セキュリティエンジニアは情報セキュリティの専門家
セキュリティエンジニアは情報セキュリティの専門家です。設計やプログラミングを行うという点では他のITエンジニアと同様ですが、すべてセキュリティに関連しているという点が特殊です。
セキュリティエンジニアの仕事内容
セキュリティエンジニアの仕事の工程を紹介します。工程自体は、他のエンジニアと概ね同じです。
-
・要件定義
・設計
・開発
・テスト
・運用保守
上記のような流れで仕事が進みます。まず最初に顧客からのヒアリングや提案を行います。この工程は要件定義と呼ばれ、セキュリティ以外の開発案件などでも同じです。次に要件定義に基づいて設計を行います。
セキュリティエンジニアの場合、セキュリティを強化するためのシステム設計ということです。設計が完了したら実際に開発します。セキュリティエンジニアは物理的な機器、プログラミング、OS設定など開発の幅が広いです。
テストから運用保守の流れは、ソフトウェアエンジニアやインフラエンジニアとだいたい同じです。脆弱性などをテストし、リリース後には定期的なアップデートやトラブル発生時の対応などを行います。
資格を取得することで得られるメリット
セキュリティエンジニアとして業務に従事するためには、必ずしも特定の資格を保有していなければならないといったルールはありません。しかし、これからセキュリティエンジニアを目指す方、現在セキュリティエンジニアとして業務に従事している多くの方が、資格の取得に励んでいます。なぜ多くのエンジニアが資格を取得するのか、その理由やメリットについて紹介しましょう。
スキルの証明ができる
もっとも大きな理由としては、自身のスキルを客観的に証明できるためです。たとえばセキュリティエンジニアとして就職や転職をする場合、「セキュリティに関する知識やスキルがあります」といっても、第三者から見れば本当なのか信頼することができません。
また、スキルがあるといってもどの程度のレベルなのか、本人が説明することも難しいものです。しかし、セキュリティ関連の資格を保有していれば、客観的にその事実を証明できます。
自分の知識量を測ることができる
実務経験を積んでいくと、それに合わせて自身の知識やスキルも向上しますが、客観的に自身がどの程度の知識量を身につけたのか分かりにくいこともあります。特に未経験から業務に従事し、特定の資格などにも挑戦したことがない場合、セキュリティ関連業務の全体像がつかめず、自分自身がどの位置にいるのかも把握できません。
しかし、資格に挑戦することによって、自分自身に蓄積された知識量を可視化・把握でき、セキュリティエンジニアとしてどの程度のレベルにあるのかを把握することにつながります。
セキュリティエンジニアの知識の習得に役立つおすすめの資格
セキュリティエンジニアとして資格取得に挑戦することはさまざまなメリットがあることが分かりましたが、実際にどのような資格を取得すれば良いのでしょうか。
一口にセキュリティエンジニア向けの資格といってもさまざまな種類があるため、今回は「全般的なセキュリティスキルが身につく資格」と「特定領域に特化した資格」の2パターンに分けて紹介しましょう。
全般的なセキュリティスキルが身につく資格
まずは、全般的なセキュリティスキルが身につく資格から紹介します。これからセキュリティエンジニアとして仕事に従事したい方や、セキュリティエンジニアとしての仕事の幅を広げたい方にとっては最適な資格といえるでしょう。今回は5つの資格を例に紹介します。
CompTIA Secuirity+
・概要/所要時間
CompTIA Secuirity+は、ITSSのレベル2相当のスキルを問われる資格で、セキュリティに関連するネットワークエンジニアや情報セキュリティに携わる技術者の受験が想定されています。合格率は非公開ですが、レベル2ですので難易度はそこまで高くありません。実務経験が少なくても、認定教材を使った学習で十分合格を目指せるでしょう。
試験時間は90分で、最大90問が出題されます。
・問題形式
単一または複数選択方式の問題と、パフォーマンスベーステストとよばれるPC上に表示されるシミュレーション環境を使った形式の問題が出題されます。
・学習方法
認定資格別教材として提供されている、e-ラーニング、書籍、通信講座といった学習方法が効果的です。認定資格教材はCompTIAのWebサイトから検索できます。
情報セキュリティマネジメント試験
・概要/所要時間
情報セキュリティマネジメント試験は情報処理推進機構(IPA)が認定する国家資格の1つで、情報システムを安全に活用するために、情報セキュリティを確保し維持・改善する人を対象としています。ITSSのレベル2のスキルレベルであり、取得すると情報システムの利用部門において情報セキュリティを維持・改善できる人材として評価されます。
