更新日:
IT化が進む現代において、システムは社会の重要なインフラとなっています。
それと同時に、情報漏洩や不正アクセスなどの脅威からシステムをどう守るか、という問題も常に懸念されています。
このような状況下で、ネットワークをはじめとしたシステム全体のセキュリティを守っているのがセキュリティエンジニアで、その重要性は増す一方となっています。
ここでは、そんなセキュリティエンジニアの仕事内容とはどのようなものなのか、年収や、必要な知識・スキル、セキュリティエンジニアの目指し方まで解説します。
セキュリティエンジニアとは?
セキュリティエンジニアとは、情報セキュリティやサーバーに関する業務を専門的に行なうエンジニアのことです。おもに企業内のITインフラにおいて、以下のような業務を行なっています。
≒ サーバーの構築・運用・保守
≒ セキリュティを考慮したネットワークやシステムの設計・構築・運用
≒ サイバー攻撃を防ぐための調査や改善
近年では、企業が保有するサーバーで機密情報を扱うことも多くなっています。そのため、不正アクセスやコンピュータウイルス、スパイウイルスへの感染、あるいは内部からの個人情報漏洩などに常に目を光らせておく必要があります。
そして、その監視の役割を果たしているのが、セキリュティエンジニアという職種です。
エンジニアというと、黙々と作業する技術職というイメージを持つ方が多いかもしれませんが、セキュリティエンジニアに関していえば、それはあまり当てはまりません。セキュリティエンジニアの実務では、クライアントとのやり取りや意見交換も多いことから、技術力に加えてコミュニケーションスキルも要求されます。
セキュリティエンジニアはシステムの基盤を扱う仕事であることから、インフラエンジニアの一種に分類されます。インフラエンジニアについては以下の記事でも詳しく解説していますのでご覧ください。
インフラエンジニアとは?仕事内容や必要なスキル、向いている人、年収について完全ガイド
セキュリティエンジニアの具体的な仕事内容
セキュリティエンジニアの仕事内容は多岐にわたります。具体的な仕事内容としては以下が挙げられます。
≒ 企画・提案
≒ 設計
≒ 実装
≒ テスト
≒ 運用・保守
どれか一つだけを専門的に請け負う場合もあれば、すべてを一貫して請け負う場合もあります。
企画・提案
クライアントの意向をヒアリングして、そのために必要なセキュリティの企画・提案を行ないます(このような企画・提案を行なうエンジニアは、セキュリティコンサルタントと呼ばれる場合もあります)。企画・提案時には現場スタッフとも連携し、各部門のセキュリティにおける弱点を把握することも求められます。
個人情報保護法が施行されてからはプライバシーマークやISMS取得を目指す企業も増え、それにともなって、取得のサポートができるセキュリティエンジニアの需要も高くなっています。
設計
企画・提案した内容に基づき、最適なソフトウェアや機器を選定し、ネットワークや運用形態を考慮したうえで、セキュリティレベルの高いシステムの設計を行ないます。
システム全体としてセキュリティを確保するには、単にセキュリティ強化システムを設計するだけでは足りません。システムのインフラ周りの運用・管理までを把握したうえで、さまざまな面でセキュリティを考慮してシステム設計する必要があります。
さらに昨今では、データをクラウド上で管理するシステムが増加傾向にあるため、クラウド構築の知見があるエンジニアは、よりニーズが高まっています。
実装
設計に基づき、ネットワーク機器やサーバー、ソフトウェアへシステムを実装します。
設計どおりに実装していても、実装方法によってはシステムセキュリティの脆弱性が混入される恐れがあります。なおかつWebアプリケーションの脆弱性の種類は多岐に渡るため、設計と同様に実装面でも幅広い知識が求められます。「セキュアプログラミング」や「セキュリティアーキテクチャ」など、専門的な知識も必要となります。
テスト
実装したシステムが、正常に動作するかどうかを確認します。
セキュリティエンジニアにおいては、システムの脆弱性を発見するためのテスト(セキュリティ検査)が特に重要なタスクとなります。セキュリティ検査では、潜在的な脆弱性を発見するために、想定される類似攻撃を行なったり、ソースコードのチェックをしたりします。
運用・保守
システム導入後には、高いセキュリティレベルを保ち、安全に運用するための業務にあたります。市場の動向を常にチェックしながら、ネットワークやソフトウェア、機器類のセキュリティアップデート、障害発生時の対応を行なうことも、セキュリティエンジニアの大切な仕事です。サイバー攻撃からシステムを守るために、不正侵入調査などを含む、継続的な管理を行なっていきます。
セキュリティエンジニアの仕事は激務で大変か?
