こんにちは! ONE CAREER for Engineerです。
IT関連に就職しようと思っているけど、ネットで調べてもいろいろな職種が出てきて分かりづらいと思っていませんか。この記事では、IT関連の職種であるセキュリティエンジニアについて解説します。
この記事を読むと仕事の内容やセキュリティエンジニアになるために必要な資格やスキルが分かります。
<目次>
●セキュリティエンジニアの概要
・主な仕事内容
・活躍分野
●セキュリティエンジニアの将来性
・高度IT人材として需要は高い
・非常に人材が不足している分野
●セキュリティエンジニアに現状求められているスキル
・セキュリティ診断
・IT基盤のセキュリティの確保
・アプリケーションのセキュリティ確保
・セキュリティ対策に向けた体制、ルール作り
・企業や組織でのセキュリティに関する啓蒙(けいもう)、教育を行うスキル
●セキュリティエンジニアに今後求められるスキル
・クラウド環境に適応したセキュリティの確保
・IoTをはじめとしたデバイス向けのセキュリティ対策
・情報処理技術全般の知識アップデート、底上げ
・継続的に登場する新たなセキュリティ脅威についての知識習得
●今後求められるスキルを学習する方法
・クラウド環境を利用するハンズオン学習
・ラズベリーパイを利用したIoTの構築
・ウェブアプリケーションの構築と外部からの侵入テスト
・高度な情報セキュリティ資格取得に向けた体系的学習
●セキュリティエンジニアのキャリアパス例
・セキュリティエンジニアとして技術力を高め、専門性を高める
・セキュリティエンジニアのマネジャー
・セキュリティコンサルタント
・他のエンジニア職種へのキャリアチェンジ
・フリーランスエンジニア
●企業に応じたキャリアパスの違い
・セキュリティコンサルティング企業
・ベンダー系
・ユーザー系(社内SE)
・自社サービスを提供する企業のセキュリティエンジニア
●先輩エンジニアの選考体験談が見られる! ONE CAREER for Engineerのご紹介
・ONE CAREER for Engineerではどんなことができる?
セキュリティエンジニアの概要
セキュリティエンジニアは、企業のITデバイスやインフラ、ITシステムなどのIT資産を守ることをミッションとするITエンジニア職です。近年の情報の価値向上とそれに伴うサイバー攻撃の激化や、情報セキュリティ事故の多発などから、重要性の高さについての認識が広まっている職種といえます。
主な仕事内容
セキュリティエンジニアの主な仕事は、企業や組織の情報セキュリティ確保です。より具体的には下記が挙げられます。
・セキュリティ診断、対策の提案 ・セキュリティ対策の導入 ・セキュリティに対する組織作り ・セキュリティ教育 ・アプリケーションへのセキュリティ対策の実施
次項で紹介する活躍分野により、上記の仕事の中でも業務範囲に含まれるものと含まれないものがあります。
活躍分野
セキュリティエンジニアの活躍分野として、下記のような企業・組織に所属するケースが考えられます。
・セキュリティコンサルティング ・ITベンダー ・一般企業や組織の社内システムエンジニア(SE) ・自社サービスの提供を行う企業
セキュリティエンジニアとIT業界には深い関連がありますが、今やあらゆる企業がITの利活用を図っているため、セキュリティエンジニアは多くの業界から求められる職種となっています。
セキュリティエンジニアの将来性
セキュリティエンジニアという職種は、今後も必要とされる職種です。その裏付けとなっているデータについてまずはご紹介します。
IPAによる「DX白書2023」では「第4部 デジタル時代の人材」として今後の日本企業に必要とされる人材について記載しています。現状では事業会社のIT人材におけるセキュリティ人材(管理者、責任者)比率は5.7%でおよそ2万人おり、IT企業での人材比率は3.7%でおよそ4万人、あわせて国内にはセキュリティ人材がおよそ6万人いるとされています(※1)。
既に現状でも企業にとって情報セキュリティの重要性が認識されていることを示すデータといえます。この資料内で触れられているセキュリティ人材は管理者の立場であることが多く、より技術者寄りのセキュリティエンジニアについては以降でより詳しく触れます。
(※1)参考:情報処理推進機構「DX白書2023 P.190/P.191」
高度IT人材として需要は高い
日本政府の掲げる科学技術施策「Society 5.0」でもあまたの技術が必要とされる中、情報セキュリティはその基礎を成す技術として挙げられています(※2)。
また、企業の中核を担うデジタル事業に対応する人材として、エンジニア/プログラマーも挙げられています。その中の一スキルとしてセキュリティに関する知識、スキルを持った人材の重要性についても言及されているほど、セキュリティエンジニアは需要の高い人材といえます。