試験は毎年2回上期(4月〜6月)と下期(10月〜12月)で実施され、2022年上期の合格率は61.2%となっています。試験時間は以下の通りです。
午前:90分
午後:90分
・問題形式
午前・午後問題の出題形式は以下の通りです。
午前:四肢択一 50問
午後:多岐選択式 3問
・学習方法
参考書で試験範囲の学習を進め、過去問題や模擬試験を解いていきましょう。独学でも1日2時間で3ヶ月あれば合格できると言われています。
情報処理安全確保支援士
・概要/所要時間
情報処理安全確保支援士も情報処理推進機構(IPA)が認定する国家資格で、情報セキュリティの推進や実装を担当する専門技術者が対象とされています。ITSSのレベル4のスキルレベルであり、取得していると企業のセキュリティリスクを分析・評価し改善策を提言できる人材として高く評価されます。
情報セキュリティの基本概念、ネットワーク、暗号・認証、ハードウェア、情報セキュリティマネジメント、関連法令などを幅広く学ぶことができ、どんな現場でも知識を適用することが可能です。2022年の合格率は19.2%となっています。試験時間は以下の通りです。
午前1:9:30-10:20(50分)
午前2:10:50-11:30(40分)
午後1:12:30-14:00(90分)
午後2:14:30-16:30(120分)
・問題形式
午前・午後問題の出題形式は以下の通りです。
午前1:四肢択一 30問
午前2:四肢択一 25問
午後1:記述式 3問
午後2:記述式 2問
・学習方法
参考書で試験範囲の学習を一通り進めた後は、過去問題や模擬試験、通信講座などを併用しながら学習を進める方が多いようです。
情報セキュリティプロフェッショナル認定資格(CISSP)
情報セキュリティプロフェッショナル認定資格(CISSP)は米国の国際資格であり、非営利団体(ISC)² (International Information Systems Security Certification Consortium)が認定している資格です。世界で150,000名以上、日本では3,500名以上の資格保有者がいます。
外資系企業や監査法人では、情報セキュリティ関連業務従事者は必須条件となっている場合があります。そのため、資格を持っていると外資系企業への転職やキャリアアップに有利です。
試験はCBT方式となっており、都合の良いタイミングで申込を行い、受験できます。試験会場は東京・大阪のいずれかから選択できます。受験費用は749米ドルです。
・試験時間
6時間
・問題形式
四肢択一(日本語、英語併記) 250問
・学習方法
日本語の参考書がほとんどないため、CISSP公式問題集や公式ガイドブック、CBKトレーニングを利用して勉強を進めるとよいでしょう。
公認情報セキュリティマネージャー(CISM)
公認情報セキュリティマネージャー(CISM)は米国のISACA(情報システムコントロール協会)が認定する国際資格資格です。情報セキュリティマネージャーに特化した資格であり、情報セキュリティ戦略の策定やシステムの脆弱性診断、リスク管理、インシデント対応などについて問われます。
外資系企業や監査法人では、情報セキュリティ関連業務従事者は必須条件となっている場合があります。そのため、資格を持っていると外資系企業への転職やキャリアアップに有利です。
試験はCBT方式となっており、申込は米国のISACAサイトから英語で受け付けています。試験は日本語で受験できます。いつでも受験できますが、12か月で4回までという回数制限があります。受験費用は一般受験者が760米ドル、ISACA会員は575米ドルです。
・試験時間
4時間
・問題形式
四肢択一 150問
・学習方法
日本語の参考書がほとんどないため、CISSP公式問題集や公式ガイドブック、CBKトレーニングを利用して勉強を進めるとよいでしょう。
なお、情報セキュリティに関する経験を5年以上、うちセキュリティマネージャーとして3年以上の経験を有しており、試験合格後5年以内に申請をすることで資格が認定されます。
特定領域に特化したセキュリティスキルが身につく資格
次に、セキュリティ関連の中でも特定の領域に特化した資格を紹介します。現在従事している業務で専門性を高めたい方などにとっては有効な資格といえるでしょう。
LinuC レベル3 303(LPI-Japan)
・概要/所要時間
LinuCはサーバーOSとしてシェアの高いLinuxを扱うスキルを証明する資格です。レベル3の303はセキュリティ専門資格で、セキュアなサーバー構築のための実践的なスキルが身に付きます。レベル3の受験にはレベル1、2の取得が前提となっているため、順を追って受験して資格を取得する必要があります。合格率は非公開です。ITSSのレベル3に相当する中級者向け資格です。試験時間は90分で、60問が出題されます。
