)。