(※2)参考:情報処理推進機構「これからの人材のスキル変革を考える~DX時代を迎えて~」
非常に人材が不足している分野
NRIセキュアテクノロジーが実施した「企業における情報セキュリティ実態調査2022」によると、日本の企業においてセキュリティ人材が 「不足している」 「どちらかといえば不足している」 との回答がおよそ90%を占めました。ここ10年以上、セキュリティ人材の不足傾向が続いており、改善は見られません(※3)。情報セキュリティエンジニアが常に人材不足の傾向にある裏付けの1つとなるデータといえます。
(※3)参考:NRIセキュアテクノロジーズ「NRIセキュア、日・米・豪の3か国で『企業における情報セキュリティ実態調査2022』を実施」
セキュリティエンジニアに現状求められているスキル
エンジニア職種は技術を要する専門職です。業務を実現するためには専門的なスキルが求められます。現状のセキュリティエンジニアに求められるスキルについてご紹介します。これらのスキルは、情報セキュリティ対策を行ううえで必須のものであり、今後もセキュリティエンジニアにとっては必要なスキルです。
また、コンサル系、社内SE系、ベンダー系などセキュリティエンジニアでも活躍する分野により必要なスキルには違いがあることにもご注意ください。
セキュリティ診断
企業のITインフラ、ITシステム、業務運用などに情報セキュリティ上の脆弱性(ぜいじゃくせい)がないかを診断します。脆弱性が存在する場合、サイバー攻撃による被害が一挙に広がってしまうため、診断結果で問題があればすぐにでも対策をとれるよう対応策の提案を行います。
IT資産を守るためには、サイバー攻撃の手法を知り、その再現により脆弱性を探す場合もあります。ペネトレーションテストと呼ばれ、セキュリティ確保に向けて重要な手法です。
IT基盤のセキュリティの確保
ITインフラに関するセキュリティ対策の実施もセキュリティエンジニアの仕事には含まれます。
ここでいうインフラには、パソコンやタブレットなどの端末、サーバーやネットワーク、クラウドサービスなどが含まれます。各種セキュリティソフトの導入やアップデート更新、設定の変更などが具体的な業務です。
特に、近年重要視されるようになったポイントとして、クラウドサービスの利用に関するセキュリティ確保およびシャドーITの抑止が挙げられます。
アプリケーションのセキュリティ確保
企業がITシステムやアプリケーション、サービスなどを構築している場合には、そのセキュリティ確保も重要な業務の1つです。プログラミングにおけるセキュアプログラミングの適用や、ペネトレーションテストの実施などが直接的な業務内容です。
セキュリティ対策に向けた体制、ルール作り
企業や組織のセキュリティを確保するためには、セキュリティソフトの適用やセキュアプログラミングなどの仕組み上のセキュリティ対策とともに、セキュリティ管理上の組織作りやルールによる対策も必要です。情報セキュリティマネジメントシステム(ISMS)などの標準規格を適用した組織作りや問題発生時のフロー、ITデバイスやシステム利用におけるルール策定などが具体的な業務です。
また、企業や組織の外に向けてセキュリティが確保できていることを示すうえでは、標準規格に沿った対応の実施と認定を取得することもあり、その対応の一部もセキュリティエンジニアが担います。
企業や組織でのセキュリティに関する啓蒙(けいもう)、教育を行うスキル
従業員や職員など、全てのIT利用者が情報セキュリティを認識し、正しくITを活用することが、企業や組織のセキュリティ確保には必須です。情報セキュリティの重要性の啓蒙や、情報セキュリティ教育などもセキュリティエンジニアが行うことがあります。
セキュリティエンジニアに今後求められるスキル
上記のスキルに加えて、今後、より利用が加速するITに関して、セキュリティエンジニアはスキルを高める必要があります。
クラウド環境に適応したセキュリティの確保
クラウドサービスの利用がますます加速していますが、今後もその利用範囲は広がり続けることが予測されています。注意が必要な点として、クラウドサービスの多くはネットワークを介して利用するため、常に通信を行い、外部にデータを置く特性を持っています(パブリッククラウドの場合)。特に機密情報や個人情報などの重要性の高いデータを扱う場合には、情報漏えいや情報流出への配慮が必要です。
また、別の面として従業員が、企業が認識していないクラウドサービスを利用するシャドーITも危険の芽です。各種クラウドサービスの利用の制限や管理などもセキュリティエンジニアには求められるスキルです。
IoTをはじめとしたデバイス向けのセキュリティ対策
パソコンやタブレット端末、サーバー、ネットワークなどについて、情報セキュリティの必要性は広く浸透しつつある状況です。しかし、活用が広がっているIoT(Internet of Things)については、 対策がなされないケースが多々見られます。