・問題形式
CBTとよばれるPCを使った試験で、択一式の問題がメインとなります。ただし、一部の問題ではキーボードでコマンドを入力する形式もあります。
・学習方法
一般の書店でも販売されている参考書に沿って試験範囲を網羅した後、問題集に繰り返し挑戦し試験に慣れておくことが重要です。問題集は書籍のほかにも、Webサイト上で公開されているものもあります。
シスコ技術者認定資格(CCNP-Security)
・概要/所要時間
シスコ技術者認定資格(CCNP)はシスコシステムズの認定資格で、CCNAの上位資格にあたるものです。ネットワークセキュリティの設計・実装・運用に携わるエンジニアが想定されており、ネットワーク機器やアプライアンスのセキュリティや、ファイアウォールやVPNなどのソリューションの適切な選択、導入、サポートなどの知識が問われます。ITSSレベル3の資格で、合格率は公開されていません。CCNP Securityを取得するためには、コア試験とコンセントレーション試験の両方に合格する必要があり、コア試験は120分、コンセントレーション試験は90分の試験時間となっています。
・問題形式
CBTとよばれるPCを使った試験で、択一式の問題がメインとなります。ただし、一部の問題ではキーボードでコマンドを入力する形式もあります。
・学習方法
CCNAと同様、参考書と問題集を活用した学習方法に加え、Cisco機器があれば実際にコマンドを打ち込んで動作環境を確認します。もしCiscoの実機環境がない場合には、「GN3」などのシミュレーターを活用する方法がおすすめです。
セキュリティエンジニアに求められるスキル・知識
セキュリティエンジニアに役立つ資格を確認する前に、そもそもセキュリティエンジニアが求められるスキルを把握しましょう。セキュリティエンジニアの資格は、求められるスキルを一通り網羅した内容が試験に出題されます。資格を取得する以外にも業務にも役立つ内容ですので、ぜひ参考にされてください。
サイバーセキュリティに関するスキル・知識
フィッシング詐欺やランサムウェアなど、さまざまな攻撃方法があり、対策方法も異なります。IPAでは「情報セキュリティ10大脅威」(※)として毎年影響が大きかったセキュリティ事案について情報を公開しています。このような情報をチェックし、サイバーセキュリティに関する知識を深めておく必要があります。
また、攻撃方法は年々複雑化しているため、最新のセキュリティ状況についても常にキャッチアップしておくことが大切です。
※IPA「情報セキュリティ10大脅威 2022」
暗号化・技術認証に関するスキル・知識
暗号化・技術認証に関するスキルはセキュリティエンジニアならではのものです。ソフトウェアやインフラ開発のエンジニアもある程度理解している必要がありますが、セキュリティエンジニアほど特化してこれらの技術を作ることはありません。ITだけでなく数学などが必要になるので、難易度は高めです。プログラミングというよりは設計の工程が特に難しめと言えるでしょう。
OSに関するスキル・知識
OSに合わせたセキュリティシステムを導入する必要があるので、OSのスキル・知識が不可欠です。ソフトウェア・インフラエンジニアもOSの設定、操作などを行いますが、セキュリティエンジニアの場合はOSのセキュリティ上の穴や挙動も把握しておく必要があります。単にコマンドを入力して一般的な操作ができれば良いというわけではないので、幅広い知識と理解が重要です。
ネットワークに関するスキル・知識
外部からのネットワーク攻撃を防ぐためには、ネットワークに関する知識が必須です。ファイアウォールやパケットフィルタなどの通信制御を理解し対応することで、第三者からの不正アクセスを防ぐことにもつながります。
昨今では、通信制御やアクセス権限をきちんと設定していなかったために、不正アクセスや情報漏洩などのインシデントが発生した事例もあります。このような事象をなくすためにも、ネットワークに関する知識を深めておきましょう。
プログラミングに関するスキル・知識
サイバー攻撃はネットワークだけでなくプログラム(ソフトウェア)の脆弱性を突いて攻撃するケースもあります。
例えば、プログラミング言語Javaで自社開発したWebアプリケーションにおいて、実行環境であるJava SEで脆弱性が発覚した場合は、その脆弱性を悪用して攻撃を受ける場合もあります。
他にも、SQLインジェクションなどアプリケーションの脆弱性を突いた攻撃もあります。これらを防ぐには、プログラミングに関する知識を深め、アプリケーション開発時に作り込む必要があります。
関連記事:セキュリティエンジニアに求められるプログラミングスキルとは
法律関連に関するスキル・知識