セキュリティエンジニアの仕事は激務といわれがちです。ここではその理由などについて解説します。
24時間対応の激務が当たり前で迅速な対応が求められる
セキュリティエンジニアは、その仕事の特性上、どうしても激務になりやすい仕事です。
セキュリティ保守は休みがないため、対応によっては24時間体制になることもあります。また何らかのエラーがある場合は、迅速なバグ修正が求められるため、問題が解決するまで時間を問わず対応に当たることになります。
サイバー攻撃は、世界中で日夜関係なく行なわれており、日本のシステムも常日頃から海外・国内を問わず狙われている可能性があります。そのため、常にセキュリティ対策が万全であるためには、24時間管理が求められるのです。
セキュリティ上の重大インシデントが発生した場合は、企業の信用失墜問題にも直結しかねないため、上層部からかなりのプレッシャーをかけられることもあります。プライベートにも影響を与えるため、精神的・肉体的に滅入ってしまう人もいるかもしれません。
責任・プレッシャーは大きい
セキュリティエンジニアは、その扱う内容の重要性から、責任が重くのしかかり、プレッシャーが大きい職業です。
ネットワークセキュリティは現代における企業の重要課題の一つです。昨今たびたび発生している個人情報漏洩もそうですが、一度問題が発生すると会社内だけの話ではなく、社会問題にまで発展する可能性も秘めています。個人情報を漏洩させた企業は、信用が失墜して顧客が離れるということも十二分に想定されます。
さらに損害賠償などに発展する場合もあるため、セキュリティを担うエンジニアのプレッシャー・責任は非常に大きいのです。このため、セキュリティ面での責任者ともなり得るセキュリティエンジニアには、ストレス耐性の高さがある程度求められます。
最新のトレンドを常に追う必要がある
セキュリティの脆弱性を突いた攻撃は日々進化しており、日夜新しいサイバー攻撃の手法が開発されています。そのため、このサイバー攻撃に対応するために、セキュリティ対策も日々進化しています。
当然セキュリティエンジニアは、常に最新のセキュリティに関するトレンドを追い続ける必要があります。学ぶ内容も多岐に渡るため、セキュリティ周りの勉強が好きでないと、継続するのは難しいかもしれません。
責任が大きい分セキュリティエンジニアのやりがいは大きい
セキュリティエンジニアは激務になりがちで責任やプレッシャーが大きい理由を解説してきましたが、その分やりがいが大きいという側面もあります。ここではセキュリティエンジニアならではの醍醐味ややりがいについて紹介します。
困難な課題を解決したときの達成感
困難な課題を解決したときの達成感は大きなやりがいとなる、という点が挙げられます。
これはエンジニアにある程度共通の話になるかもしれませんが、セキュリティエンジニアは課題解決の難易度も高くなるため、より解決したときの達成感は大きいかもしれません。
特にクライアントが抱える課題や悩みを解決して感謝されると、仕事の意欲も湧いてくるはずです。
社会の基盤を支えているという自負
ネットワークセキュリティの分野は、今日の社会に欠かせない基盤となっています。この社会基盤を作っているという自負は、セキュリティエンジニアのやりがいの一つになっています。
セキュリティエンジニアの仕事によって守られるのは、個人情報や企業の機密情報です。
これらは個人や企業にとって大切な資産です。正義感や倫理観の強い人、社会に貢献したいという意欲のある人ほど、自分の技術によって人々の資産や安心を守るセキュリティエンジニアにやりがいを感じられることでしょう。
セキュリティエンジニアの年収
セキュリティエンジニアの年収は、求人ボックス調べでは平均585万円となっており、日本全体の平均から見ると高めの水準といえます。また、同サイトのデータでは、派遣社員の平均時給は2,598円となっています。
出典:セキュリティエンジニアの仕事の年収・時給・給料|求人ボックス
フリーランスエンジニアの場合、案件単価は40~100万円程度(PE-BANK内の案件データをもとに算出)。ただしこれは案件の難易度や規模、フリーランスの保有スキル・経験・年齢・就業エリアなどによって変動するので、目安程度に考えてください。
セキュリティエンジニアに必要な知識・スキル
次に、セキュリティエンジニアに関して必要な知識・スキルについて解説します。
ネットワーク・システムに関する幅広い知識
セキュリティエンジニアは、ネットワークのみならず、一通りのシステム周辺に関する知識・スキルが必要です。
現場のネットワークインフラはさまざまな種類の機器が使われています。いざというときに臨機応変な対応を可能にするためにも、ネットワーク・システム・ハード・ソフトウェアに至る幅広い知識が求められます。しかもこれらの技術は頻繁にアップデートされるため、常に情報収集を怠らないことが大切です。
