キャリア

2019/10/03

セキュリティエンジニアとは?仕事内容・スキル・年収・資格

不正アクセスによる機密情報の漏洩やデータの改ざんなどサイバー犯罪の脅威は企業に広く認識されるようになりました。Eコマースや電子決済など購買データを扱うサービス、個人情報を扱う業務システムなどIT開発でもセキュリティに関する問題意識は年々高くなっています。

今回は、そのような情報セキュリティ分野で活躍する「セキュリティエンジニア」の仕事内容、年収、キャリアパスを解説し、転職や独立に役立つ資格についても紹介します。

セキュリティエンジニアとは

セキュリティエンジニアは、情報漏洩などの脅威から企業や組織を守る「情報セキュリティ」業務に従事するエンジニアです。ITシステムの脆弱性への対策やセキュリティに配慮したネットワークの設計・構築、サイバー攻撃に備えた調査・改善などを行います。セキュリティエンジニアの役割には、セキュリティポリシーの策定や運用定着化など業務面も含めた支援を行うコンサルタントと導入、運用、監視など技術面に特化したエンジニアの2つがあります。

1990年代から急速に発展を遂げますます複雑になる現代のIT社会では、専門分野に長けた様々なポジションのエンジニアが必要になりセキュリティエンジニアが担う役割もその一つといえます。インフラエンジニアや社内SEと呼ばれるシステムエンジニアが情報セキュリティ業務について兼任するケースも減少傾向にあります。

巧妙化するサイバー犯罪に対処するために、IT知識や開発などの技術力にプラスして、最新法令や他社事例に精通し専門的なスキルを身につけたセキュリティのプロフェッショナルが求められているのです。

セキュリティエンジニアが必要とされる背景

情報セキュリティの重要性が高まり、専門技術を身につけたエンジニアが必要とされる背景には、情報漏洩のリスクやサイバー攻撃の脅威が企業にとって大きなものになったという事が挙げられます。

個人情報漏洩の防止

パソコンやスマートフォンが普及した現代社会では、消費者がネットサーフィンやインターネットショッピングを手軽に利用出来るようになりました。サイトへの会員登録や商品購入時に氏名・住所・電話番号といった際に個人情報を入力する機会が増え、企業側ではこうした情報が他人に漏れてしまわないために厳重な管理が求められるようになったのです。特に個人情報漏洩の原因は管理者側の人的ミスであるケースが多いと言われており、適切に取り扱う事の出来る人材が必要となりました。

ウィルスの感染防止

IT社会では企業が抱える機密情報の破壊・流出やホームページの不正改ざん、ネットバンキングの不正送金といった悪意ある目的のためにコンピューターウィルスを用いたサイバー犯罪が増加したのもまた事実です。こういったサイバー攻撃に対して適切に対処する事が出来なければ、企業は社会的に信用を失ってしまい顧客減少へと繋がります。コンピューターウィルスの感染を未然に防ぐ事はもちろん、万が一感染してしまった際に被害を最小限に抑える対策を講じるのも情報セキュリティの重要な役割なのです。

それではセキュリティエンジニアは、普段どのような業務に取り組んでいるのでしょうか。以下で解説します。

セキュリティエンジニアの仕事内容

セキュリティエンジニアの仕事は、主に「企画」「設計」「実務」「テスト」「運用」の5つに大別出来ます。それぞれのフェーズで行われる業務内容をしっかり把握しておきましょう。

企画

セキュリティエンジニアの仕事として起点になるのが「企画」という業務です。企画段階ではクライアント企業のITシステムについて仕様や現状を把握し、要望・依頼を踏まえた上でどのようなセキュリティシステムが必要であるかを企画・提案します。この業務は「セキュリティコンサルタント」と呼ばれる事もあり、2005年に個人情報保護法が全面施行されてからは情報セキュリティマネジメントシステム(ISMS)やプライバシーマークを取得するための支援も行うケースがある事に留意しておきましょう。

