- インフラエンジニアとセキュリティエンジニアの違い
- インフラエンジニアからセキュリティエンジニアに転職する方法
- インフラエンジニアとセキュリティエンジニアに共通するスキル
- セキュリティエンジニアに必要なスキルの習得方法
- セキュリティエンジニアへの転職に役立つ資格
- セキュリティエンジニアに関するよくある質問
- まとめ
インフラエンジニアとセキュリティエンジニアの違い
インフラエンジニアとセキュリティエンジニアの違いは、業務対象の幅です。インフラエンジニアはセキュリティも含めて、サーバーやネットワークを幅広く対象にします。一方で、セキュリティエンジニアはセキュリティに特化しています。
またインフラエンジニアという役職名になっている場合もあれば、インフラエンジニアを細分化し、サーバーエンジニア、ネットワークエンジニア、セキュリティエンジニアなどに分ける場合もあります。区分の詳細はプロジェクトによって異なります。
インフラエンジニアの仕事内容
インフラエンジニアは、主に以下の仕事を担当します。
-
・ハードウェアや電源などの物理的な環境の設計、設定
・Webサーバーやメールサーバーなどの各種サーバーの構築
・サーバーの処理性能、電源容量、回線速度などを考慮したキャパシティ設計および設定
・サーバーのラッキングおよびネットワークの配線
・OSや、データベースなどのミドルウェア、監視ツールなどのインストールと設定
・サーバーやネットワークの監視及び障害対応
・サーバーおよび社内PCのアクセス管理、権限管理
・サーバーやネットワークのセキュリティ対策
このように、サーバーやネットワークの設計・構築・運用を担当します。
ここで、構築したサーバーは外部ネットワークからの攻撃にさらされ、サーバーそのものがダウンしてしまう可能性があるため、十分なセキュリティ対策を実施することが重要です。
関連記事:インフラエンジニアとは?仕事内容や年収、将来性を解説
セキュリティエンジニアの仕事内容
セキュリティエンジニアの仕事内容は、以下の「技術領域」と「コンサルティング領域」の2つに分類できます。コンサルティング領域を中心に活動する場合は「セキュリティコンサルタント」と呼ばれることもあります。
技術領域
-
・既存システムのリスク評価、およびセキュリティ対策の立案
・システム(OS、ネットワーク、サーバー、アプリケーション)に対するファイヤーウォールなどのセキュリティ対策の設計、実装
・実装後の脆弱性診断(ソースコードチェック、疑似攻撃での再現テストなど)
・セキュアプログラミング
・暗号、電子署名の実装
コンサルティング領域
-
・セキュリティポリシー、ガイドライン策定サポート
・セキュリティ監査
・ISMS認証取得支援
・セキュリティーアーキテクチャ策定
このように、インフラエンジニアとセキュリティエンジニアの仕事内容には「ITインフラに対するセキュリティの実装」という共通点があります。さらに、セキュリティエンジニアが技術領域の仕事を遂行するにはハードウェアやネットワーク、ミドルウェアなどを扱うスキルが必要であり、これはインフラエンジニアに求められるスキルと同等です。
そのため、インフラエンジニアからセキュリティエンジニアになるには、セキュアプログラミングやセキュリティアーキテクチャ策定など、習得できていないセキュリティ関連スキルを身につけながらキャリアチェンジを図る必要があります。
なお、セキュリティエンジニアの仕事内容について、より詳しい情報が知りたい人は、次の記事もあわせて御覧ください。
関連記事:セキュリティエンジニアとは?仕事内容や必要なスキルを解説
インフラエンジニアからセキュリティエンジニアに転職する方法
次に、インフラエンジニアからセキュリティエンジニアへ転職する方法を解説します。
インフラエンジニアからセキュリティエンジニアを目指す際の、一般的なキャリアパスは以下のとおりです。
ステップ1:運用・保守メインのインフラエンジニアを目指す
IT業界での経験が浅い場合は、まず運用・保守メインのインフラエンジニアからスタートするのが一般的です。ここでサーバーやネットワークの監視業務や修正対応を行いながら、ITインフラの構築や設定に関するスキルを習得します。
運用・保守を経験していくなかで、外部からの攻撃によってセキュリティインシデントが発生する可能性もあります。その場合リーダーの指示のもと、インシデント対応や追加のセキュリティ対策の実装を経験します。
ステップ2:構築、設定メインのインフラエンジニアへキャリアアップする
運用・保守スキルがあることが証明されると、リーダーなどの指示に従って構築や設定などを任されるようになります。インプットとしてサーバーの設計書やサーバー構築指示書などを渡されるため、実務経験を通して設計に関する知識も習得できるでしょう。
