セキュリティエンジニアという仕事。業務内容や資格・スキルについて解説します!
セキュリティエンジニアとはどんな仕事か?具体的な業務内容や求められる知識・スキルについて解説。資格の必要性や平均年収など、セキュリティエンジニアに興味のある方が気になる情報をまとめています。
Contents [hide]
そもそもセキュリティエンジニアとは?
一口にセキュリティエンジニアと言っても「インターネットの脅威からセキュリティを守るエンジニア」程度のイメージしか持っていない人が多いのではないでしょうか。ここでは、セキュリティエンジニアにはどのような需要があって、どのような仕事をするのかを簡単にまとめてみます。
なぜ需要があるのか?
インターネットの急速な普及と発展によって、情報セキュリティの重要性が年々高まっていることは言うまでもありませんね。サイバー攻撃による個人情報や機密情報の漏洩、ホームページの改ざん、サービスの停止・業務停止など、関連する事案はテレビのニュースや新聞でも数多く報道されています。サイバー攻撃の被害者は、世界では1日あたり100万人以上、日本だけで見ても1日1万人以上にのぼります。そのため企業のシステムに対してセキュリティケアができる、専門の技術者の需要が増しているわけです。経済産業省が2016年6月に公表した統計によると、東京オリンピックの2020年までに、多彩なサイバー攻撃対策に必要なセキュリティに関する人材は、約19万3,000人も不足するとのことです。
どんな仕事をするのか?
セキュリティエンジニアの仕事は、机上でセキュリティの対策を練ったりシステムをいじったりするだけではありません。もちろんそれらも重要な仕事の一部ではありますが、具体的な仕事内容は、以下のように多岐にわたります。
企画と提案
クライアントのシステムを把握し、必要なセキュリティの対策を企画・提案する業務。この業務を行うセキュリティエンジニアのことを、セキュリティコンサルタントと呼ぶこともあります。個人情報保護法の施行により、昨今ではセキュリティマネジメントの第三者認証制度「ISMS」「プライバシーマーク」を取得しようとする企業が増え、セキュリティエンジニアはそのための企画・提案などのサポートも求められています。
設計
企画書に基づき、十分にセキュリティについて考慮されたシステム設計を行います。この段階では、セキュリティ面だけに目を配ればよいわけではありません。現場で実際に運用が行えるシステムとするため、ネットワークはもちろんのこと、サーバーやアプリケーション、それらの運用に至るまで幅広く配慮の行き届いた設計にすることが必要です。
実装
設計に基づき、システムの実装を行います。設計の際と同様に、セキュリティはもちろんのこと、ネットワークやOSの設定など幅広い知識が必要です。さらにシステムが支障なく動作するようにプログラミングも行います。
テスト
システムに脆弱性がないかチェックするためのテストを行うことも、セキュリティエンジニアの重要な業務です。セキュリティ検査や脆弱性診断とも呼ばれます。潜在的な脆弱性まで見落とさないようにするため疑似的なサイバー攻撃を行ったり、ソースコードのチェックをしたりするのもセキュリティエンジニアが行う作業です。仮にこの時点で問題点が見つかった場合は、設計からやり直すことになります。
運用と保守
企画からシステムの設計・実装・テストまで滞りなく完了しても、セキュリティエンジニアの仕事は終わりません。システム導入後の運用や保守まで行うことも求められます。OSやアプリケーションなどを適宜アップデートしたり、セキュリティなどに関する最新の情報を集め対策を行ったりします。システムの障害やサイバー攻撃が発生した際の対処も、当然セキュリティエンジニアに求められる仕事です。
セキュリティエンジニアに必要なものとは?
ここでは現場に求められるセキュリティエンジニアの素養について簡単にまとめます。セキュリティエンジニアを目指す際の参考にしてください。
知識
仕事内容を見てわかるように、セキュリティエンジニアには幅広い知識が求められることになります。セキュリティは基より、ネットワーク・サーバー・アプリケーションの知識が必要です。さらには不正アクセス禁止法や上述のISMS・プライパーシーマークなど、法律や各種制度に関する深い知識を身につけておくべきケースもあるでしょう。とはいえ、これらの知識を一から身に着けるのは困難です。そこで、セキュリティエンジニアを目指すのであれば、自分の得意な分野・興味のある分野を特に強化するとよいでしょう。ですが、それ以外の分野についても少なくとも概要はおさえておきます。より専門的な知識は現場で覚えられることもありますし、一芸に秀でていた方が他のエンジニアとの差別化も図れます。また得意な分野の知識を突破口にすれば、他の知識も頭に入りやすくなるというメリットもありますね。
スキル
セキュリティエンジニアとして現場で活躍するためには専門的な知識だけでは不十分。ここでは、知識以外にセキュリティエンジニアに求められるスキルをまとめます。
コミュニケーション力
セキュリティエンジニアは、専門的な知識のない経営者に提案したり、納得していただくための交渉をしたりする必要があります。また現場担当者からシステムに関する情報をヒアリングしたり、設計などの内容を説明したりすることも必要です。このようにさまざまな人と円滑にコミュニケーションをとれるスキルも、セキュリティエンジニアに求められます。
モラル
セキュリティエンジニアは、企業においてセキュリティを扱う中心的な存在であると共に、セキュリティに関わるさまざまな内容について、他の人を教育する立場にもいます。そのため、他の担当者より高いモラル意識が必要です。
洞察力・想像力
サイバー攻撃は巧妙化を続けています。想定外の攻撃が行われ、それまでになかった発想での対応が求められることも。セキュリティエンジニアには、今までの常識にとらわれない柔軟な発想や、攻撃者の上を行くような深い洞察が必要となります。
| 1.情報セキュリティマネジメント | 7.ウィルス | |
| 2.ネットワークインフラセキュリティ | 8.セキュアプログラミング技法 | |
| 3.アプリケーションセキュリティ | Web | 9.セキュリティ運用 |
| 電子メール | 10.セキュリティプロトコル | |
| DNS | 11.認証 | |
| 4.OSセキュリティ | Unix | 12.PKI |
| Windows | 13.暗号 | |
| Trusted OS | 14.電子署名 | |
| 5.ファイアーウォール | 15.不正アクセス手法 | |
| 6.侵入検知 | 16.セキュリティ関連の法令 | |
出典)NPO日本ネットワークセキュリティ協会
JNSA2004年度WG活動成果報告会「教育部会 スキルマップ作製WGの活動について」
資格はなくても大丈夫?