設計

設計段階では企画により決まった方針に基づいてシステムの構築を行いますが、これは単にセキュリティプログラムの設計を行うという事には留まりません。セキュリティエンジニアが行う設計とはネットワークやアプリケーションといったソフトウェア面から、サーバー機器などのハードウェアまで含めた包括的なセキュリティシステムの構築を意味しています。インターネット上でデータを管理するクラウドシステムの普及に伴い、セキュリティシステムをクラウド構築出来るエンジニアの需要が高まっている点も重要なポイントです。

実装

設計・開発したセキュリティシステムが出来上がったら、システムをクライアントの環境に実装する段階に移ります。ネットワーク機器やOSなどハード・ソフト両面にシステムを導入して設定やプログラミングを行うのがこのフェーズでの業務です。

テスト

実装したセキュリティシステムは即座にクライアントに利用してもらうという訳ではありません。実際にクライアントが使用する前に、システムに脆弱性の有無や正常の動作を確認するためにテストを行う必要があるのです。テスト段階では意図的にシステムへサイバー攻撃を行う事もあります。

運用

システムの安全性が確認出来たら、いよいよクライアントでの運用が開始となります。運用フェーズではOSやアプリケーションを常に最新の状態にアップデートし、システムが正常に動作するよう努めるのがセキュリティエンジニアの主な業務内容です。また、サイバー攻撃やシステム障害といったアクシデントに対処する事も求められます。

セキュリティエンジニアに求められるスキル

セキュリティエンジニアはネットワーク・システム・ハードウェアなどITに関する高度な知識と取り扱いの技術が要求される職種です。例えば基本的なところでは情報セキュリティの基礎となる「情報理論」や、コンピューターの設計・保守に関する「計算機構学」などの知識が求められます。

一歩進んだスキルでは情報セキュリティに対して組織的・体系的に取り組むための「セキュリティマネジメント」や、内部ネットワーク起因のリスクに備えるための「ネットワークセキュリティ」、ハードウェアを保守するための「システムセキュリティ」などに関する知識が重宝されるでしょう。また、サイバー攻撃の種類や具体的な手口に関する知識も重要です。

セキュリティエンジニアはシステムやハードウェアに関する業務が殆どなので専門的な知識・技術ばかりがフューチャーされがちですが、実はコミュニケーション能力が大切な職種でもあるのです。企画段階ではクライアントからの要望や現状を打ち合わせで丁寧にヒアリング必要があります。また、社内でもチームや関係部署との連携でコミュケーションを取る場面は少なくありません。顧客満足度や業務効率・正確性の向上には高いコミュニケーション能力が欠かせないのです。また、クライアントの大切な情報を守るための業務なので責任感・モラルといった感性も求められます。

セキュリティエンジニアの資格

職業としての「セキュリティエンジニア」という資格は存在しないので、無資格でも実力が備わっていればセキュリティエンジニアになる事は可能です。ただし、セキュリティエンジニアとしての実力を証明出来る資格はいくつかあるので取得しておけば採用試験でも有利に働くでしょう。ここでは、セキュリティエンジニアが取得・勉強しておくと良い資格をご紹介します。

シスコ技術者認定

ネットワーク機器のベンダーであるシスコシステムズ社では「シスコ技術者認定」という資格試験を実施しています。シスコ技術者試験はいくつかの資格をまとめた総称であり、内部でそれぞれの専門領域に分かれている事に留意しておきましょう。なお、セキュリティエンジニアのスキルを認定する試験は「CCENT」「CCNA Security」「CCNP Security」「CCIE Security」の4段階が設けられています。国際資格として世界的に評価されている資格の一つです。

情報処理安全確保支援士試験

「情報処理安全確保支援士試験」は独立行政法人情報処理推進機構(IPA)が実施している国家資格試験です。合格者は企業においてセキュリティ管理・対策を主導出来る人材として評価されるでしょう。この資格は単に情報セキュリティに関する知識を証明するだけでなく、問題点の正確な把握や解決案の提示までを含めた総合的なセキュリティマネジメントが可能な能力を評価するものです。また、合格率は約16%と比較的難易度の高い資格なので、受験に際しては十分な勉強が必要になるでしょう。

ネットワーク情報セキュリティマネージャー(NISM)

ネットワーク情報セキュリティマネージャー推進協議会が実施している資格試験が「ネットワーク情報セキュリティマネージャー(NISM)」と呼ばれるものです。この資格はハッキングやサイバー攻撃による被害を未然に防ぐ事の出来る人材育成を目的として創設されました。情報セキュリティのスキルを証明してキャリアアップに繋げる事の出来る資格です。取得するには2~3日程度の講習会を受講し、最終日に行われる試験に合格する事が条件となっています。

セキュリティエンジニアになるには?

