セキュリティエンジニアの特徴
転職をする際には、まず希望職種の特徴を理解することが重要となります。セキュリティエンジニアはどんな仕事の内容や特徴があるのかをまとめました。
セキュリティエンジニアを希望している方は、参考にしてください。
提案から運用まで多岐にわたる
セキュリティエンジニアはその名の通り、情報セキュリティに対して深い見識を持っているエンジニアのことです。セキュリティ対策を考えたシステムの企画・提案・運用など、多岐にわたる業務を抱えています。
- 企画から提案:セキュリティ対策を見極め決める
- 設計:システムだけではなくネットワーク管理まで考える
- 実装:セキュアな環境やソースコードを構築していく
- テスト:脆弱性の検査を行い対策が行われているか確認する
- 運用から保守:システム障害や稼働率を高める業務を行う
上記の業務をこなすことがセキュリティエンジニアに課された主な役割です。
サイバー攻撃脅威の増加等により人材不足
セキュリティ関連の人材に関して、経済産業省所管の「情報処理推進機構(IPA)」は「サイバーセキュリティ体制構築・人材確保の手引き」をまとめています。この中からセキュリティ人材の現状に関して「CISO(最高情報セキュリティ責任者)等やセキュリティ対策推進に関する実態調査」の結果をピックアップして紹介します。
調査によると、日本企業における専任のCISO設置状況は7.5%にとどまっています。また、CSIRTに専任メンバーを1人以上配置している企業は31.1%です。
新たな脅威・攻撃手法など、巧妙化していくサイバー攻撃に対して、対策人材の不足は深刻な問題です。セキュリティ人材のリソース確保だけではなく、より高い専門性を身につけた人材の新規開拓も必要となってきています。
出典:サイバーセキュリティ体制構築・人材確保の手引き|経済産業省
セキュリティエンジニアになるには
セキュリティエンジニアをこれから目指す場合は何をどうすればいいのでしょうか。実際にスタートするための方法は、年齢や境遇によって人それぞれです。詳細を確認していきましょう。
IT関連の仕事からキャリアチェンジが多い
セキュリティエンジニアの仕事は未経験から始めるのは困難とされています。これはセキュリティ対策を施すサーバーやネットワークに関する知識が不足していることが理由です。
実績がないエンジニアでは、実物のセキュリティを強固にするというのは難しいと言わざるを得ません。また、実績と合わせて資格を取得することで客観的な能力を示すことも大切です。
経験としては3年ほどの期間が必要と考えられています。そのため、IT関連の仕事についてから、実績を身につけてキャリアチェンジすることを目標に行動するのがおすすめです。
インフラエンジニアからなるケースが多い
セキュリティエンジニアを目指す場合、まずはインフラエンジニアとして経験を積む良いともいわれます。
インフラエンジニアはサーバーの取り扱いをはじめ、ネットワークやセキュリティ製品に触れる頻度が多いエンジニアです。そのため、セキュリティエンジニアになるための基礎的な知識や技術の習得に役立てることができます。
また、設計工程を担当することもインフラエンジニアの特徴です。全体を通して、システムの開発からセキュリティまで理解することが可能となっています。
そのためインフラエンジニアを経験することで、セキュリティエンジニアにグッと近づくといえます。
セキュリティエンジニアの転職に必要な学習
セキュリティエンジニアに転職するに当たって、必要な学習内容を理解は大切です。目指しているエンジニアごとに、必要な知識がありますので、普段の学習の中で、必要な知識を意識してインプットしておきましょう。
セキュアプログラミング技法は必須
セキュアプログラミングを知らないエンジニアが書くプログラムは、脆弱性の温床です。セキュリティエンジニアは脆弱性を理解して、プログラミング以前から問題を視野に入れて設計する必要があります。
そのため、脆弱性に強いセキュアプログラミング技法に精通していなければなりません。それ以外にも、コーディング規約や製品テストで安全性を保つことも役割の一つです。
つまり、セキュアプログラミングに関する知識のインプットと、実践的なテストを行うことは欠かせません。セキュリティエンジニアになる場合は、何が脆弱性になり得るかを理解する知識が重要です。
法律に関する知識も必要
IT関連の法律は日々立法・改正が行われています。そのためセキュリティエンジニアは法律に関しても理解を深めなければなりません。
- 不正アクセス禁止法:平成11年法律第128号(法令番号)
- 電子署名法:平成12年法律第102号(法令番号)
- 個人情報保護法:平成15年法律第57号(法令番号)
上記の法律は近年でも改正が行われており、個人情報保護法は、2016年にも改正が行われています。セキュリティエンジニアは法律に対応したセキュアなシステムを作成しなければなりません。
他人のIDとパスワードでアクセスされることは、不正アクセス禁止法に関わります。どのような設計にするか、法律の理解が不可欠となります。
セキュリティエンジニアのアピールできる資格
実績や経験が、エンジニアにとって必要なことはもちろんです。しかし、客観的にスキルがあることを証明しなければなりません。資格取得の意味と、どんな資格があるのか確認しましょう。
スキルの証明になる
セキュリティエンジニアは日々セキュリティ対策を練ること、脆弱性の対処を行うこと、クラッキング対応などを担う職種です。
例えばインフラエンジニアからセキュリティエンジニアに転職する場合に、どれだけセキュリティに詳しいのか客観的に説明しなければなりません。
「インフラエンジニアを経験しセキュリティ知識がついた」というのは経験として大切ですが、客観性がありません。
そのため、セキュリティエンジニアは資格取得を積極的に行うことで、客観的にも経験的にも優れたエンジニアであることを証明するのがおすすめです。
どんな資格がおすすめ?