セキュリティ関連法律の知識
セキュリティエンジニアには、セキュリティ関連の法律の知識も必要です。これは、法律をもとにして、可能な限りの施策を打ち出すためです。セキュリティ関連の法律も日々更新される可能性があるため、どのような内容が規定されているのかをまずは一通り知っておくことが大切です。
勉強方法としては、例えば不正アクセス禁止法など、インターネットでも法律を見られるサイトがあるので、検索して調べてみるのがおすすめです。
コミュニケーションスキル
コミュニケーションスキルはセキュリティエンジニアに必須の能力です。セキュリティエンジニアはクライアントや社内の人間と密に連携しながら仕事を進めていきます。もし円滑にコミュニケーションが取れなければ、プロジェクトが進まない可能性があります。
特に重大なセキュリティ事故などを起こした場合には、顧客と連携をとりつつ問題を解決しなければなりません。大きな問題に取り組んでいるときこそ、コミュニケーションスキルはより一層重要なものとなります。
仮説立案スキル
サイバー犯罪を引き起こすハッカーなどの人間は、通常は想像もつかないような攻撃を仕掛ける場合があります。これに対してセキュリティエンジニアは、あらゆる攻撃手法について仮説を立てて、その仮説をもとにセキュリティ対策を講じる必要があります。
したがって、仮説立案のスキルはセキュリティエンジニアには必須スキルの一つといえます。
モラル・倫理観
セキュリティエンジニアは、ネットワークセキュリティと呼ばれる企業の根幹を担う分野を担当しているため、モラルと倫理観をもって仕事をする必要があります。
関わっている仕事に関する内容は、一歩外に出たら口に出してはいけないということや、業務で使用しているパソコンは現場に出しっぱなしにしたり外に持ち出したりしないなど、モラルのある行動が求められます。これはIT技術者として当たり前のことではありますが、大変重要な基本の部分でもあります。
セキュリティエンジニアにおすすめの資格
セキュリティエンジニアというと、何か特別な資格が必要というイメージを持たれがちですが、実際のところ必須資格というものは特にありません。しかし、仕事内容が多岐にわたるため、ITに関する幅広い知識が求められます。
ここからは、セキュリティエンジニアを目指すならぜひ取得しておきたい資格や知識について、詳しく見ていきましょう。
シスコ技術者認定
シスコ技術者認定とは、エンジニアの技術を測る国際資格で、世界有数のネットワーク関連機器メーカー・シスコシステムズ社が実施しています。
以下の4つのレベルに分けられています。 ※上位資格を取得するためには、下位資格を取得している必要があります。
CCENT
シスコ技術者認定のエントリー編ともいえる資格で、ネットワークセキュリティに関する基本的な知識が問われます。
CCNA Security
CCENTの上位資格で、セキュリティエンジニアを目指す場合は、ここがスタート地点となります。ネットワークの脅威や脆弱性に関する知識、セキュリティ上の脅威を回避するためのスキルを身に付けていることが求められます。
CCNP Security
CCNA Securityの上位資格です。セキュリティエンジニアとしては上位レベルの資格で、ルータ、スイッチ、ネットワーキングデバイス、アプライアンスに関する知識や、ネットワーク環境の選択・導入・サポート・トラブルシューティングスキルが問われます。
CCIE Security
CCNP Securityの上位資格で、エンジニアとしての実力を国際的に示せる最高難易度の資格です。
CompTIA Security+
CompTIA Security+とは、シカゴで設立されたグローバルなIT業界団体「CompTIA」が実施している認定資格です。国際的に認められた認定資格で、業務上必須となるエントリーレベルのセキュリティスキルや知識が問われます。世界中の企業およびセキュリティプロフェッショナルに活用されている資格です。
情報処理安全確保支援士
情報処理安全確保支援士は、情報セキュリティ専門家としてのレベルを認定する唯一の国家資格です。2016年10月の「情報処理の促進に関する法律」の改正にともなって誕生した、比較的新しい国家資格であり、独立行政法人情報処理推進機構(IPA)が実施しています。合格率は19.1%以下(令和1年実績)という、セキュリティ分野では難易度の高い試験です。
ネットワーク情報セキュリティマネージャー(NISM)
ネットワーク情報セキュリティマネージャー(NISM)は、サイバー攻撃やハッカーの脅威に対処できる情報セキュリティのスペシャリストの育成を目的とした資格制度。企業内で情報システムを担当している方やネットワークを構築・運用する技術者の方は、キャリアアップに備えてぜひ取得しておきたい資格です。
未経験からセキュリティエンジニアになるには?
