セキュリティエンジニアとは、情報セキュリティインシデントやサイバー攻撃から企業や政府、自治体などの情報資産を守る職種です。
いまや企業の経営資源は「ヒト・モノ・カネ」に「情報」が加えられ、情報は守るべき価値あるリソースとして認識されています。社会にITが浸透するにつれ、機密情報や個人情報のやり取りはより活発化しています。そんな背景からも情報セキュリティ対策の重要性は増し、セキュリティエンジニアの活躍の場は拡大しています。
この記事では、セキュリティエンジニアの需要や将来性、仕事内容、年収を紹介します。
1. 公的データを基に考察するセキュリティエンジニアの需要と将来性
IPAが発表した「2019年度組込み/IoT産業の動向把握等に関する調査」(※1)において、システムの要件の変化で「当てはまる」の回答が最も多かったのが「セキュリティ/プライバシー保護の強化」でした。情報漏えいやサイバー攻撃などIT上の脅威にさらされる企業においては、ITのセキュリティを重要視しており、セキュリティエンジニアの需要に繋がっています。
※1 独立行政法人情報処理推進機構(IPA)「2019年度組込み/IoT産業の動向把握等に関する調査」(2021年1月18日アクセス)
セキュリティエンジニアの希少価値が高まる理由
セキュリティエンジニアは、以下の2つの理由から今後希少価値が高まる職種として注目されています。その理由とは「情報セキュリティインシデントやサイバー攻撃の一般化」と「情報セキュリティ人材の不足」です。
手口が巧妙・複雑化するインシデント
1990年代後半からインターネットの普及は加速し、ITは企業や個人にとってなくてはならない技術となりました。その普及と同時に、情報セキュリティに関する事件も珍しくなくなりました。ITの利用者のリテラシーの向上や対策情報の拡散により、各種のサイバー犯罪は年々手口が巧妙化し、インシデントの発生件数も微増傾向が続いています。
IPAの「情報セキュリティ白書2020」(※2)によれば、国内で報道のあった情報セキュリティインシンデント発生件数は、2018年度の306件から2019年度は418件と前年比4割以上の増加がみられました。また、インシデントの内容としてはフィッシングによる被害件数の増加、新型のコンピュータウイルスEmotetによる脅威、パスワードリスト攻撃によるサイバーアクセス、標的型攻撃とランサムウェアによる企業脅迫、だましの手口に新型コロナウイルスを口実としたメールの出現などが新たなインシデントとして挙がっています。
新型コロナウイルスによる外出自粛、それに伴いテレワークの導入が進められましたが、デジタルデバイスの利用に不慣れな利用者も多く、インシデントの増加の一因となりました。情報セキュリティインシデントは手口の巧妙化と多様化が進んでおり、ITリテラシーの向上を含めた情報セキュリティマネジメントの必要性がより高まっています。
※2 独立行政法人情報処理推進機構(IPA)「情報セキュリティ白書2020」(2021年1月18日アクセス)
情報セキュリティ人材の不足
平成28年に発表された経済産業省の「IT人材の最新動向と将来推計に関する調査結果」(※3)では、2020年時点で情報セキュリティ人材が19万人強不足するという予測が示されています。
また、ITの中でも特に市場拡大が見込まれる分野のひとつに情報セキュリティが挙げられており、慢性的な人材不足が続く可能性は高いといえるでしょう。セキュリティ人材の中でも重要な役割を担うセキュリティエンジニアは、特に需要が高く、希少価値の高い職種のひとつになると考えられます。
※3 経済産業省「IT人材の最新動向と将来推計に関する調査結果」(2021年1月18日アクセス)
2. 将来セキュリティエンジニアの活躍が見込まれる分野
業種や業界に関わらず、企業にとってIT化、デジタル化の推進とDXの実現は重要な課題です。そんなIT技術の利用において、必ず対応しなければならないのがセキュリティ対策であり、セキュリティエンジニアが不要な企業はないともいえる状況です。その中でも、特に活躍が見込まれる分野について記載します。
ITサービス・ソフトウェア
ITサービス・ソフトウェア業界においては、情報システムやソフトウェア、アプリケーションの設計、構築に向けたセキュリティ観点の対策が必須となるため、セキュリティエンジニアは重要視される職種です。
