サイバー攻撃が激化、巧妙化する中でセキュリティ人材への需要が高まっていますが、急速な需要の増加により、深刻な人材不足が続いています。

ここでは、セキュリティエンジニアの具体的な仕事内容や、セキュリティエンジニアとして活躍するために必要とされるスキルの紹介をはじめ、セキュリティエンジニアとして就職や転職を目指す際に取得しておきたい資格などについて解説します。

セキュリティエンジニアとは?

セキュリティエンジニア
セキュリティエンジニアとは、情報セキュリティを考慮したシステム、ネットワークの設計から運用までを行う、情報セキュリティに特化したエンジニアを指します。
クライアントのセキュリティについての相談に応じ、サイバー攻撃から情報を守るためのさまざまなセキュリティ対策の提案を行うため、セキュリティコンサルタントと呼ばれることもあります。

近年、サイバー攻撃の激化だけでなく、個人情報保護法の登場によって、ISMS取得やプライバシーマークの取得を目指す企業が増加したため、取得のサポートができるセキュリティエンジニアの需要も高まっており、人材が不足している職種でもあります。

セキュリティエンジニアの業務は多岐にわたります。

  • クライアントのセキュリティ状態を調査
  • ネットワークや機器、サーバーの運用形態などのインフラを把握
  • サイバー攻撃に対する対策を企画・提案
  • セキュリティに配慮したシステム設計を行う
  • システムの実装から運用、保守、点検まで、さまざまな計画を作り、実行

このように、セキュリティエンジニアはインフラやシステム設計、セキュリティに対する高い専門知識と技術を求められるだけでなく、企画・提案のためにコミュニケーションを円滑に進める能力も必要になります。

セキュリティエンジニアの仕事内容

セキュリティエンジニア
セキュリティエンジニアの仕事は大きく分けて5つのフェーズがあります。
システム規模が大きい場合は一部分だけを担当することもありますが、基本的には対策が必要なシステム全体を見通し、工程すべてに関わることになります。

次で詳しくご紹介します。

1.提案(調査、分析、企画)

対象となるシステムの調査とセキュリティ状態の分析を行い、システム全体の状況を把握して、どのようなセキュリティ策が必要になるのかについて検討します。それをもとにセキュリティ対策案を企画し、クライアントに提案します。

2.設計

対象となるシステムの調査・分析結果をもとに、必要となるセキュリティシステムやネットワークの設計を行います。
ネットワークや機器の状態、運用の形態などを考慮しながらセキュリティ対策の設計をするため、ハードウェアやソフトウェアの知識、ネットワークの知識など、幅広い知識が求められます。

3.実装

設計をもとにセキュリティシステムの実装を行います。脆弱性の種類や対策法は多岐にわたるため、適切な実装を行うためには、常に最新のセキュリティ情報を更新する必要があります。場合によってはネットワークの実装にも携わるため、機器の設定などを含むネットワークに関する知識も高い水準で持たなければいけません。

4.テスト

実装したセキュリティシステムをテストし、設計した通りにセキュリティ対策がなされているか確認します。

ネットワークに接続されているシステムに対して侵入を試みる「ペネトレーションテスト」や、システムに存在する脆弱性やセキュリティホールを網羅的に検査する「脆弱性診断」の経験と知識が必要とされます。

5.保守/運用

日々新しい驚異が出現する中で、最新の情報に常にアンテナを張り、適切にシステムのアップデートを行う必要があります。実装したセキュリティシステムの導入が完了したあと、安定して運用するための保守業務は、セキュリティ対策において重要な工程になります。

セキュリティエンジニアに必要なスキルとは?

セキュリティエンジニア
セキュリティエンジニアに必要とされるスキルは、大きく6つあります。セキュリティエンジニアに求められることは技術の提供に限られないため、セキュリティ知識のみにとどまず、幅広い知識を身につけることが求められます。

次で必要なスキル6つについて詳しくご説明します。

1.情報セキュリティマネジメントへの理解

ITの安全な利用を推進するために必要となる知識や情報、技術への理解は必須といえます。
情報セキュリティマネジメントを学ぶことで、守るべき情報がなんであり、どういう方法が必要なのかを理解することができます。また、クライアントに対し、説明力をもってセキュリティ対策を提案する上でも、常に情報収集をしながら技術力を高めていく必要があります。

2.アプリケーションやネットワークの知識

セキュリティ対策の対象となるシステムやネットワークに対する広範な知識が求められます。ネットワークインフラは均一なものではなく、古い設備から最新の設備まで、導入時期によっては機器もさまざまです。

アプリケーションもさまざまなバージョンのものが導入され、セキュリティ対策の方法や想定されるセキュリティホールも異なります。予算によっては、古いシステムであっても交換が難しいケースもあります。

クライアントの予算感とネットワークの規模を考慮しながら、できる範囲で最大限のセキュリティ対策を行うためにも、新旧問わない幅広いアプリケーション知識やネットワーク知識が必要となります。

3.ウイルスや不正アクセス手法などの攻撃の知識

セキュリティ対策を考え、対応を取る上で必須といえる知識です。どのような攻撃手段や技術でセキュリティを突破するのかについて深い知見を持ち、それをもとに対応方法を考えます。