ステップ3:設計を任されるインフラエンジニアへキャリアアップする
構築・設定スキルを習得した後は、徐々にセキュリティを含めたサーバー設計を任されるようになります。また、障害報告や外部からの攻撃を受け、原因究明や抜本的な対策を講じる仕事も舞い込むようになります。これらの仕事を通して、技術領域のセキュリティエンジニアと共通したスキルを身につけることができます。
客観的にスキルを証明するために情報処理安全確保支援士試験などのセキュリティ関連の資格も取得しておくと良いでしょう。
ステップ4:セキュリティエンジニアへキャリアチェンジする
ステップ3までの経験を経ることで、セキュリティエンジニアに最低限求められるスキルや経験を身につけ、セキュリティエンジニアへキャリアチェンジ(転職)することができます。
転職活動では、セキュリティ対策の設計や実装などの実務経験が評価されるため、これらの経験やスキルを中心にアピールすると良いでしょう。保有資格の提示も有効です。
インフラエンジニアの他のキャリアパスや、未経験からインフラエンジニアにチャレンジする場合のキャリアプランについて気になる方は、ぜひ下記記事もお役立てください。
また、インフラエンジニア以外の職種からセキュリティエンジニアへのキャリアパスを知りたい方は、こちらの記事も御覧ください。
関連記事:
インフラエンジニアのキャリアパスは?将来性や役立つやスキルと資格も解説
セキュリティエンジニアのキャリアパス - 同分野・異分野に分けて解説
インフラエンジニアとセキュリティエンジニアに共通するスキル
インフラエンジニアとセキュリティエンジニアは共通するスキルも多いです。インフラエンジニアとして働いている人は、すでに一定のスキルが身に付いているかもしれません。
ネットワークやサーバーの知識
インフラエンジニアもセキュリティエンジニアもネットワークやサーバーの知識が必須です。具体的には、ルーター制御、ファイアーウォール、不正侵入防御システム・検知システム、サーバー設計・構築、などの知識が該当します。インフラエンジニアにもセキュリティの知識が求められ、またセキュリティエンジニアにも当然インフラ全般の知識が求められます。
データベースの知識
インフラエンジニアはデータベースサーバーの設計や構築だけでなく、データベースの設計、構築を行う場合もあります。データベースには企業の重要な情報が入っているため、セキュリティエンジニアにとっては当然必須の知識です。
仮想化の知識
インフラエンジニアは仮想サーバーを設計・構築する機会も増えています。企業が自社サーバーを持たずに仮想サーバーを利用するケースが増えるため、今後はより仮想化の知識が必要になるでしょう。セキュリティエンジニアは仮想サーバーの穴を狙ったサイバー攻撃に対応するため、仮想化の知識は必須です。
セキュリティ、セキュアプログラミング開発の知識・スキル
セキュリティエンジニアには、セキュリティ、セキュアプログラミング開発の知識・スキルが必須です。対象システムのプログラムを分析し、問題箇所を修正する際に必要だからです。インフラエンジニアの場合はプログラミングを行うことは少ないのですが、セキュリティに穴を作るのは当然NGです。インフラ側に穴を作らないことはもちろん、セキュアプログラミングのようにアプリケーション側の知識も持っていた方がより良いです。
セキュリティエンジニアに必要なスキルの習得方法
セキュリティエンジニアに求められるスキルの習得方法を紹介します。
学習サイトで学ぶ
セキュリティ学習のためのコンテンツはオンライン上にも複数存在します。たとえば、IPA(情報処理推進機構)は情報セキュリティ対策についてe-Learning形式で学習できるコンテンツを公開しています。
書籍で学ぶ
『C/C++セキュアプログラミングクックブック』(ジョン ビエガ(著)・マット メシエ(著)・岩田 哲(訳)・光田 秀(訳)、オライリージャパン)
C/C++を土台に、セキュリティを意識したプログラミング方法を解説した書籍です。
『サイバーセキュリティプログラミング 第2版 ―Pythonで学ぶハッカーの思考』(Justin Seitz (著)・青木 一史(訳)・新井 悠(訳)・一瀬 小夜(訳)・岩村 誠(訳)・川古谷 裕平(訳)・星澤 裕二(訳)、オライリージャパン)
近年広まりつつあるPythonを用いたセキュアプログラミングの方法を解説した書籍です。
このほか、セキュリティエンジニアに必要なスキルや、効果的な勉強方法を知りたい人は、以下の記事も参考になりますので、ぜひ御覧ください。
関連記事:
セキュリティエンジニアになるには?必要なスキルや知識も紹介
