仕事内容や未経験からセキュリティエンジニアになるための方法をご紹介。さらには、平均年収や仕事のやりがい、キャリアパスについても徹底解説します。その他、セキュリティエンジニアの需要と将来性など、今後の業界動向について気になる方も必見です!
目次
セキュリティエンジニアとは
セキュリティエンジニアとは、情報通信のセキュリティに特化したITエンジニアです。個人情報や国家プロジェクトの秘匿情報など、外部に流出してはいけない情報の管理を任されています。セキュリティエンジニアの仕事の範囲は、大きく2つに分かれます。
内部流出を防ぐ
人為的ミスによる会社情報の内部流出を防ぐために、社内向けのセキュリティ教育やシステム管理を担当します。個人情報や秘匿情報を扱う業務での禁止事項の策定や周知を行います。
内部流出で有名なのは、2014年7月に発覚した「ベネッセ個人情報流出事件」です。株式会社ベネッセコーポレーションのデータベースを担当していたシステムエンジニアが、自身の持つ端末に、顧客の個人情報を転送して外部に持ち出しました。その個人情報は他の企業に売られ、広告宣伝に不正利用されるという事件に発展しました。
外部攻撃から守る
不正アクセスやサイバー攻撃といった外部攻撃からシステムや通信機器を守るための事前対策を担当します。
企業や政府が所持する、インターネットにつながっているサーバーは毎日のようにサイバー攻撃を受けています。サイバー攻撃を受けると、情報通信のインフラを破壊され、インターネット通信ができなくなったり、秘匿情報が流出してしまったりします。
2018年2月に韓国で開催された平昌オリンピックでは、チケット管理システムがサイバー攻撃を受け、観覧客がチケットを受け取れないというトラブルが発生しました。
セキュリティエンジニアの仕事内容
セキュリティエンジニアの仕事内容は、「企画」「設計」「実装」「テスト」「運用」という5つのステップに分かれています。
企画・提案
顧客企業の要件(工期や予算)やセキュリティ上の問題点を踏まえ、顧客に最適なセキュリティシステムの提案を行います。セキュリティ上の問題点を洗い出す際には、顧客の組織体制や技術を把握するために客先に常駐することもあります。
設計
サーバーやルーターなどのネットワーク接続機器をどのように配置するかを設計します。さらに、顧客の運用形態(誰が管理するか等)もこの時点で決定する必要があるため、幅広い知識が求められます。機器を選ぶ際には、セキュリティに十分配慮された製品であるかを見極められなければなりません。
実装
設計したシステムを実装します。ネットワーク機器の配置や設定、ネットワークを運用する上で必要なプログラムの作成を行います。プログラム作成では、セキュアプログラミングという、脆弱性を作り込まないプログラミング方法を知っていなければなりません。
テスト
実装したシステムに脆弱性がないことを確認するためのテストを行います。テストではサイバー攻撃を行い、システムがダウンしないことを念入りに確認します。この工程は、脆弱性診断や脆弱性検査とも呼ばれます。
運用・保守
セキュリティシステムを顧客に導入した後の保守作業を行います。実装したシステムを長期的にサイバー攻撃から守るためには、セキュリティアップデートが欠かせません。
サイバー攻撃の種類は日に日に変わっています。セキュリティエンジニアは世界規模での最新情報を常に収集し、新しいサイバー攻撃からシステムを守っています。万が一インシデントが起こった場合は、事故原因の分析や復帰を適切に行うことも求められます。
セキュリティエンジニアになるための資格・スキル・学歴とは?
