- セキュリティコンサルタントの仕事内容
- セキュリティコンサルタントになるための方法
- セキュリティコンサルタントに求められるスキル
- セキュリティコンサルタントの将来性
- セキュリティコンサルタントに役立つ資格
- セキュリティコンサルタントの年収
- セキュリティコンサルタントに関するよくある質問
- まとめ
セキュリティコンサルタントの仕事内容
セキュリティコンサルタントの仕事内容は戦略立案から運用サポートまで多岐にわたります。それぞれのフェーズで要求内容が異なるので違いを確認していきましょう。セキュリティコンサルタントの仕事内容は大きく2つに分けられます。
-
・戦略立案
・マネジメント支援
それぞれについて詳しくみていきましょう。
戦略立案
現状のセキュリティ体制を整理・分析し、顧客企業が目指すべきセキュリティ体制や、そこに至るまでの計画などの戦略を立案します。このとき、セキュリティコンサルタントには「将来を見据えた戦略」を立案することが求められます。情報セキュリティの分野はトレンドの変化が激しいため、ビジネスの方向性に従ってセキュリティ体制の「あるべき姿」を仮定し、そこから逆算して中長期的な計画を立案していくのです。
したがって、情報セキュリティのみならず、顧客企業のビジネスや業務プロセスに対する理解も求められます。一定以上の経験を積んだミドル〜シニアレベルのセキュリティコンサルタントが担当するケースが多いでしょう。
マネジメント支援
顧客企業が求めるセキュリティレベルを維持・管理するための支援業務を行います。具体的な仕事内容としては、「外注先(業務委託先)のセキュリティ管理支援」や、「セキュリティポリシー策定支援」「ISMS認証取得支援」などが含まれます。また、セキュリティ監査を効率的かつ効果的に実施するための計画を策定したり、監査方法の改善ポイントを見つけたりといった業務を担うこともあります。
セキュリティ対策実装、運用体制構築、支援
セキュリティ対策の具体的なルール・手法を決定し、それらをどう運用していくかを定義します。顧客企業の実務に即した具体的なルール・手法を設定するために、技術的な知識が必要となるフェーズです。具体的には、以下の策定や支援、運用サポートを行います。
セキュリティアーキテクチャ策定
顧客企業が求めるセキュリティレベルを確保するため、システムの設計方針や設計思想、フレームワークなどを定義します。顧客企業にセキュリティに関する知識が不足している場合も多く、ヒアリングと提案を数回以上実施しながら策定していきます。
既存システム、アプリケーションのリスク評価
現状のシステムやアプリケーションとサイバー攻撃の手法・セキュリティインシデントの内容を照らし合わせ、どの攻撃・インシデントに対してどの程度のリスクがあるかを評価します。このとき、ソースコードチェックや疑似攻撃での再現テストなどを用いた「脆弱性診断」を行うこともあります。
セキュリティ対策の立案・実装・運用サポート
リスク評価や脆弱性診断の結果を受けて、リスク削減に向けたセキュリティ対策(セキュリティ対策ツールの活用、セキュリティコーディングの実装、アクセス権限の整理など)を立案し、実装・運用までをサポートします。
関連記事:セキュリティエンジニアの将来性は?やめとけと言われる理由
セキュリティコンサルタントになるための方法
次に、中途入社(転職)を前提として、セキュリティコンサルタントになるための方法について解説します。異分野からセキュリティコンサルタントへ転職するためには、何らかのIT関連業務(開発、運用、保守)に従事した経験を持ち、専門的な知識・スキルを身に着けている状態が望ましいでしょう。実際に、異分野からセキュリティコンサルタントへ転職した人材のキャリアパスを分析すると、転職前にセキュリティ関連業務を経験していることがわかります。
他職種からキャリアアップする
最も一般的な方法は、関連する他職種からキャリアアップしてセキュリティコンサルタントになることです。セキュリティエンジニアやシステムエンジニアなどで実務経験を積み、セキュリティコンサルタントにキャリアアップします。
セキュリティエンジニアは情報セキュリティ業務を担当するエンジニア、システムエンジニアはクライアントの要件に応じたシステム設計でセキュリティを維持・管理するため、セキュリティコンサルタントを目指しやすいです。
関連記事:
セキュリティエンジニアのキャリアパス - 同分野・異分野に分けて解説
インフラエンジニアがセキュリティエンジニアを目指す方法
事業会社の社内SE