最新のセキュリティ情報を理解するだけでなく、自分自身でもペネトレーションテストの技術を向上させておく必要があります。

オペレーションシステムのセキュリティ対策情報や、ファイアーウォールなどの設定に関する最新のトレンドを常に追いかけ、サイバー攻撃に関する知識をブラッシュアップすることが求められます。

4.コミュニケーション能力

セキュリティエンジニアは、セキュリティ対策の提案、交渉、システムに関する情報のヒアリング、設計や対策方法の内容説明など、クライアントとのやり取りも多く発生します。

技術営業に近いポジションでの立ち回りを求められることもあるため、円滑にコミュニケーションを取りながら要望を聞き取り、要件に落とし込んで的確なセキュリティ対策をするために、コミュニケーション能力は必要となるスキルです。

5.モラル・責任感

セキュリティエンジニアは、業務上、他者の個人情報を含むセキュリティに関わる高度な機密情報を取り扱うことになります。

万一、情報が漏えいした場合は、双方に大きな被害が発生し、信頼の失墜や損失に繋がります。そのため、常に情報漏えいに気を払い、高いモラルと強い責任感が求められます。

6.洞察力・想像力

サイバー攻撃を行う犯罪者は、高度な技術を持った者も少なくないため、想定外の攻撃を仕掛けてくることもあります。

そのため、さまざまな場面を想定し、攻撃してくる犯罪者の背景を想像し対策を講じることができる、洞察力や想像力、発想力も大切なスキルとなります。

セキュリティエンジニアとして持っておきたい資格を紹介

セキュリティエンジニアセキュリティエンジニアとして活躍するため、または、セキュリティエンジニアとして就職や転職を考えている方にとって有利となると考えられる、3つの資格をご紹介します。

取得が困難な資格もありますが、資格取得を目標とする過程でセキュリティエンジニアとしての技術と知識を深めることもできるため、ぜひ、資格の取得をおすすめします。

今回ご紹介する資格の中には、最新のセキュリティ技術に対する認定であるため、定期的な講座の受講義務や、資格の更新要件が定められている資格もあります。

資格を取得するだけではなく、資格を維持するためにも、常に知識の更新が必要であることは忘れてはいけません。

1.情報処理安全確保支援士

情報処理安全確保支援士は、情報セキュリティマネジメントやセキュリティ対策に関わる業務を担当するエンジニア向けの国家資格です。

IT系の士業とも呼ばれ、情報システムに関する知識を持ち、セキュリティ対策を的確に適用、運用できることだけでなく、指導・進言できる知識や能力を有し、情報セキュリティの専門家としてコンサルトして活躍できる実力があることを保証します。
試験は年2回、春と秋に行われ、合格率はおおむね17~18%程度(受験者比率)と難関資格でもあります。

情報処理安全確保支援士試験に合格し、登録手続きを行うことで、情報処理安全確保支援士(登録セキスぺ)の資格を取得できますが、最新のセキュリティ技術と知識、倫理観・コンプライアンスに対する意識があることを証明するため、オンライン講習を毎年1回、集合講習を3年に1回受講することが義務付けられています。

公式HP:https://www.jitec.ipa.go.jp/

2.CCSP

安心できるサイバーセキュリティの世界の確立を目的とする(ISC)2という組織が認定する非ベンダー系のセキュリティ資格で、CCSPはクラウドセキュリティの専門知識を有することを認証する資格です。

CCSPに認定されるには、CCSP認定試験に合格することをはじめ、ITに関する業務経験(情報セキュリティに関する業務経験が必須)など、各種要件が必要になります。

3.CISSP

先のCCSPと同じく、(ISC)2が認定するセキュリティ資格で、情報セキュリティのプロフェッショナルであることを証明できる、世界的にも評価の高い資格です。

CISSPとして認定されるには、CISSP認定試験の合格をはじめ、情報セキュリティに関する業務経験等の要件が必要となります。

また、3年毎に再認定を受ける必要があり、再認定には120時間の継続教育を受講する必要があります。このように、CISSPでは、セキュリティに対する厳しい意識と深い知識、継続した最新トレンドに対する実務経験が問われるため、価値の高い資格となっています。

まとめ

セキュリティエンジニア

セキュリティエンジニアの人口はまだ少なく、人材が不足しており、多くの企業から求められています。セキュリティに関する資格試験の多くで実務経験が求められている通り、セキュリティエンジニアにはセキュリティに関する幅広い知識のみならず、実践力も必要とされます。

そのため、セキュリティエンジニアとして活躍するためには、セキュリティに関する業務経験を積み、成長していくことが重要となります。

セキュリティエンジニアの求人一覧

システムエンジニアやネットワークエンジニアのスキルを持っている方をはじめ、セキュリティエンジニアに必要なスキルを習得中の方は、ぜひ、セキュリティエンジニアの求人に積極的にアプローチしてみてください。
クリエイティブ業界に特化したエージェントがキャリアヒアリングから転職サポートまで担当させていただきます。