また、セキュリティソフトウェアの開発においてもセキュリティエンジニアが必要となります。さらには、顧客に対するコンサルティング、ソリューションの提案といった上流工程でもセキュリティエンジニアによるセキュリティマネジメントが活かされます。
ECサイト(小売・販売)
ECサイトにてBtoCのチャネルを利用している場合は、電子商取引におけるセキュリティが重要な課題です。電子マネーや各種のキャッシュレスなどの適用、顧客個人情報の保護といったシーンでセキュリティエンジニアの活躍が見込めます。
メーカー(家電・機械)
家電、機械メーカーにもセキュリティエンジニアの活躍の場はあります。今後、家電や機械はインターネットに接続されて利用されるIoT技術のさらなる普及が見込まれています。利便性を高め、新たな価値を製品に付与する技術として期待されていますが、常時インターネットに接続されているということは、サイバー犯罪の脅威にさらされ続けているということでもあります。このため、セキュリティエンジニアによるセキュリティ対策が必要とされます。
フィンテック(金融)
金融や銀行、保険業などのフィンテック関連でも、セキュリティエンジニアの活躍シーンが見込めます。フィンテックでは個人や企業の機密性の高い情報をインターネット経由で扱うため、セキュリティ面が重要視されているのです。
官公庁、一般企業
官公庁や一般企業においても個人情報やビジネス上の機密情報の取り扱いがあれば、今後、セキュリティ対策がより重要な意味を持ちます。ビジネス上の機密情報の取り扱いのための仕組みづくり、社員の情報セキュリティ能力の向上などの情報セキュリティマネジメントができる人材が活躍する場の一つです。
さらには、新型コロナウイルスの流行が契機となりテレワーク環境の重要性が向上しました。テレワークも含めた環境を構築、管理できるセキュリティ人材は重要性を増しています。
3. セキュリティエンジニアとして活躍し続けるために必要なスキル
セキュリティエンジニアにはセキュリティ技術に対する知識、活用スキルが必須です。また、情報セキュリティマネジメント技法、分析によって、企業や組織のセキュリティ体制の構築、構成する人員のセキュリティスキルを向上させる能力も必要となります。
経済産業省ではIT人材の育成において、セキュリティ対策のための知識、技能を持つエンジニアに向けて「情報処理安全確保支援士」の登録制度を取っています。(※4)基本情報技術者試験と同様にIPA情報処理推進機構により試験は運営されており、情報システムのセキュリティ対策と情報セキュリティマネジメントのスキルを示せる資格となっているため、セキュリティエンジニアにとって有用です。
さらなる高いスキルを示す資格として「情報セキュリティスペシャリスト試験」という試験もあり、こちらは情報セキュリティの専門家として活躍できる能力を示す資格となります。
セキュリティエンジニアの扱うセキュリティ技術等の情報においては、最新性も重要視される要素です。先端情報のリサーチ、キャッチアップを常日頃から行うことも、活躍し続けるためには必要な取り組みです。(※5)
※4 経済産業省「IT人材の育成」(2021年1月18日アクセス)
※5 経済産業省「情報セキュリティ分野の人材ニーズについて」(2021年1月18日アクセス)
4. セキュリティエンジニアの年収例
セキュリティエンジニアの業務と年収の事例をご紹介します。
社内へのセキュリティ製品の導入、運用保守
【業界】
◆IT・通信/サービス
【業務内容】
-
・セキュリティ製品の導入、保守、運用
・SSL証明書、ドメイン管理
・テキストテキストテキスト
・セキュリティインシデントの調査、対応
・新たなセキュリティーソリューションのキャッチアップ、検証
【求められるスキル・経験】
-
・Windows/Linuxを使った業務経験1年以上
・MS-Officeでのドキュメント作成
・LinuCレベル1相当の知識
【想定年収】
◆300~550万円
上流工程から参画するセキュリティコンサルタント
【業界】
◆IT・通信/サービス(スマートフォン、Webアプリ開発)
【業務内容】
-