IoTはあらゆる機器をネットワークに接続し、情報の収集や遠隔操作などによる利用を想定した技術です。企業のネットワークに接続して利用するため、あらゆるIoTデバイスおよび接続先に関してもセキュリティ対策が必要です。
情報処理技術全般の知識アップデート、底上げ
スマホの普及、クラウドサービスの台頭などIT関連の技術トレンドは激しく変化を続けています。最新の技術を適用したサービスは利便性が高く業務に役立つことも多いのですが、セキュリティ対策が不十分な場合も多く、サイバー攻撃のターゲットにされやすい点には注意が必要です。
これらのITの活用により企業の成長を支えるため、セキュリティエンジニアは常に知識をアップデートする必要があります。
継続的に登場する新たなセキュリティ脅威についての知識習得
各種のマルウェアやサイバー攻撃手法は次々と新手のものが現れています。セキュリティベンダーやセキュリティエンジニアは都度対応、対策を実施していますが、さらに新たな攻撃が生まれるいたちごっこの様相を呈しています。
サイバー攻撃は1つ発見されると、一気に広がり、爆発的に増加する傾向があります。セキュリティエンジニアはサイバー犯罪者の動向に注目し、常に新たな手法に関して知識を習得する必要があります。
今後求められるスキルを学習する方法
今後のセキュリティエンジニアに求められるスキルについて、学習方法をご紹介します。
クラウド環境を利用するハンズオン学習
クラウド関連の知識、スキル習得には、実際にクラウドサービスを利用して理解を深めることが有効なアプローチです。Amazon Web Services(AWS)、Google Cloud、Microsoft Azureなどの主要なサービスでは、利用のためのハンズオン学習コンテンツが用意されているため積極的に活用してみるとよいでしょう。
ラズベリーパイを利用したIoTの構築
IoTは活用の内容によりさまざまなデバイスを扱います。各デバイスに対し個別で学習するのは難しいため、手軽に扱えるIoT機器を利用して理解を深めることがスキル習得方法の1つです。
手軽にIoTを構築して理解を深めるためのデバイスとして、ラズベリーパイが挙げられます。いわゆるシングルボードコンピューターであり、IoT学習用に開発されているため知識を身に付けるのにうってつけです。
ウェブアプリケーションの構築と外部からの侵入テスト
セキュリティエンジニアとして専門性を高めるためには、セキュリティ保護の対象となるアプリケーションについても知識を深めておきたいところです。特に外部からの攻撃にさらされやすく、なおかつ今後も活用されることが想定されるのがウェブアプリケーションです。
実際にウェブアプリケーションを自分で構築し、さらに自分で外部から攻撃を行ってみると、情報セキュリティとサイバー攻撃への見識を深めるのに役立ちます。
高度な情報セキュリティ資格取得に向けた体系的学習
情報セキュリティに関する高度な資格の取得に向けた学習は、今後のエンジニアにとっても重要なスキルを獲得する方法の1つです。
特に高度な情報セキュリティに関する試験として、下記が挙げられます。
セキュリティエンジニアのキャリアパス例
セキュリティエンジニアのキャリアパスについて、ご紹介します。
セキュリティエンジニアとして技術力を高め、専門性を高める
1つのキャリアパスは、スキルを高め、セキュリティエンジニアとしてより広範囲の責任のある業務を任されることです。業務で取り扱う責任範囲は最初は小さいのですが、スキルの向上とともにより大きな仕事を任されるセキュリティエンジニアに成長することが可能です。企業内での地位向上とも連動するでしょう。
セキュリティエンジニアのマネジャー
セキュリティエンジニアをまとめるチームのマネジャーとなるのも有力なキャリアパスです。この場合のマネジャーは管理者を意味しており、一般企業における課長職にあたります。複数のセキュリティエンジニアを束ね、より大きな責任を持つポジションです。
セキュリティコンサルタント
セキュリティエンジニアの業務の中でも、セキュリティ診断や対策の提案は上流工程と呼ばれます。この上流工程を専門に行うセキュリティコンサルタントへのキャリアパスもあります。
また、セキュリティに関する組織作りや教育、標準規格への準拠などをコンサルティングするセキュリティコンサルタントも存在します。
他のエンジニア職種へのキャリアチェンジ
セキュリティエンジニアは幅広く知識が必要とされます。このために学習は欠かせませんが、自分の興味のある方面のスキルを伸ばし、他の専門的なエンジニア職へキャリアチェンジするのも選択肢の1つです。セキュリティエンジニアとしての経験とスキルは、他のエンジニア職種となる場合にもマイナスに働くことはありません。
例えば、セキュリティも品質管理の対象と捉えQA(品質保証)エンジニアを目指したり、セキュリティ確保のためのテストに関連したスキルを伸ばしてテスト自動化エンジニアなどを目指したりするキャリアパスもあります。