不正アクセスや情報漏洩などのセキュリティ事故を防ぐために欠かせない存在であることから、近年、幅広い業界でセキュリティエンジニアの需要が高まっています。しかし、セキュリティエンジニアには、さまざまなIT分野に関する知識が必要とされるため、エンジニア未経験ではかなり難しいのが実状です。
では、未経験からセキュリティエンジニアになるには、どうしたらいいのでしょうか?
学校(大学・専門学校)で学ぶ
学校(大学・専門学校)では、広範囲にわたるIT関連知識が体系的に学べます。その後、学んだ知識を対外的にも証明できる資格を取得しておけば、セキュリティエンジニアへの道が開きやすくなるはずです。また、なかには就職支援付きのプログラミングスクールなどもありますので、こういった場で学べば、未経験でもセキュリティエンジニアになれる可能性は高くなるといえます。
書籍で学ぶ
セキュリティエンジニアに関しては、さまざまな書籍が販売されています。いつでもどこでも手軽に勉強が始められるのが書籍の魅力です。まずは気になる本から読んでみるのも一つの手でしょう。
書籍はレベル別に「セキュリティエンジニアとは」といった入門者向けのものや、実際に手を動かしながら学べるもの、さらに現場のエンジニアも愛用するレベルの専門書などがあります。
ただし、未経験者が書籍を読むだけでは、いきなりセキュリティエンジニアとして現場で活躍するのは難しいかもしれません。まずはエンジニアとして経験を積むのと並行して、キャリアアップ準備のために取り入れるのが有効でしょう。
エンジニアとしてのキャリアを積む
未経験でいきなりセキュリティエンジニアになるのはかなり難易度が高いことから、まずはほかのエンジニア職(システムエンジニアなど)としてのキャリアを積んで、キャリアアップを目指すのも一つの手です。
セキュリティエンジニアはインフラエンジニアの一つですが、他のインフラエンジニアよりも難易度が高い仕事であるため、インフラエンジニアのキャリアアップ先とするのも有効です。この場合、システムエンジニアとして経験を積んだのちにインフラエンジニアに転向、その後セキュリティエンジニアを目指す、という流れになるでしょう。
派遣会社やエージェントを利用するのは?
派遣会社では、随時エンジニア職の人材募集が行なわれています。ただし「派遣なら未経験でも大丈夫かもしれない」と思うかもしれませんが、実際はその逆です。派遣(あるいはエージェント)は即戦力人材を求められることが多いので、むしろ未経験者は厳しいといえます。
したがって未経験からであれば、必要に応じて学校で専門知識を習得し、エンジニア職でキャリアを重ねてから、セキュリティエンジニアを目指すという方法が王道であり、確実といえるでしょう。
まとめ
セキュリティエンジニアは求められる知識やスキルの範囲も広く、重圧やプレッシャーを感じがちという大変な仕事です。
しかしその仕事で守られるのは企業の利益だけでなく、「情報」という社会全体にとって大切な資産であるため、課題解決したときに得られるやりがいも大きいといえます。特に責任感や社会貢献への意欲がある方にとっては天職となるかもしれません。
セキュリティエンジニアになるにはいくつかのルートがありますが、エンジニアとして経験を積んだあとにキャリアアップするのが一般的な方法といえます。そのためにも、専門の学校で学んだり、おすすめの資格を取得したりといった形で、地道に知識を身に付けていきましょう。