なにか資格を持っていないとセキュリティエンジニアになれないということはありません。しかし資格を持っておくことは、一定の能力を証明でき、就職の際に有利となるのも事実です。ここではセキュリティエンジニアになるにあたって、あるとよい資格をまとめてみます。
情報処理安全確保支援士試験
- セキュリティに関する高度な知識・技能があることを認める国家資格
- 2016年10月から認定開始された比較的新しい資格
- 試験では特定の分野でなくセキュリティに関する幅広い知識が求められる
- 継続的な講習を受講することによる更新制の資格
ネットワーク情報セキュリティマネージャー
- サイバー攻撃に対処するためのスキルを問うベンダーフリー資格
- 実機によるデモ・モデルケースを用いた演習などの講習を受けることが必要
- 講習最終日の認定試験に合格することが必要
- レベル別・カテゴリ別の5つの資格から構成
- 資格の有効期限は2年間で、更新するためには試験を受験する必要あり
公認情報セキュリティマネージャー
- マネジメントレベルでの、情報セキュリティの実践ができることを認める国際的な資格
- 情報セキュリティのガバナンスやコンプライアンスなどを問うマークシート式のテストを実施
- 受験のためには情報セキュリティに関する実務に5年以上携わった経験が必要
- 更新のためには、毎年最低20時間、3年間で最低120時間の継続専門教育(CPE)への報告が必要
CompTIA Security+
- セキュリティ技術者としての知識やスキルを証明する世界的な資格
- セキュリティの一般的な概念から改善能力、問題解決能力まで幅広く求められる
- 試験ではセキュリティの概念を理解しているだけでなく「どのようにするか」まで問われる
シスコ技術者認定
- 世界的なネットワーク機器会社シスコシステムズによる資格試験
- シスコシステムズの認定資格のうち、セキュリティに関連した資格
- レベルに応じて5段階の資格が存在
- セキュリティのスペシャリストであることが証明される
気になる平均年収・男女比などは?
セキュリティエンジニアには幅広い知識と高いスキルが求められることが、おわかりいただけたと思います。それでは、実際セキュリティエンジニアにはどれだけの収入があるのでしょうか。また男女比はどの程度違うのでしょうか。
セキュリティエンジニアの平均的な年収は約500万円(*1)。ちなみにアメリカのセキュリティエンジニアの平均年収は1,000万円を超えるという統計も(*2)。国によって大幅な差があるようです。一方男女比は、男性87%・女性13%と男性の割合が大きくなっています(*3)。女性活躍推進法の施行によって女性エンジニアも増えるのではないでしょうか。また上述したように2020年の東京オリンピック開催にあたり、セキュリティエンジニアに対する需要はさらに高まると想定されます。それによって日本のセキュリティエンジニアの数は今よりも増加し、平均年収も今より上がっていくことでしょう。
(*1)出典:DODA職種図鑑(https://doda.jp/guide/zukan/050.html)
(*2)出典:BUSINESS INSIDER(https://www.businessinsider.jp/post-838)
(*3)出典:DODA職種図鑑(https://doda.jp/guide/zukan/050.html)
まとめ
いかがでしたか。これから需要がどんどん増すと想定されるセキュリティエンジニア。セキュリティというシステムの根幹に深く携わるセキュリティエンジニアは、やりがいのある仕事と言えるでしょう。仕事の幅はシステムの企画から設計・運用・保守まで多岐にわたり、そのための知識や高いスキルが求められます。またセキュリティエンジニアを目指すのであれば、セキュリティに関わるさまざまな資格の取得をするのも有効です。
セキュリティエンジニアについて、さらに詳しく知りたい方は、パーソルクロステクノロジーのセキュリティエンジニアブログをご覧ください。現役のエンジニアによる最新の情報セキュリティ事情が満載です!
セキュリティサービスグループのブログはこちら
\ SNSでシェアしよう! /
【はたラボ】派遣のニュース・仕事情報・業界イロハ|派遣会社・人材派遣求人ならパーソルクロステクノロジー |IT・Web・機電の派遣求人ならパーソルクロステクノロジーのエンジニア派遣の 注目記事を受け取ろう
【はたラボ】派遣のニュース・仕事情報・業界イロハ|派遣会社・人材派遣求人ならパーソルクロステクノロジー |IT・Web・機電の派遣求人ならパーソルクロステクノロジーのエンジニア派遣
この記事が気に入ったら
いいね!しよう
【はたラボ】派遣のニュース・仕事情報・業界イロハ|派遣会社・人材派遣求人ならパーソルクロステクノロジー |IT・Web・機電の派遣求人ならパーソルクロステクノロジーのエンジニア派遣の人気記事をお届けします。
-
気に入ったらブックマーク!
- フォローしよう! Follow @persolcross
