セキュリティコンサルタントは高度情報化社会における「情報の守り手」セキュリティコンサルタントの仕事内容とは?

最終更新日:2020年7月8日

レバテックキャリアは
ITエンジニア・Webクリエイター専門の転職エージェントです

セキュリティコンサルタントは、企業に対してセキュリティサービスを提供する職種です。企業資源の中でも特に重要視される「情報」を守る職種であるため、高度情報化社会において年々その需要が拡大しています。
このような背景から、セキュリティコンサルタントは他のエンジニア職からキャリアアップで目指す人が多い職種です。そのため、情報セキュリティ以外の分野で活躍していた人材でも、転職できる可能性は十分にあるでしょう。ここでは、セキュリティコンサルタントの仕事内容や必須スキル、将来性などについて解説します。

1. セキュリティコンサルタントの仕事内容

まず、セキュリティコンサルタントの仕事内容について解説します。セキュリティコンサルタントの仕事は、求人や企業によって異なるものの、大枠として見れば次のように定義できるでしょう。

戦略立案

現状のセキュリティ体制を整理・分析し、顧客企業が目指すべきセキュリティ体制や、そこに至るまでの計画などの戦略を立案します。このとき、セキュリティコンサルタントには「将来を見据えた戦略」を立案することが求められます。情報セキュリティの分野はトレンドの変化が激しいため、ビジネスの方向性に従ってセキュリティ体制の「あるべき姿」を仮定し、そこから逆算して中長期的な計画を立案していくのです。

したがって、情報セキュリティのみならず、顧客企業のビジネスや業務プロセスに対する理解も求められます。一定以上の経験を積んだミドル~シニアレベルのセキュリティコンサルタントが担当するケースが多いでしょう。

マネジメント支援

顧客企業が求めるセキュリティレベルを維持・管理するための支援業務を行います。具体的な仕事内容としては、「外注先(業務委託先)のセキュリティ管理支援」や、「セキュリティポリシー策定支援」「ISMS認証取得支援」などが含まれます。また、セキュリティ監査を効率的かつ効果的に実施するための計画を策定したり、監査方法の改善ポイントを見つけたりといった業務を担うこともあります。

セキュリティ対策実装、運用体制構築、支援

セキュリティ対策の具体的なルール・手法を決定し、それらをどう運用していくかを定義します。顧客企業の実務に即した具体的なルール・手法を設定するために、技術的な知識が必要となるフェーズです。具体的には、以下の策定や支援、運用サポートを行います。

セキュリティアーキテクチャ策定
顧客企業が求めるセキュリティレベルを確保するため、システムの設計方針や設計思想、フレームワークなどを定義します。顧客企業にセキュリティに関する知識が不足している場合も多く、ヒアリングと提案を数回以上実施しながら策定していきます。

既存システム、アプリケーションのリスク評価、およびセキュリティ対策の立案
現状のシステムやアプリケーションとサイバー攻撃の手法・セキュリティインシデントの内容を照らし合わせ、どの攻撃・インシデントに対してどの程度のリスクがあるかを評価します。このとき、ソースコードチェックや疑似攻撃での再現テストなどを用いた「脆弱性診断」を行うこともあります。

セキュリティ対策の立案・実装・運用サポート
リスク評価や脆弱性診断の結果を受けて、リスク削減に向けたセキュリティ対策(セキュリティ対策ツールの活用、セキュアコーディングの実装、アクセス権限の整理など)を立案し、実装・運用までをサポートします。

2. セキュリティコンサルタントになるための方法

次に、中途入社(転職)を前提として、セキュリティコンサルタントになるための方法について解説します。異分野からセキュリティコンサルタントへ転職するためには、何らかのIT関連業務(開発、運用、保守)に従事した経験を持ち、専門的な知識・スキルを身に着けている状態が望ましいでしょう。実際に、異分野からセキュリティコンサルタントへ転職した人材のキャリアパスを分析すると、転職前にセキュリティ関連業務を経験していることがわかります。

セキュリティコンサルタントを目指しやすい職種

セキュリティコンサルタントへの転職に有利になる傾向のある職種を具体的に紹介します。

事業会社の社内SE
社内情報インフラの企画、導入、構築を主導し、設計や運用計画の策定に携わり、さらにセキュリティポリシー策定業務なども担当した社内SEは豊富なセキュリティ知識を有しています。したがって、セキュリティコンサルタントを目指しやすい職種と言えます。

ファイアウォールソフトの営業職
ファイアウォールソフトの営業活動において、顧客企業に所属するエンジニアへ技術的な強みを含めて提案し、ソフトウェアのインストール・セットアップなどを経験してきた方もセキュリティコンサルタントを目指しやすいでしょう。顧客企業のセキュリティ戦略やセキュリティポリシーを把握した上で提案するため、コンサルティングスキルを有している場合もスキルを活用できます。

インフラエンジニア
インフラエンジニアは、サーバー、ネットワーク、OSなどインフラ部分の設計・構築・運用を一貫して担当する中で、セキュリティ対策も実施します。また、不正アクセスや外部からのサイバー攻撃に対応するためのネットワークセキュリティを整備したり、サーバー・OS内部の脆弱性を検知してパッチを適用したりと、セキュリティに対する技術的な知識・スキルを有しています。したがって、コンサルティングスキルを習得することでセキュリティコンサルタントを目指すことができます。