セキュリティエンジニアになるために必須な資格はありません。しかし、自分のスキルレベルを証明できる資格を持っていれば、面接時にアピールできるでしょう。
どのような人がセキュリティエンジニアになれるのか、おすすめの資格やスキル、学歴などを紹介します。
セキュリティエンジニアを目指す方におススメの資格
次に上げる資格のどれかを取得すれば、セキュリティエンジニアになるための能力があることを証明できるでしょう。
CCENT:ネットワークの基本的な知識を認定する、入門レベルの資格。
CCNA Security:セキュリティエンジニアとして働くための基礎的な知識を認定する資格。
CCNP Security:CCNAの上位資格で、中級レベルのセキュリティエンジニアとして認められる。
CCIE Security:CCNPの上位資格で、セキュリティエンジニアのスペシャリストとして認められる。
Cisco技術者認定は、Cisco製品を扱う技術者としての能力を認定する資格です。Ciscoはネットワーク分野の世界的なリーディングカンパニー。Ciscoの認定資格を取得すれば、技術者としての能力を世界中の企業に示すことができます。
セキュリティエンジニアとしてキャリアをスタートさせたい人はまずはCCENTを取得しましょう。
CompTIA Network+:ネットワーク技術に関する基礎的な知識を認定する資格。
CompTIA Security+:ネットワークの安全性を維持/管理するための能力を認定する資格。
IT業界団体CompTIAが認定する資格です。CompTIAはアメリカを中心に、世界に10ヶ所拠の点を持ち、IT業界で働くための実務能力基準の認定活動を行っています。
IT業務に必要な実践能力や応用能力を認定するベンダーフリーの資格です。世界で200万人以上の人がCompTIAの資格を取得しています。
ネットワークセキュリティ基礎:情報セキュリティ全般の基礎的な知識を認定資格
ネットワークセキュリティ実践:ファイアウォールや無線LANなどの知識を認定する資格
サーバセキュリティ実践:安全なサーバを構築するための知識を認定する資格
セキュリティ管理実践:リスク分析やセキュリティ監査など、管理のための知識を認定する資格
NISM推進協議会が認定する資格です。この制度は、ハッカーやサイバー攻撃の驚異に対抗するために日本で作られました。後述するIPAの情報処理安全確保支援士と比べると取得難易度の低い資格です。
公認情報セキュリティマネージャー(CISM):セキュリティのマネジメント/設計/監査などを行う能力を認定する資格
ISACA(情報システムコントロール協会)が認定している国際的な資格です。マネージメント層に向けたハイレベルな資格です。受験のためには実務経験が必要です。
情報処理安全確保支援士:サイバーセキュリティ対策を推進する人材のための国家資格
情報処理推進機構(IPA)が認定する国家資格です。日本ではセキュリティ分野の最高レベルの資格です。セキュリティエンジニアとしての豊富な実務経験と知識や技術が求められます。
企業側が求めるセキュリティエンジニアのスキルと人物像
多くの企業がセキュリティエンジニアを求めています。企業が求めるセキュリティエンジニアの人物像を知り、エンジニアになる準備をしましょう。
・責任感とモラル
情報は非常に重要な資産です。情報を外部からの攻撃から守るために、責任感をもって業務を遂行できる人間性が求められます。
また、内部からの情報流失を防ぐために、社内に情報管理の意識を植え付けさせなければなりません。お手本となるセキュリティエンジニアには厳格なモラルも要求されます。
・柔軟な発想力
サイバー攻撃とサイバーセキュリティの技術は日進月歩で進化しています。新しく巧妙なサイバー攻撃に直面したときに、柔軟な発想で対処することが求められます。
また対処のために、ネットワークやサーバなどの幅広い知識が求められます。
・コミュニケーション能力
社内に情報管理の方法を周知したり、セキュリティシステム設計の際にヒアリングをしたり、セキュリティエンジニアがコミュニケーションを取る機会は多くあります。
セキュリティに関する情報を論理的に様々な人に伝えるためにはコミュニケーション能力が必要です。
・スキル一覧
一人前のセキュリティエンジニアとして働くためには、以下の知識や技術を身につけましょう。多くのスキルが必要ですが、サイバー攻撃は非常に多様です。幅広い知識がサイバー攻撃を防ぐシステムの構築や攻撃を撃退することに繋がります。
1.情報セキュリティマネジメント | 7.ウィルス | |
2.ネットワークインフラセキュリティ | 8.セキュアプログラミング技法 | |
3.アプリケーションセキュリティ | Web | 9.セキュリティ運用 |
電子メール | 10.セキュリティプロトコル | |
DNS | 11.認証 | |
4.OSセキュリティ | Unix | 12.PKI(Public Key Infrastructure) |
Windows | 13.暗号 | |
Trusted OS | 14.電子署名 | |
5.ファイアウォール | 15.不正アクセス手法 | |
6.侵入検知システム | 16.法令・企画 |
出典:JNSAワーキンググループ2004年度成果報告会「教育部会スキルマップ作成WGの活動について」|NPO 日本ネットワークセキュリティ協会(JNSA)
セキュリティエンジニアは、文系出身でもなれる? 学歴は関係する?