・アプリケーション開発の企画や設計段階におけるセキュリティに関するコンサルティング
・アプリケーションやWebサイトの脆弱性診断(セキュリティリスクアセスメント)と対応
・アプリケーションリリース後の不正検知、抑止などの顧客コンサルティングや支援
【求められるスキル・経験】
■下記のうち一つ以上の実務経験
-
・大規模システムでの設計、開発およびセキュリティ改善のためのソースレビュー実施
・Web、IoT、モバイルのセキュリティ脆弱性診断
・大量のログ解析を伴うトラブルシューティング
■マインドスキル
-
・自発的な行動
・コミュニケーションスキル
・最新のセキュリティ技術についてキャッチアップを続けられる
【想定年収】
◆450~800万円
5. セキュリティエンジニアのキャリアパス
セキュリティエンジニアが年収アップを図るために目指したいキャリアパスとして、以下の4つをご紹介します。
セキュリティアナリスト
セキュリティアナリストは顧客のシステムを膨大なログなどを分析することによって監視し、インシデントやトラブル発生時にはその攻撃手法や攻撃元などの分析を行うことが主な業務です。セキュリティ技術に深い造詣を持ち、サイバー攻撃や不正アクセスへの対策を行った経験を活かして、有事には迅速な対応が求められる高度なセキュリティエンジニアといえる職種です。
セキュリティコンサルタント
クライアントとなる企業に対し、情報セキュリティの専門家としての立場から提案、助言、支援を行うのがセキュリティコンサルタントの仕事です。多くの企業はセキュリティの専門家が不在のため、十分なセキュリティ対策が講じられていない、脆弱性への対処が漏れているといった場合もあります。
セキュリティコンサルタントは顧客のセキュリティ上の課題を抽出し、対策の提案、実現へのサポートを行うことが主業務です。これは、セキュリティエンジニアとして行ってきた業務の上流工程にあたる職種といえます。顧客の問題を抽出し、実現したい内容を引き出すためにコミュニケーションスキルも必要となります。
セキュリティアーキテクト
セキュリティアーキテクトはシステム、ソフトウェア、アプリケーションの開発におけるセキュリティ面での基本方針の策定、設計を行うことが主たる業務です。サイバー攻撃に強く、脆弱性の少ないソフトウェア製品を作り上げるために、全体を通したセキュリティ品質を確保できるスキルが必要な職種です。
また、組織におけるセキュリティ対策の基本方針や体制づくり、経営戦略における情報セキュリティの指針などセキュリティを高める仕組みづくりなどのセキュリティマネジメントも、セキュリティアーキテクトの業務の対象となります。ソフトウェア構築においても、セキュリティマネジメントにおいても、全体を通してのセキュリティへの方針を立てて、漏れなく適用し、隙の無い仕組みを作りあげるセキュリティエンジニアを統括するポジションです。
セキュリティマネジメント担当者
企業における情報システム部門担当者などのポジションで、セキュリティ面での組織の統率を図ることがセキュリティマネジメント担当者の業務となります。セキュリティ対策の調査、手順の展開、セキュリティに関する意識の浸透など、現場レベルでのセキュリティ向上策を実施します。
セキュリティエンジニアとしてのセキュリティ技術へのスキル、セキュリティマネジメントのスキル、現場とのコミュニケーション能力が必要となる職種です。
ITエンジニア・Webクリエイターの転職ならレバテックキャリア
レバテックキャリアはIT・Web業界のエンジニア・クリエイターを専門とする転職エージェントです。最新の技術情報や業界動向に精通したキャリアアドバイザーが、年収・技術志向・今後のキャリアパス・ワークライフバランスなど、一人ひとりの希望に寄り添いながら転職活動をサポートします。一般公開されていない大手企業や優良企業の非公開求人も多数保有していますので、まずは一度カウンセリングにお越しください。
転職支援サービスに申し込む
また、「初めての転職で、何から始めていいかわからない」「まだ転職するかどうか迷っている」など、転職活動に何らかの不安を抱えている方には、無料の個別相談会も実施しています。キャリアアドバイザーが一対一で、これからのあなたのキャリアを一緒に考えます。お気軽にご相談ください。
「個別相談会」に申し込む