情報セキュリティについては、さまざまなガイドラインや法律があります。例えば、以下があげられます。
-
・サイバーセキュリティ基本法
・著作権法
・電気通信事業法
・不正アクセス行為の禁止等に関する法律
セキュリティエンジニアの業務で知っておくべきなのはもちろんのこと、資格試験でも関連法規について問われます。法関連に関する知識もしっかり身につけておきましょう。
セキュリティエンジニアの仕事および必要なスキルについては、以下の記事でも解説しています。さらに詳しい情報を知りたい方は、以下の記事もあわせて参照ください。
関連記事:
セキュリティエンジニアとは?仕事内容や必要なスキルを解説
セキュリティエンジニアになるには?必要なスキルや知識も紹介
セキュリティエンジニアの資格を取得するための学習方法
セキュリティエンジニアの資格取得のための勉強方法には以下があります。
-
・オンラインサービスを利用する
・スクールに通う
・勉強会・セミナーなどに参加する
書籍での独学などでも資格取得は可能ですが、セキュリティは特に最新の知識が重要です。そのため資格試験の内容もアップデートの頻度が高い傾向にあります。書籍が古いと最新の問題に対応できなくなるため、情報の更新が早い上記のような媒体での学習がおすすめということです。
オンラインサービスを利用する
セキュリティだけでなくIT学習全般、オンラインサービスが充実しています。動画やツールがオンライン上に多数あるので、動画を視聴したり、実際にツールを使ってみると良いです。特にクラウドサービスを扱えば、学習ツールとしても、実際のプロジェクトでのクラウド対応でも二重にメリットがあります。
スクールに通う
プログラミングスクールなどが年々充実してきていることは周知の事実かと思いますが、セキュリティに特化したカリキュラムもあります。スクールに通うと言っても物理的に通うだけでなく、オンラインでの受講が可能です。むしろオンラインが主流で、効率面から考えてもおすすめです。
勉強会・セミナーなどに参加する
セキュリティに関する勉強会やセミナーなどが定期的に開催されています。こういった勉強会に参加することで、知識習得やモチベーションアップにつながるでしょう。スクール同様オンラインで参加できるものも多いため、立地に関係なく、また自宅から手軽に参加できます。
セキュリティエンジニアのやりがい
セキュリティエンジニアのやりがいとして以下が挙げられます。
-
・さまざまな分野で求められ市場価値が高い
・人の役に立っている実感を得やすい
・平均年収が高め
さまざまな分野で求められ市場価値が高い
現在は多くの業界、企業でシステムを導入していて、システムを使用していない企業は皆無は言い過ぎかもしれませんが、少数派ではあるでしょう。そして、システムを導入している企業にとってセキュリティは不可欠です。セキュリティ意識やセキュリティ対策の重要性は今後ますます高まっていくと考えられ、セキュリティエンジニアの市場価値はより向上していくはずです。
人の役に立っている実感を得やすい
セキュリティ事故は誰しも防ぎたいものです。また万が一セキュリティ事故が起こっても、迅速にトラブル対処したいと考えています。つまりセキュリティエンジニアの仕事は、システムの所有者側にもユーザー側にも役立つものです。必要不可欠な分人の役に立っている時間を得やすく、やりがいにつながります。
平均年収が高め
セキュリティエンジニアは責任が大きく、同時に高いスキルも求められます。そのため、他のエンジニアに比べても平均年収は高めです。さらにセキュリティエンジニアとしての経験があればセキュリティコンサルタントなどとしての需要も生まれるので、より年収アップを目指していく選択肢も豊富になります。
セキュリティエンジニアの平均年収
レバテックキャリアの求人では、セキュリティエンジニアの平均年収は700万円程度です。案件によって差がありますが、スキルがあれば1,000万円以上も珍しくありません。他のエンジニアに比べて、1,000万円以上での募集が多い点が目立ちます。
セキュリティエンジニアは将来性がある
ITシステムは今後もより普及し、そして同時にセキュリティの重要性はより高まっていきます。また人々のIT意識が高まれば、セキュリティ事故に対する目がより厳しくなるという事情もあります。セキュリティ事故を起こしてしまうと、サービス利用者が一気に離れてしまい、訴訟問題にもなりうる状況です。
結果的にセキュリティエンジニアは頼りにされる存在で、今後より需要が高まり、将来性のある職種と言えるでしょう。
関連記事:セキュリティエンジニアの将来性は?やめとけと言われる理由
セキュリティエンジニアのキャリアパス
セキュリティエンジニアのキャリアパスとして、以下が挙げられます。
-
・管理者
・セキュリティアナリスト