セキュリティエンジニアになるための効果的な勉強方法
セキュリティエンジニアへの転職に役立つ資格
セキュリティに関するスキルが身についていることを対外的にアピールするには、資格の取得が有効です。ここでは、セキュリティエンジニアへの転職に役立つ資格を紹介します。
CompTIASecurity+認定資格
グローバルなIT企業団体CompTIAが認定する、セキュリティに特化した認定資格です。セキュリティに関する基本的な知識から、技術面、セキュリティマネジメントなど広範囲にわたって出題されます。難易度としては初級~中級程度なので、セキュリティエンジニアを目指す方はこの資格取得から始めるとよいでしょう。
資格には3年という有効期限があるため、定期的に更新が必要です。
【試験概要】
-
・試験日程:随時
・試験時間:90分
・出題形式:単一/複数選択、シミュレーション
・出題数:最大90問
シスコセキュリティ認定
ネットワーク機器大手のCISCO社が主催するセキュリティ関連資格群です。経験年数や役職に応じて4段階の資格が設けられています。
-
・CyberOps Associate…経験0~3年のセキュリティエンジニア
・CyberOps Professional…経験3年以上のセキュリティインシデント対応者
・CCNP Security…経験5~7年のシニアセキュリティエンジニア
・CCIE Security…経験7~10年のセキュリティアーキテクト、エンジニア
ベンダー資格の中でも価値の高い資格ですが、その分難易度も高いのが特徴です。
資格には3年という有効期限があるため、定期的に更新するか、上位資格を取得する必要があります。
【試験概要(CyberOps Associate)】
-
・試験日程:随時
・試験時間:120分
・出題形式:多岐選択式
・出題数:95~105問
情報処理安全確保支援士試験
IPAが主催する国家試験のひとつで、セキュリティに関する技術力を証明する資格です。情報システムの設計・開発・運用において、セキュリティ対策の調査・分析に基づき指導・助言を行う人を対象としています。
情報セキュリティマネジメントだけでなく、セキュリティを考慮したシステム調達方法やセキュリティ設定など技術的な内容が出題されます。
なお、情報処理安全確保支援士試験に合格し、申請を行うことで情報処理安全確保支援士(登録セキスぺ)として認定されます。
【試験概要】
-
・試験日程:年4回
・試験時間:午前Ⅰ50分、午前Ⅱ40分、午後Ⅰ90分、午後Ⅱ120分
・出題形式:午前Ⅰ、Ⅱは多肢選択式、午後Ⅰ、Ⅱは記述式
・出題数:午前Ⅰ30問、午前Ⅱ25問、午後Ⅰ3問、午後Ⅱ2問
情報セキュリティマネジメント試験
同じくIPAが主催する国家試験で、情報セキュリティ管理者の育成を目的とした資格です。情報処理安全確保支援士がセキュリティに関する技術力を証明する資格であるのに対し、情報セキュリティマネジメントはシステムの利用側に立ち、情報セキュリティを維持・改善するための能力を証明する資格です。
リスクマネジメントおよびセキュリティポリシーやガイドラインの策定、情報システム部門のコンプライアンス向上やセキュリティ意識を高める役割を担う人を対象としています。
情報セキュリティの確保および維持・改善のための知識、情報セキュリティマネジメント体制の整備や構築、関連法規などが問われます。
【試験概要】
-
・試験日程:年2回(春期・秋季)
・試験時間:120分
・出題形式:多肢選択式
・出題数:60問
CISSP
CISSPはCertified Information Systems Security Professionalの略です。情報セキュリティに関する国際的な認定資格です。CISSPは筆記試験に合格した後、3年スパンでの再認定(120時間の継続教育の受講が必須)を取得する必要があります。
-
・試験日程:年間10回程度開催(1~3月、6~12月)第3または第4日曜日
・試験時間:6時間
・出題形式:四者択一
・出題数:250問
CCSP
CCSPはCertified Cloud Security Professionalの略です。クラウドサービスを安全に利用するための知識に特化した内容で、国際的なセキュリティ認定資格です。CCSPを取得するためには、ITに関する有給での業務経験が5年以上(そのうち3年以上は情報セキュリティに関する業務経験)などが求められます。
-
・試験日程:不定期
・試験時間:4時間
・出題形式:四者択一
・出題数:150問
セキュリティエンジニアに関するよくある質問
セキュリティエンジニアに関してよくある質問とその回答を紹介します。
Q1. セキュリティエンジニアのやりがいは何ですか?