社内情報インフラの企画、導入、構築を主導し、設計や運用計画の策定に携わり、さらにセキュリティポリシー策定業務なども担当した社内SEは豊富なセキュリティ知識を有しています。したがって、セキュリティコンサルタントを目指しやすい職種と言えます。
ファイアウォールソフトの営業職
ファイアウォールソフトの営業活動において、顧客企業に所属するエンジニアへ技術的な強みを含めて提案し、ソフトウェアのインストール・セットアップなどを経験してきた方もセキュリティコンサルタントを目指しやすいでしょう。顧客企業のセキュリティ戦略やセキュリティポリシーを把握した上で提案するため、コンサルティングスキルを有している場合もスキルを活用できます。
インフラエンジニア
インフラエンジニアは、サーバー、ネットワーク、OSなどインフラ部分の設計・構築・運用を一貫して担当する中で、セキュリティ対策も実施します。また、不正アクセスや外部からのサイバー攻撃に対応するためのネットワークセキュリティを整備したり、サーバー・OS内部の脆弱性を検知してパッチを適用したりと、セキュリティに対する技術的な知識・スキルを有しています。したがって、コンサルティングスキルを習得することでセキュリティコンサルタントを目指すことができます。
中途入社でセキュリティコンサルタントを目指す場合は、上述したようなセキュリティに関連する業務を経験した後に、セキュリティコンサルティングサービスを提供する企業へ転職するケースが多いです。
セキュリティエンジニア
最初からセキュリティコンサルタントになりたいと考えている方は、セキュリティエンジニアがおすすめです。セキュリティエンジニアとは、情報セキュリティを専門とするエンジニアで、システムの設計から運用に携わり、セキュリティに必要な考え方を学べます。
SE
システムエンジニアからセキュリティコンサルタントにキャリアアップすることも一般的です。システムエンジニアは、ITシステム全体の設計・構築・運用に関わります。システムエンジニアは、システムの設計段階からセキュリティを考慮し、安全性を担保したシステムを構築しなければなりません。
また、セキュリティコンサルタントは、さらに高度な専門知識と経験が求められます。システムエンジニアからキャリアアップする場合、システム全体の視点を持ちながら、より専門的なセキュリティに関する知識を身につけると良いでしょう。
セキュリティコンサルタントに求められるスキル
セキュリティ製品の情報収集スキルセキュリティコンサルタントには、顧客企業のビジネスを分析し、そこから必要な戦略や対策を考案する能力が求められます。したがって、提案技術的な知識のみならず情報収集や仮説検証、プレゼンテーションスキルなどが必須です。セキュリティコンサルタントは、既存のセキュリティ対策・ツールを組み合わせて、独自の戦略・対策を立案することもあります。したがって、セキュリティ製品に関する幅広い情報収集スキルが求められます。
情報セキュリティに関する経験・知識
セキュリティコンサルタントに最も必要な知識です。セキュリティ対策の事例や最新技術を把握し、プロジェクトごとに最適な提案をする必要があります。
サイバー攻撃の手段は日々進化しています。そのため、セキュリティに関する知識も日々アップデートする必要があります。
アプリケーションやネットワークの知識
セキュリティを担保するにはアプリケーションやネットワークの知識も必要です。アプリケーションの規格に応じて必要・最適なセキュリティを提案する必要があります。
また、ネットワークについても同様です。通信方法によって必要な対策が異なるため、様々な事例から適切な手段や技術を選択できると良いでしょう。
セキュリティ製品の情報収集スキル
セキュリティコンサルタントは、既存のセキュリティ対策・ツールを組み合わせて、独自の戦略・対策を立案することもあります。したがって、セキュリティ製品に関する幅広い情報収集スキルが求められます。
仮説構築スキル
セキュリティ対策は「予防」の要素が強い業務です。つまり、今後起こり得る事態を具体的に想定し、仮説として構築する力が必要になります。例えば「サイバー攻撃を仕掛けられた場合の対応策」「被害を最小限にとどめるための対策」などを、ストーリー性を持って提示することができれば、顧客の信頼を得られやすいでしょう。
文章力、プレゼンテーション能力
情報セキュリティは専門性が高い分野です。そのため、顧客企業の担当者が理解しやすいような言葉を選び、分かりやすく説明する文章力・プレゼンテーション能力が必要になります。
その他、実務に必要なスキル