・セキュリティコンサルタント
・ホワイトハッカー
管理者
セキュリティエンジニアは、特定の企業のセキュリティ管理者になることも可能です。一つの企業に在籍して管理することも、複数の企業に籍を置いて管理者を担当することもできます。また会社員としての管理者だけでなく、フリーランスや経営者としてセキュリティ管理をサービス提供する方法もあります。
セキュリティアナリスト
セキュリティアナリストは、企業のシステムを分析し、脆弱性や対策を判断する専門職種です。多くの企業は自社のシステムにセキュリティ上の問題はないか?セキュリティ事故を起こす心配はないか?といった不安を抱えています。
セキュリティアナリストはこのような不安を事前に払拭する手助けをするということです。セキュリティアナリストが分析した結果をもとに、セキュリティエンジニアなどの職種が実務対応をするという流れになります。
セキュリティコンサルタント
セキュリティコンサルタントは、企業のセキュリティ担当者などからのヒアリングや提案を行う職種です。一部の業務はセキュリティアナリストと重複しますが、セキュリティコンサルタントの方がクライアント企業に近い立場でコミュニケーションが重要視されます。セキュリティコンサルタントがクライアントからヒアリングした内容をもとにセキュリティアナリストが分析を行い、分析結果をもとにセキュリティコンサルタントが提案を行う、といった場合もあります。
ホワイトハッカー
ホワイトハッカーは、攻撃を仕掛けてくるブラックハッカーからシステムを守る職種です。ブラックハッカーの攻撃に迅速に対応して手を動かしていく必要があり、セキュリティエンジニアよりも高いスキルが求められます。セキュリティ技術に特化したキャリアパスと言えるでしょう。
関連記事:セキュリティエンジニアのキャリアパス - 同分野・異分野に分けて解説
セキュリティエンジニアに関するよくある質問
セキュリティエンジニアに関するよくある質問と回答を紹介します。
Q1. セキュリティエンジニアになる方法を教えてください
情報系の専門学校や大学でIT技術を学ぶ、他のエンジニア職種を経て目指す、といった方法があります。ソフトウェアやインフラのエンジニアは未経験募集の案件が比較的多いですが、セキュリティエンジニアに関してはスキルがない状態での就職は困難でしょう。セキュリティエンジニアにとっても、ミスやセキュリティ対策が施せなかった際の責任や影響は非常に大きいからです。
関連記事:
セキュリティエンジニアになるための効果的な勉強方法
セキュリティエンジニアの転職で知っておきたいこと
未経験からセキュリティエンジニアに転職する方法
Q2. セキュリティアナリストとの違いを教えてください
セキュリティエンジニアはセキュリティシステムの設計や構築をメイン業務にしているのに対し、セキュリティアナリストは分析をメイン業務にしています。関係性としては、セキュリティアナリストが分析した結果をもとに、セキュリティエンジニアが設計や構築を進めます。
Q3. セキュリティエンジニアに向いている人の特徴を教えてください
セキュリティエンジニアに向いている人の特徴として、責任感の強さ、作業の緻密さ、技術への関心などの要素が挙げられます。他のエンジニアと比較して特に重要になるのは、責任感の強さでしょう。作業にミスがあったり、対策を施せていなかった場合の影響が他のエンジニアよりも大きいからです。
まとめ
この記事では、セキュリティエンジニアに必要なスキル習得に役立つ資格を解説しました。セキュリティエンジニアは非常に広範なスキルと知識が求められるため、効率的な学習をする必要があります。
各種資格はセキュリティエンジニアになる上で必須ではありませんが、身につけるべきことが体系的にまとめられているため、学習効率やスキル証明の観点から有効です。ぜひ活用してみてください。
ITエンジニアの転職ならレバテックキャリア
レバテックキャリアはIT・Web業界のエンジニア職を専門とする転職エージェントです。最新の技術情報や業界動向に精通したキャリアアドバイザーが、年収・技術志向・今後のキャリアパス・ワークライフバランスなど、一人ひとりの希望に寄り添いながら転職活動をサポートします。一般公開されていない大手企業や優良企業の非公開求人も多数保有していますので、まずは一度カウンセリングでお話してみませんか?(オンラインでも可能です)
転職支援サービスに申し込む
また、「初めての転職で、何から始めていいかわからない」「まだ転職するかどうか迷っている」など、転職活動に何らかの不安を抱えている方には、無料の個別相談会も実施しています。キャリアアドバイザーが一対一で、これからのあなたのキャリアを一緒に考えます。お気軽にご相談ください。
「個別相談会」に申し込む
レバテックキャリアのサービスについて