セキュリティエンジニアになるための道のりは大きく分けて「大学・専門学校で学ぶ」「他のITエンジニアとしての経験を積む」「派遣社員の募集を利用する」の3パターンです。それぞれの方法を詳しく見てみましょう。

大学・専門学校で学ぶ

セキュリティエンジニアとして働くにはIT関連の幅広い知識が必要となるので、大学や専門学校で体系的に勉強するのが効率的な方法と言えます。大学に関しては理工学部の情報科学関連の学科・コースに進むのが良いでしょう。大学・専門学校では情報セキュリティに関する知識の他にも法律・政策・社会制度といったセキュリティエンジニアが知っておくべき領域の勉強も効率的に行えます。

他のITエンジニアとしての経験を積む

かつてインフラエンジニアやシステムエンジニアが情報セキュリティに関する業務を担っていた事からも分かる通り、セキュリティエンジニアに必要な知識は他のITエンジニアにとっても必要な知識である部分が多いのです。そのため、まずは他のITエンジニアとして勤務に従事しながら知識や経験を蓄え、専門的な知識を資格などの勉強を通して身につけてからセキュリティエンジニアに転職するという方法も有効と言えます。

派遣社員の募集を利用する

人手が足りないエンジニア業界では派遣社員の募集がかけられる事も珍しくありません。ある程度ITに関する知識が身に付いているのであれば、セキュリティエンジニアの派遣社員募集を利用して実践の中でさらに専門的な知識や技術を修得していくのも良いでしょう。応募に際して知識や技術に不安が残るようであれば、働きながら通える情報系のスクールや専門学校の夜間授業を利用して勉強するという手段もあります。

セキュリティエンジニアの年収

エンジニア系の職業は比較的年収が高い傾向にあり、セキュリティエンジニアもその例外ではありません。一般的には30歳のセキュリティエンジニアの年収は600万円程度と言われており、見習いであれば年収450万円~の求人が多いです。ただし、エンジニア系の職種の中では特別高給取りという訳ではない点に留意しておきましょう。

セキュリティエンジニアのキャリアパス

セキュリティエンジニアとして経験を積んだ人は、同じくセキュリティ系のより一層専門的な領域へステップアップするのが一般的となっています。代表的なものには監査法人などのセキュリティコンサルタントや、コンプライアンス部門における情報セキュリティ担当といったポストが挙げられるでしょう。こうした役職はセキュリティエンジニアとしての知識や技術を活かしながら、企業の経営により近いポジションで仕事が出来ます。

セキュリティエンジニアの需要と将来性

セキュリティエンジニアは専門的な知識と技術が要求される役職であり、企業活動を支える重要なポジションでもあります。それでは、そんなセキュリティエンジニアの社会的な需要や将来性は具体的にどうなっているのでしょうか。

セキュリティエンジニアの需要

情報漏洩や不正アクセスといったサイバー攻撃は、ネットワーク上でデータを管理していればどのような業界の企業にも被害の可能性がある事です。そのため、企業の信頼維持のために重要なポジションとなるセキュリティエンジニアは幅広い業界から必要とされている職種と言えるでしょう。大手の人材紹介会社DODAによると、特に自社でクラウドサービスを展開している企業からはセキュリティエンジニアの需要が高くなっています。

セキュリティエンジニアの将来性

エンジニア業界では長年に渡って人手不足が叫ばれており、ガートナージャパン株式会社による見解では2020年度末で事実上約30万人ものセキュリティエンジニアが不足すると言われているのです。情報セキュリティの重要性が増していく中で人材不足となれば、セキュリティエンジニアの人材需要は高まります。今後、さらに情報社会化が進む事が予想される中でセキュリティエンジニアの将来性は高いと言えるでしょう。

関連記事Related Posts