柔軟かつ抜け目のないセキュリティ対策を実装するために、ISMS認証基準に対する理解やセキュリティ対策に関する技術的なスキル(ウイルス対策、ファイアウォール、暗号化、セキュアプログラミングなど)も身に着けておく必要があります。
セキュリティコンサルタントの将来性
ここでは、セキュリティコンサルタントの将来性を考察します。
経済産業省の資料(※)によれば、サイバーセキュリティ人材は将来にわたって不足が懸念されています。また、サイバーセキュリティの分野は技術の進歩が激しく、企業・組織によって必要とされる対策が異なります。したがって、企業や組織ごとに個別の対策が必要な状態です。また、今後はクラウドやIoTなど新興分野への対応も増えていくでしょう。これらの事情を踏まえると、セキュリティコンサルタントは今後も需要が増えていくと予想されます。そのため、将来性のある職種であると言えるでしょう。
参照:経済産業省「情報セキュリティ分野の人材ニーズについて」
セキュリティコンサルタントに役立つ資格
セキュリティは多くの企業、サービスで最重要事項に設定されているため、関連した資格も数多く存在します。ここからはセキュリティコンサルタントに役立つ資格を6つ紹介します。紹介する資格は以下の6つです。
-
・情報処理安全確保支援士試験・CISM(公認情報セキュリティマネージャー)
・ ITストラテジスト
・システム監査技術者
・CISA(公認情報システム監査人)
・GIAC
それぞれについて詳しく見ていきましょう。
情報処理安全確保支援士試験
IPAが主催する情報処理技術者試験のうち、情報セキュリティに関する最上位の試験です。
情報セキュリティリスクの分析・評価を行い、情報システムの安全を確保するセキュリティエンジニアや、技術・マネジメントの両面から助言・提案を行い経営層を支援するセキュリティコンサルタントに最適な資格試験です。
CISM(公認情報セキュリティマネージャー)
情報システム監査、情報セキュリティ、リスク管理、ITガバナンスの国際的専門団体であるISACA(情報システムコントロール協会)が運営している情報セキュリティの資格です。
CISMはマネージャーという名前から分かるように組織の情報セキュリティをマネジメントする人に役立つ資格です。国際的に認知されている資格のため、外資系やグローバル企業での活躍を考えている方にもおすすめできる資格です。
この資格は5年以上の実務経験を要件としています。認定を受けるには情報セキュリティに関する5年以上の実務経験、そのうち3年はセキュリティマネージャーの経験が必要です。
ITストラテジスト
IPAが主催する資格の中でも最高難易度に位置するのがITストラテジストです。企業のビジネスモデルや業務プロセスに対して、情報技術を活用した改革・高度化戦略・最適化などを提供する人材をターゲットにしています。セキュリティ対策を含めたIT戦略立案の能力・知識の証明になり得るでしょう。
システム監査技術者
システム監査技術者は、情報システムのガバナンス・マネジメント・コントロールの適切性などを総合的に点検・評価・検証する人材に向けた資格です。セキュリティコンサルタントが担う「リスク評価」や「セキュリティ監査」といった仕事に役立つでしょう。また資格自体の難易度も高いことから、能力・知識の証明にもなります。
関連記事:サイバーセキュリティのおすすめ資格10選!難易度と勉強方法も紹介
CISA(公認情報システム監査人)
CISA(Certified Information Systems Auditor)とは、日本語で「公認情報システム監査人」と呼ばれる情報システムの監査やセキュリティに関する国際資格です。主な出題範囲は情報システム監査やITマネジメント、情報システムの調達・開発・導入から情報資産の保護と多岐に渡ります。
出題数も150問と非常に多く、試験時間は4時間です。とはいえ、800点満点中450点以上で合格となるため、難易度は標準と言えるでしょう。
情報システムの障害や不適切な設計・運用は大変危険なので、情報システム監査は法令で義務となっています。セキュリティコンサルタントに限らず、多くの職種で役にたつ資格です。
GIAC
GIAC(GIACはGlobal Information Assurance Certification)とは、セキュリティ監査やファイアーウォールの知識などを問われる世界で最も有名なセキュリティ関連資格と言われる国際資格です。出題レベルは基礎部分から専門的な分野までと多岐にわたります。
資格の有効期限も4年と定められており、取得すると直近のセキュリティ事情を習得している証明となります。