中途入社でセキュリティコンサルタントを目指す場合は、上述したようなセキュリティに関連する業務を経験した後に、セキュリティコンサルティングサービスを提供する企業へ転職するケースが多いです。

3. セキュリティコンサルタントに求められるスキル・資格

セキュリティコンサルタントには、顧客企業のビジネスを分析し、そこから必要な戦略や対策を考案する能力が求められます。したがって、提案技術的な知識のみならず情報収集や仮説検証、プレゼンテーションスキルなどが必須です。

セキュリティコンサルタントに求められるスキル

セキュリティ製品の情報収集スキル
セキュリティコンサルタントは、既存のセキュリティ対策・ツールを組み合わせて、独自の戦略・対策を立案することもあります。したがって、セキュリティ製品に関する幅広い情報収集スキルが求められます。

仮説構築スキル
セキュリティ対策は「予防」の要素が強い業務です。つまり、今後起こり得る事態を具体的に想定し、仮説として構築する力が必要になります。例えば「サイバー攻撃を仕掛けられた場合の対応策」「被害を最小限にとどめるための対策」などを、ストーリー性を持って提示することができれば、顧客の信頼を得られやすいでしょう。

文章力、プレゼンテーション能力
情報セキュリティは専門性が高い分野です。そのため、顧客企業の担当者が理解しやすいような言葉を選び、分かりやすく説明する文章力・プレゼンテーション能力が必要になります。

その他、実務に必要なスキル
柔軟かつ抜け目のないセキュリティ対策を実装するために、ISMS認証基準に対する理解やセキュリティ対策に関する技術的なスキル(ウイルス対策、ファイアウォール、暗号化、セキュアプログラミングなど)も身に着けておく必要があります。

セキュリティ知識を習得できる資格

ITストラテジスト
IPAが主催する資格の中でも最高難易度に位置するのがITストラテジストです。企業のビジネスモデルや業務プロセスに対して、情報技術を活用した改革・高度化戦略・最適化などを提供する人材をターゲットにしています。セキュリティ対策を含めたIT戦略立案の能力・知識の証明になり得るでしょう。

システム監査技術者
システム監査技術者は、情報システムのガバナンス・マネジメント・コントロールの適切性などを総合的に点検・評価・検証する人材に向けた資格です。セキュリティコンサルタントが担う「リスク評価」や「セキュリティ監査」といった仕事に役立つでしょう。また資格自体の難易度も高いことから、能力・知識の証明にもなります。

CISA(公認情報システム監査人)
情報システムに関するガバナンス・リスク評価、監査などの専門家で構成される国際的団体「ISACA」が主催する資格です。システムよりも監査に関する内容が多く出題されるため、金融・保険・会計の知識が持つ人材であれば取得しやすいでしょう。また、監査スキルを磨きたいエンジニア出身者におすすめです。

GIAC
情報セキュリティ教育を目的とした米国の団体「SANS」が主催する資格です。セキュリティ監査はもとより、侵入検知・インシデント対応・ファイアウォール・OSなど技術的な知識も問われる資格です。

4. セキュリティコンサルタントの将来性

ここでは、セキュリティコンサルタントの将来性を考察します。
経済産業省の資料(※)によれば、サイバーセキュリティ人材は将来にわたって不足が懸念されています。また、サイバーセキュリティの分野は技術の進歩が激しく、企業・組織によって必要とされる対策が異なります。したがって、企業や組織ごとに個別の対策が必要な状態です。また、今後はクラウドやIoTなど新興分野への対応も増えていくでしょう。これらの事情を踏まえると、セキュリティコンサルタントは今後も需要が増えていくと予想されます。そのため、将来性のある職種であると言えるでしょう。

※参照:経済産業省「情報セキュリティ分野の人材ニーズについて」

5. まとめ

サイバー攻撃などによる情報漏洩のリスクが高まっている中で、企業の情報セキュリティが適切に運用されているかを調査し、改善案の提案などを行うセキュリティコンサルタントのニーズは高まっています。セキュリティコンサルタントは他分野から積極的にIT人材を受け入れていることでも知られているため、セキュリティ専門の人材以外でも転職できる可能性があるといえます。転職を検討する際には、スキルの証明につながる資格の活用も検討してみてください。

ITエンジニア・Webクリエイターの転職ならレバテックキャリア

レバテックキャリアはIT・Web業界のエンジニア・クリエイターを専門とする転職エージェントです。最新の技術情報や業界動向に精通したキャリアアドバイザーが、年収・技術志向・今後のキャリアパス・ワークライフバランスなど、一人ひとりの希望に寄り添いながら転職活動をサポートします。一般公開されていない大手企業や優良企業の非公開求人も多数保有していますので、まずは一度カウンセリングにお越しください。

転職支援サービスに申し込む

また、「初めての転職で、何から始めていいかわからない」「まだ転職するかどうか迷っている」など、転職活動に何らかの不安を抱えている方には、無料の個別相談会も実施しています。キャリアアドバイザーが一対一で、これからのあなたのキャリアを一緒に考えます。お気軽にご相談ください。

「個別相談会」に申し込む

プロのアドバイザーがあなたのお悩みや疑問にお答えします

- 転職個別相談会開催中 -

相談内容を選択してください

※転職活動や求人への応募を強制することはありません

内定率が高い

関連する記事

人気の記事

スキルアップ記事トップへ

ITコンサルタントの求人・転職一覧