専門的で理系のイメージが強いですが、文系でもセキュリティエンジニアになれます。重要なのは、セキュリティエンジニアとして働くための能力を身につけることと、コミュニケーション能力だからです。
確かに技術を身につけるための勉強は情報系の理系学部にアドバンテージがあるかも知れません。しかし、セキュリティエンジニアは慢性的な人手不足です。文系でもしっかり勉強して技術を身につければ、セキュリティエンジニアになることは可能です。
新卒・転職者(未経験)がセキュリティエンジニアになる方法とは
転職者(未経験)がセキュリティエンジニアになる方法
IT未経験でも文系でも、セキュリティエンジニアに転職する方法はあります。主な3つの方法を紹介します。
・独学してから求人に応募する
Cisco技術者認定やCompTIAなどの資格を独学で取得してから、求人に応募する方法です。独学なので、疑問に思ったことを相談できる相手がいません。また、IT機器を使った実技試験の対策も難しいです。挫折せずに資格取得まで勉強を続けられる計画性と根気が必要です。
資格があればセキュリティエンジニアとして採用されることはありますが、可能性は低いでしょう。実務経験がないので企業は採用に慎重です。
・スクールに通ってスキルを身につけてから求人に応募する
IT系のスクールに通って講義を受け、体系的な知識を身につけてから求人に応募します。講師のサポートやIT機器が揃っているので、安心して勉強を進めることができます。
IT系のスクールは転職までサポートをしていることが多いので、セキュリティエンジのキャリアをスタートしやすい手段でしょう。
ただし、多くのスクールは受講費が50万円以上かかります。キャリアを変えたいという強く思いがなければ、手を出しづらい手段でしょう。
・未経験OKの求人に応募し、実務経験を積む
求人サイトで「未経験 セキュリティエンジニア」と検索してみましょう。研修制度が整っている企業の求人がヒットするはずです。応募して採用されれば、セキュリティエンジニアのキャリアをスタートすることができます。未経験OKの求人を出している企業は研修中に資格取得を支援していることが多いです。
セキュリティエンジニアになりたい理由や資格の勉強に意欲的であることなどを伝えられるように、面接の対策をしましょう。
新卒がセキュリティエンジニアになる方法
中〜大企業は新卒でセキュリティエンジニアを募集して自社で育成しています。夏期や冬期に開催されるインターンに参加して、セキュリティエンジニアの仕事を体験しましょう。自分が働いているイメージができたら、気になる企業に応募しましょう。
セキュリティエンジニアの年収を解説!
セキュリティエンジニアの気になる年収を解説していきます。スキルや経験があれば、高収入を得ることも可能です。
平均年収は503万円!
DODA職種図鑑によると、平均年収は503万円です。
セキュリティエンジニアの年収割合 | |
300万円未満 | 15% |
300~400万円未満 | 17% |
400~500万円未満 | 24% |
500~600万円未満 | 15% |
600~700万円未満 | 11% |
700~800万円未満 | 7% |
800~900万円未満 | 5% |
900~1,000万円未満 | 3% |
1,000万円以上 | 4% |
(※DODA職種図鑑「データベース/セキュリティエンジニア」をもとに作成)
セキュリティエンジニアの仕事は、確かな知識や技術、豊富な経験があれば年収が上がります。例えば、CCIE Securityや情報処理安全確保支援士などの上位資格を取得しているエンジニアだと、700~1,000万円以上の年収を得られることもあります。
日本企業ではセキュリティエンジニアの重要性が浸透しきっていません。若いうちに高収入を得るのは難しいのが現状です。外資系企業ではセキュリティエンジニアのプレゼンスが高いので、実力に応じて高収入を得やすいでしょう。
セキュリティエンジニアのやりがい
生活のあらゆる部分にITが浸透している現代社会で、セキュリティエンジニアは非常に重要な存在です。今はIT技術が急速に進化する中で、セキュリティ対策は追いついていない状態。サイバー攻撃の手法は日に日に巧妙化しています。
次々と繰り出される攻撃に、自分の想像力や知識を最大限に活用し、有効な対策を見つけ出すことはセキュリティエンジニアならではのやりがいです。
セキュリティエンジニアは不足している! その需要と将来性とは
