セキュリティエンジニアの仕事に「興味がある」「転職を考えている」というエンジニアの皆さんに、仕事内容、働き方、仕事の魅力、適性、キャリアパス、転職市場でのニーズなどについて、リクルートエージェントのキャリアアドバイザーがお伝えします。
目次
セキュリティエンジニアとはどんな仕事?
セキュリティエンジニアは、セキュリティに強いシステムを作るほか、外部からの攻撃に対して常に監視する役割を担います。仕事の内容は幅広く、主には次のような業務があります。
●脆弱性診断:システムに「穴」がないことをチェック、必要に応じて改善策を提示する
●サイバー攻撃対策:攻撃耐性を確認するペネトレーションテスト、サイバー攻撃訓練、標的型攻撃対応訓練を行う
●マルウェア対策:システムに関する新ウイルスの動向を踏まえた対策を講じる
●SOC(Security Operation Center):システム運用上でウイルスの動きを検知・監視する
●CSIRT(Computer Security Incident Response Team):障害が発生したときに対応する
●フォレンジック:外部から侵入された際、何が起きていたかを解析する
●セキュアコーディング:侵入されないシステムをプログラミングする
どんな企業で活躍している?
活躍の場は、「セキュリティベンダー」と呼ばれる企業に属しているケースが多く、自社のセキュリティ製品を導入している企業に対し、運用サービスを提供しています。その他にセキュリティエンジニアが活躍できる企業としては、SIer(システムインテグレーター)、ITベンダー、インターネット企業、コンサルティングファーム、事業会社のシステム部門などがあります。
●SIer・ITベンダー・インターネット企業──システム開発の過程でセキュリティ環境の構築を担います。インターネット企業は、個人情報を多く保有していることから外部からの侵入・攻撃を受けやすいため、ハイレベルなセキュリティエンジニアが防御策に取り組んでいます。
●コンサルティングファーム──企業のセキュリティに対し、システムの評価やリスクに備える根本的な対策のセキュリティコンサルティングを行います。
●事業会社のシステム部門──自社システムのファイアウォールの運用やセキュリティ整備を担います。企業によっては、通常の開発業務と兼務でセキュリティ業務を担当するエンジニアも多いようです。
セキュリティエンジニアのやりがいは?どんな人が向いている?
自社や顧客の日々増加するセキュリティリスクから企業を守ることをミッションとするセキュリティエンジニア。事前にシステムの問題点をチェック・強化することで被害を防いだり、サイバー攻撃を防いで安全な社会をつくることにやりがいを感じる人が多いようです。ですから、「社会に貢献したい」「課題を解決したい」といった志向の人に向いています。「正義感」「倫理観」なども欠かせない要素です。
マネジメント志向よりも、「セキュリティ技術を極めたい」というスペシャリスト志向の人が多いのも特徴の一つ。システムを攻撃する側はあらゆる手を使って狙ってきますが、守る側は誰が・どこから・どんな目的で・どんなことを仕掛けてくるか、まったくわかりません。それだけに綿密な情報収集により、最新技術や知識・経験を積み上げていく必要があります。
また、大手自動車メーカーがサイバー攻撃により深刻なダメージを受けた際に、攻撃に使われたウイルスはそのわずか半年ほど前に世界に出てきたものだったという事例もあります。そうしたリスクをはらんだ分野ですから、常に最新の動向をキャッチアップし、先手を打たなければなりません。その点では、「最先端の技術を追い続けていたい」というタイプのエンジニアにも向いているといえます。
そして、これから起こり得ることを想定しながら、さまざまな攻め方を「シミュレーションすることに面白みを感じる」人です。セキュリティエンジニアは、ロールプレイングゲームのようにゴールまでの様々なルートを探るという要素があるため、フィットしていると考えられます。
セキュリティエンジニアの仕事に必要なスキル・資格は?