フリーランスエンジニア
セキュリティエンジニアとして独立し、フリーランスとして活躍することも選択肢の1つです。将来性の項で触れた通り、セキュリティエンジニアは需要が高い職種ですので、フリーランスとしても案件が取得しやすいでしょう。
案件ごとの契約や業務委託形式など、自由な働き方、ワークライフバランスを重視する人にとってはおすすめのキャリアパスです。
企業に応じたキャリアパスの違い
所属企業の種類により、セキュリティエンジニアのキャリアパスは変わってきます。代表的なキャリアパスの例とともに、そのパターンについて説明します。
セキュリティコンサルティング企業
セキュリティコンサルティング企業のセキュリティエンジニアの場合、下記のキャリアパスが想定できます。
セキュリティエンジニア→セキュリティコンサルタント→マネジャー
エンジニアとして幅広く業務をこなし、上流工程のスキルを身に付けて、コンサルタントへキャリアチェンジします。上流工程は下流工程に対する影響が大きいため、より重要な業務範囲です。
ベンダー系
IT開発を主なビジネスとするITベンダーに所属するセキュリティエンジニアの場合、開発担当のエンジニアからセキュリティを専門とする仕事を経てキャリアアップを目指すことになります。
製品やサービスの開発部門→セキュリティを専門とする部門→役職
各種の製品やサービス開発におけるセキュリティ対策の実施からはじまり、その後、セキュリティを専門とする部門へ移動し、役職へとキャリアアップを目指すキャリアパスです。
ユーザー系(社内SE)
ユーザー系の企業に所属するセキュリティエンジニアは社内SEとして情報システム部門などに所属するケースが多いでしょう。この場合のキャリアパスは、下記が想定できます。
セキュリティエンジニア(社内SE)→情報システム部門の役職→CIO、CTO
ユーザー系企業のセキュリティエンジニア(社内SE)の場合、所属する部門での役職が目指すステップです。その後、CIO(Chief Information Officer、最高情報責任者)やCTO(Chief Technical Officer、最高技術責任者)などのポジションへのキャリアアップを目指すことが可能です。
自社サービスを提供する企業のセキュリティエンジニア
自社製のウェブサービスなどのプロダクトを展開、運営する企業に所属するセキュリティエンジニアの場合、考えられるキャリアパスは複数あります。
1つは自社のプロダクトの責任者となるプロダクトマネジャーを目指すキャリアパスです。サービスの開発と運用を行うチームでの全体のマネジメントがミッションです。
セキュリティエンジニア→(キャリアチェンジ)→プロダクトマネジャー
別の選択肢としては、企業の成長に合わせてセキュリティエンジニアなどの技術者が所属する部門を作り、その管理責任者を目指すケースが挙げられます。ウェブサービスなどの提供を行う企業は比較的若い企業が多く、組織体制もこれから大きく変動することが予測できます。自分の専門分野の重要性を説き、新たな体制を作ることも可能なケースが多いでしょう。
セキュリティエンジニア→セキュリティ保証部門のマネジャー
先輩エンジニアの選考体験談が見られる! ONE CAREER for Engineerのご紹介
エンジニア就活をこれから始める、今まさに選考を受けている皆さまへ、このような悩みはないでしょうか?
「総合職やビジネス職ばかりで、エンジニア職の体験談が見つからない」「内定を獲得した先輩が、どんな開発経験を積んでいたのか/どんな対策をしていたのか知りたい」
こういった悩みをお持ちの方に向けて、エンジニア職特化の就活サイト、「ONE CAREER for Engineer」をリリースいたしました!
▼ONE CAREER for Engineerエンジニアや技術職の就活・選考体験談を探す ※選考体験談の閲覧には、別途会員登録が必要です。
ONE CAREER for Engineerではどんなことができる?
1. エンジニア特化の選考体験談が見られる!
エンジニア人気企業を中心に、先輩のESや選考体験談を公開中です。
エンジニア就活ならではといえる、「コーディングテスト」の体験談も多数公開しています!
2. 登録いただいたプロフィール情報をもとにポートフォリオを自動生成!
「ご自身の技術経験を企業へどう伝えよう……」とお悩みの方は、こちらの機能をご活用ください!
3. エンジニア職の選考体験談投稿で謝礼(Amazonギフト券)をもらえる!
ご自身の選考の体験談をご登録いただくことで、謝礼(Amazonギフト券)をプレゼントしております!
エンジニア就活をこれから始める方、選考対策にお困りの方は、ぜひこの機会にご登録をお待ちしております!
(Photo:LanKogal/Shutterstock.com)