セキュリティコンサルタントの年収
セキュリティコンサルタントの年収は一般的な職種より高く、約597万円です。また、30歳前後で1,000万円を超える企業も複数あります。ここからはレバテックキャリアに掲載された実際の求人例を確認しましょう。
セキュリティコンサルタントの求人例
【想定年収】
1,000~1,800万円
【主な仕事内容】
・提案機会の創出及び案件提案
・受注案件のデリバリ業務
・定期ミーテイング等の顧客とのコミュニケーション、議事録作成
・報告書等の資料作成、プレゼンテーションの実施
・コンサル事業そのものの事業計画作成
【必要なスキル・経験】
<経験>
・コンサルティングの実務経験
※下記セキュリティ及びシステムに関するエリアで1つ以上の経験
・情報セキュリティ・サイバーセキュリティに関するリスクアセスメントの実施経験
・情報セキュリティ・サイバーセキュリティに関する改善方針策定~改善対応まで一通りの経験
・事業会社内でリスク管理部門、内部監査部門での業務経験
・ISMS、Pマーク等の認証取得を1からの経験
・100人月以上のシステム開発プロジェクトにおいてPMOの経験
<マインド>
・プロジェクトを最初から最後までリードできる方
・顧客の期待値コントロールを主体的に・意図的に進める事ができる方
・自らの専門分以外の領域についても、然るべき品質でデリバリを提供できる方
・提案創出活動に対して主体的に関与することができる方
【働き方】
一部リモート
セキュリティコンサルタントに関するよくある質問
最後に、セキュリティコンサルタントに関するよくある質問に回答していきます。
Q1. セキュリティコンサルタントの将来性は?
セキュリティコンサルタントの将来性は非常に高いです。現在社会ではITシステムの重要性が高まり、ITシステムにおける情報セキュリティは必須事項になっています。企業や組織はセキュリティリスクを最小限にするため、専門家の助言を必要としているため、今後も需要は高いままとなるでしょう。また、サイバー攻撃の手法や法律の規制の変更などに応じてセキュリティを変更する必要があります。そのため、ITシステムの需要が高い限りセキュリティコンサルタントの需要は高いです。
セキュリティコンサルタントには、常に最新の技術や知識を学び続けることが要求されます。そのため、常に必要とされる人材になるためには、継続した学習が必要です。
Q2. セキュリティエンジニアの平均年収はいくら?
セキュリティエンジニアの平均年収は約597万円と、日本の平均年収と比べて高い傾向にあります。セキュリティエンジニアの業務は需要が高く、専門的な知識が必要なため今後も高い傾向は続くでしょう。
Q3. セキュリティ業務とは?
セキュリティ業務とは、システム障害やサイバー攻撃を防ぐ情報セキュリティを確保するための一連の業務です。具体的には、情報システムやネットワークの脆弱性を見つけて対策する、セキュリティポリシーを設定する、セキュリティインシデントへの対応などを指します。
セキュリティ業務は未然の対策を重視していますが、不測の事態への対応も含まれます。事故を防ぎきれなかった際の行動を最適化するための検討も重要な業務です。
まとめ
サイバー攻撃などによる情報漏洩のリスクが高まっている中で、企業の情報セキュリティが適切に運用されているかを調査し、改善案の提案などを行うセキュリティコンサルタントのニーズは高まっています。セキュリティコンサルタントは他分野から積極的にIT人材を受け入れていることでも知られているため、セキュリティ専門の人材以外でも転職できる可能性があるといえます。転職を検討する際には、スキルの証明につながる資格の活用も検討してみてください。
ITエンジニアの転職ならレバテックキャリア
レバテックキャリアはIT・Web業界のエンジニア職を専門とする転職エージェントです。最新の技術情報や業界動向に精通しており、現状は転職のご意思がない場合でも、ご相談いただければ客観的な市場価値や市場動向をお伝えし、あなたの「選択肢」を広げるお手伝いをいたします。
「将来に向けた漠然とした不安がある」「特定のエンジニア職に興味がある」など、ご自身のキャリアに何らかの悩みを抱えている方は、ぜひ無料のオンライン個別相談会にお申し込みください。業界知識が豊富なキャリアアドバイザーが、一対一でさまざまなご質問に対応させていただきます。
「個別相談会」に申し込む
転職支援サービスに申し込む
※転職活動を強制することはございません。
レバテックキャリアのサービスについて