セキュリティエンジニアの仕事は非常に幅広いため、IT関連の何らかのスキルがあれば、それを活かせるポジションがあります。中でも、最近は「Webアプリケーションエンジニア」のスキルが、セキュリティ分野で求められています。
10年ほど前まで、セキュリティといえば、外部からの侵入を防ぐ対策がメインでした。ネットワークを通じて侵入してくるため、そこに「ファイアウォール」と呼ばれる防御システムを構築するのがセキュリティエンジニアの重要な役割。そこで「ネットワーク」の知識を持つ人が多く採用されていました。
しかし現在では、メールやショートメールを通じて侵入してくるのを完全に防ぐことは難しく、むしろ侵入したウイルスがWebページの改ざんやデータの抜き取りといった悪作用を及ぼすのを防ぐ対策が重要となっています。
これは、ネットワークというよりシステム上の課題。Webページ内に、ウイルスに入り込まれる「穴」がないかどうかをチェックし、対策をとる必要があります。そこで、Webアプリケーションのコーディング知識・スキルが求められているのです。
このほか、「制御・組み込み系ソフト」のスキルを求めるケースも増えています。キーワードは「IoT」。自動車や家電、産業機械など、あらゆるものがネットにつながっていく時代、多様化するデバイスにセキュリティ環境をつくっていく必要があります。
そこで、工業系メーカーなどで制御・組み込みソフトの開発を手がけてきた人も、セキュリティエンジニアとして採用ターゲットとなっているのです。
また、セキュリティ施策について経営サイドと協議する場面では、プレゼンテーション力や調整力なども必要となります。
「資格」に関しては、必須とはされません。ただし、多くのベンダーが若手の育成のため、入門レベルの資格として推奨しているのが「CompTIA Security+」。セキュリティに特化したワールドワイドの認定資格です。
さらに上位の資格としては、情報処理推進機構(IPA)が実施する国家資格「情報処理安全確保支援士」があります。「情報処理安全確保支援士」のレベルを取得していると、豊富な経験を持つ人材としての評価につながります。
セキュリティエンジニアには、どんなキャリアパスがある?
セキュリティエンジニアには典型的なステップアップのパターンがなく、キャリアパスは人それぞれです。特定の専門領域を極めていく人もいれば、経験の幅を広げていく人もいます。
比較的多いのは、「監視・運用」業務から、「設計・構築」の上流工程を経由して、セキュリティ対策の「アドバイザリー」「コンサルティング」にキャリアチェンジするパターン。また、セキュリティベンダーでプロダクトの開発をしていた人が、システム全般を管理するポジションに移るケースもあります。
ベンダーやコンサルティングファームで経験を積んだ後、事業会社に移り、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)に就任する人もいます。
また、セキュリティ対策のキャリアを活かし、ITから少し離れた「入退館管理」のような物理セキュリティ、「ガバナンス」「リスクマネジメント」といった情報セキュリティ領域に転職する人もいます。
2018年の総務省レポートによると 、システムエンジニア94万人のうちセキュリティ関連職はわずか5%(4万8000人)。今後 、49万人が不足すると試算されています。今後ニーズがなくなることはないでしょう。
「AIが進化したら、必要がなくなるのでは」という声もありますが、すでに攻撃側も守る側もAIは活用しており、それでも「人」が最後の砦となっているのが現状です。攻防がなくなる可能性は低いと考えられそうです。
スキルを磨くことで、着実にキャリアアップ、年収アップが叶う領域であるといえます。
セキュリティエンジニアの採用ニーズは?未経験からの転職チャンスはある?
セキュリティエンジニアのニーズは高く、求人は豊富。経験者にとっては、多様な選択肢から選べる状況です。特に、現在は事業会社による求人が多数あります。大手企業がサイバーテロによって苦境に立たされるケースが増えているため、各社、自社内でセキュリティ人材を強化しているのです。
セキュリティベンダーやSIerでは、研修体制を整え、未経験者も受け入れています。Web、ネットワーク、インフラなど、IT関連で何らかの知見・スキルがあれば採用対象となります。
セキュリティの経験が少ない方を対象に開催している勉強会や情報交換会が数多くありますので、そうした場を活用して基礎知識を身に付けておくと、選考に臨んだ際にプラス評価につながるでしょう。
人材不足が深刻な業界だけに、スキルは満たなくても「興味・関心」「意欲」があれば受け入れられる可能性は十分にありそうです。
(2020年7月取材時点)
あわせて読みたい参考記事
* SEの経験を活かす転職、どんな選択肢がある?
* SE・ITエンジニアの「志望動機」の書き方と例文
* 【IT業界編】伝わる「志望動機」の書き方と例文
* 社内SEの「志望動機」の伝え方と例文