セキュリティに関する資格はさまざまあります。未経験からセキュリティエンジニアを目指す場合には、シスコ技術者認定の資格を取得するのがおすすめです。
理由としては資格の難易度が5段階に分かれていることです。エントリー、アソシエイト、プロフェッショナル、エキスパート、アーキテクトとなっており、実践的な資格として非常に有効であるといえます。
また、その他の資格に、IPAの情報処理安全確保支援士が存在しており、サイバーセキュリティを推進する人材として取得できる国家資格に分類されています。
最新情報をチェックする習慣を
サイバー攻撃の手法は年々巧妙化しています。過去の対策はもちろんですが、現在の攻撃手法も常に理解しなければなりません。
セキュリティエンジニアとして活躍するために、最新の情報に触れることを習慣化しましょう。
サイバー攻撃の傾向を把握する
セキュリティの最新情報を提供するサイトとしては、脆弱性に関する情報とその対策について提供するJVN(Japan Vulnerability Note)が有名です。。
IPAも関連しており、国内製品の脆弱性情報だけでなく、米国や英国から提供される脆弱性の情報がデータベースとなって公開されているのです。情報は日々更新されているため、最近のサイバー攻撃の傾向もつかむことができます。
また、JVNだけではなく、IPAではテレワークなどの業務に合わせた、セキュリティに関する情報も発信しています。状況に合わせて情報を収集しましょう。
面接の受け答えにも取り入れる
セキュリティエンジニアへ転職する場合に、よくある質問として挙げられるのが「最近のセキュリティに関する話題」です。
IPAが公表した「情報セキュリティ10大脅威 2020」では、近年までランクインしてこなかった脅威である「スマホ決済による不正利用」が首位となりました。
また、いまもフィッシングによる個人情報の流出やクレジットカード情報の不正利用は脅威として上位に存在しています。これらの知識を蓄え、対策や解釈をしておくことで面接での受け答えがスムーズになり、セキュリティに関する関心が高いと評価される可能性が高くなります。
セキュリティエンジニアへの転職
注意したいのが、転職時にはセキュリティエンジニアというくくりで探してしまうことです。詳細について説明します。
転職先の探し方
「セキュリティエンジニア」という単一の職種で絞ってしまうと機会損失が発生する恐れがあります。これはインフラエンジニアとネットワークエンジニアの中で、特にセキュリティに対しての知見が深い人を、セキュリティエンジニアと呼ぶためです。
そのため、セキュリティエンジニアとして、転職先を探す場合に注意するべきことは、どのようなエンジニアでありたいのかビジョンをしっかりと持つという点です。
インフラやネットワークのセキュリティに強い存在になりたいのか、プログラマーとしてセキュアなプログラムが書きたいのか、セキュリティマネジメントが行いたいのか、ということです。
まずはセキュティエンジニアとしての将来像を固めることから始めていきましょう。
インフラ、金融業界など引く手あまた
セキュリティの技術を客観的に証明できる人材が必要とされている業界は、インフラや金融業界などです。もちろん機密情報を扱う商社系の企業や、官公庁なども対象となっています。
金融業界で例を挙げると、ネットバンキングなど、サイバー攻撃の対象になりやすく不正アクセスが後を絶ちません。
このような業界ではセキュリティに対して強いエンジニアが重宝されます。もちろんインフラについても、停止してしまうことを避けるため、高度なセキュリティが要求されます。
そのため、より高いセキュリティレベルが要求される業界では引くてあまたといえます。
フォレンジック担当の募集も
フォレンジック担当と聞いてもどのような担当か正確に答えられる人はそれほど多くありません。フォレンジックとは「犯罪の法的証拠を見つけるための調査」のことです。
フォレンジック担当というのは、例えばマルウェアによるサイバー攻撃によって破壊されたコンピューターに対して何が起こったのかを調査する担当者のことです。
ハードディスクからの情報復元やレジストリと呼ばれるOSの設定情報が書かれているデータベースからの情報取得などを行い、問題が発生した理由を特定するのもフォレンジック担当の仕事となります。
セキュリティエンジニアの仕事とは幅広く、サイバー攻撃によって受けた被害の調査を専門的に扱うことも業務の選択肢となりえます。
まとめ
セキュリティエンジニアの特徴や未経験の注意点や必要なスキルについて紹介してきました。セキュリティエンジニアは常にセキュリティの最新情報をキャッチアップしておく必要がある、責任重大な職種です。
まずは業界についての理解を深め、業種について把握した上で、エンジニアへの道のりを進んではいかがでしょうか。