インターネット接続は世界中で、電気水道ガスなどの生活インフラと同じくらいなくてはならないものになりました。
IoT(Internet of Things)技術の発展で、今後は身の回りのあらゆるモノがネットワークに接続されるでしょう。自動運転やスマートハウス、スマートフォンなどで世の中は便利になる一方、常にサイバー攻撃の危機にさらされています。
私たちのIT社会を守るセキュリティエンジニアの需要と重要性は増していくでしょう。
深刻化する、セキュリティ人材の不足
インテルセキュリティ(日本の事業会社:マカフィー株式会社)はアメリカの戦略国際問題研究所(CSIS)と共同で、調査対象8カ国におけるサイバーセキュリティに関する問題の調査レポート「Hacking the Skills Shortage」を発表しました。
調査対象国:オーストラリア、フランス、ドイツ、イスラエル、日本、メキシコ、イギリス、アメリカ
回答者:民間及び国家組織所属
参照:McAfee |Hacking the Skills Shortage
この調査レポートによると、回答者のうち82%が、ITセキュリティ分野における人材不足を認識しています。
アメリカではITセキュリティ分野における人材不足に対して、政府主導で対策をとっています。オバマ前大統領は2017年度予算で、前年度より35%増の190億ドル(約2兆円)をセキュリティ分野に充てる決定をしました。トランプ大統領も、ITセキュリティ分野における予算増額と人材育成の強化を掲げる大統領令に署名しています。政府主導の対策で、セキュリティにおける人材不足対策が世界的に一歩前に進んでいます。
一方日本では、2020年に19万3000人のセキュリティエンジニアが不足すると発表されているものの、官民連携の目立った事業が行われていません。2017年のNRIセキュアテクノロジーズによる日本企業の情報セキュリティ実態調査では、52.5%の企業がCISOを設置していないことが分かっています。
IT技術の発展でセキュリティエンジニアの重要性が増していく
ビジネスシーンでトレンドのビッグデータ活用では、外部からデータを保全しなければなりません。また、IoT技術を使った自動運転車やスマートホームのシステムがハッキングされてしまうと、重大な事故が起こる可能性があります。
ビジネスや生活を守るためにも、必ずセキュリティエンジニアの需要は増していきます。現在は深刻な人材不足な職種です。少しでも興味のある人は、今からセキュリティエンジニアを目指すことをおすすめします。
セキュリティエンジニアのキャリアパス
セキュリティエンジニアには様々な役割があります。問題を解決するために技術力を求められるのか、プロジェクトのマネジメント力を求められるのか、はたまた高度なセキュリティシステムの提案力が求められるのか。目指すキャリアの方向性によって身につけるべき技術は異なります。
セキュリティエンジニアのキャリアパスと求められる能力について紹介します。
管理職を目指す
セキュリティ関連の企業でエンジニアとして経験を積み、プロジェクトのマネジメントを担当します。
マネージャーとして、経営方針に沿ったセキュリティ計画を立てたり、セキュリティシステム(ハードからソフトを含む)の構築から運用を管理したりします。
スペシャリストを目指す
あらゆるサイバー攻撃に対応できるセキュリティのエキスパートを目指す道もあります。「ホワイトハッカー」としてビジネスを危険から守ります。
また突出した知識や経験を持っていれば、研究者や開発者としての道もひらけ、ウィルス対策ソフトの研究開発に携わることもできます。
トレンドマイクロ、シマンテック、日立製作所、三菱電機
セキュリティコンサルタント
セキュリティに不安を抱える企業に、最適なセキュリティシステムを提案するコンサルタントという道もあります。
確かなセキュリティの知識やクライアント業界の知識、問題点を的確に理解する分析力などが求められます。
独立・開業する
技術力と実績や人脈があれば、独立して様々な企業のセキュリティを担当することができます。
セキュリティエンジニアが増えなければ、インターネットを安心して使えなくなる日がいつ来てもおかしくありません。これから政府と企業が協力して、人材育成の仕組みが整ってくるでしょう。
セキュリティエンジニアとして活躍できる場は世界中にあります。世界で活躍したいと考えている方は、セキュリティエンジニアを視野にいれてみてはいかがでしょう。