企業にとって情報システムのセキュリティ対策は重要課題であるため、その課題に取り組むセキュリティエンジニアはやりがいのある仕事です。
外部からの攻撃による情報漏洩やデータの改ざんといったセキュリティインシデントが発生すると、社会からの信用を大きく失うこととなり、企業経営に致命的な影響が出ます。そのため、企業は可能な限りセキュリティ対策を施し、社会からの信頼を維持しなければいけません。
そのため、セキュリティ対策の専門家であるセキュリティエンジニアは市場価値が高く、大きな期待と責任を背負う重要な職種です。
Q2. セキュリティエンジニアは何をするのですか?
セキュリティエンジニアは、主に以下のことを行います。
-
・システム開発におけるセキュリティ対策の設計・実装
・情報システムに対するセキュリティの監査
・セキュリティを維持するためのポリシーやガイドラインの策定
セキュリティエンジニアは、上記のような情報システムに効果的なセキュリティ対策を講じ、社外からのサイバー攻撃や内部からの情報漏洩などのセキュリティインシデントを防ぐ役割を担います。
Q3. インフラエンジニアからセキュリティエンジニアに転職できますか?
インフラエンジニアからセキュリティエンジニアへの転職は可能です。インフラエンジニアもセキュリティ関連のスキルが必要であり、さらにコンサルティング領域など必要なスキルを補うことで、セキュリティエンジニアを目指せます。
仕事内容にもあるように、インフラエンジニアと異なりセキュリティエンジニアはコンサルティングが求められます。そのため、技術的なスキル以外にも顧客に対して説明・助言を行えるコミュニケーションスキルやプレゼンスキルも磨いておきましょう。
まとめ
セキュリティエンジニアにとって、インフラエンジニアとしてのスキルはインフラ側のスキルの土台になります。そのため、インフラエンジニアとしてのキャリアがあればセキュリティエンジニアにキャリアチェンジしやすいということです。
しかし、インフラエンジニアとしてのスキルだけでは、セキュリティエンジニアとしてキャリアを積むのにスキル不足です。特にセキュリティに特化した知識とプログラミングスキルが不足するので、補う必要があります。
セキュリティに関する学習サイトや書籍は充実しているので、企業に応募する前に基本的なスキルは身に付けた方が良いでしょう。
関連記事:
セキュリティエンジニアの将来性は?やめとけと言われる理由
未経験からセキュリティエンジニアに転職する方法
【2023年最新】セキュリティエンジニアの年収や将来性をチェック
ITエンジニアの転職ならレバテックキャリア
レバテックキャリアはIT・Web業界のエンジニア職を専門とする転職エージェントです。最新の技術情報や業界動向に精通しており、現状は転職のご意思がない場合でも、ご相談いただければ客観的な市場価値や市場動向をお伝えし、あなたの「選択肢」を広げるお手伝いをいたします。
「将来に向けた漠然とした不安がある」「特定のエンジニア職に興味がある」など、ご自身のキャリアに何らかの悩みを抱えている方は、ぜひ無料のオンライン個別相談会にお申し込みください。業界知識が豊富なキャリアアドバイザーが、一対一でさまざまなご質問に対応させていただきます。
「個別相談会」に申し込む
転職支援サービスに申し込む
※転職活動を強制することはございません。
レバテックキャリアのサービスについて
