近年では、コンピューターシステムの障害や情報漏洩、サイバー攻撃といった事件・事故が多発しており、システムを安全に運用し、トラブルを未然に防ぐためにもセキュリティエンジニアの重要性が認識されています。

現代社会における情報に対する資産価値が上昇し、コンピューターシステムの浸透が急速に広まっていることから、情報セキュリティに対する意識が格段に高まっているため、セキュリティエンジニアの需要は年々上昇傾向にあり、これからも活躍の場が増えることが予想されます。

セキュリティエンジニアとは

セキュリティエンジニアは、情報セキュリティに関する業務に特化したエンジニアです。

コンピューターウイルス、ハッキング、不正アクセスなどから、企業の安全とコンピューターや情報を守るセキュリティシステムを設計します。
導入したシステムのネットワークに弱点がないかを調査し、その弱点（脆弱性）を突いたサイバー攻撃に対して対策を行い、企業の円滑な業務遂行をサポートします。

セキュリティエンジニア5つの仕事内容

その1.企画・提案

システムのコンサルティングを行い、どのようなセキュリティが必要なのかを企画・提案します。
企画・提案の際に関連部署のスタッフと連携をとり、セキュリティの弱点を把握する必要があります。
また、プライバシーマークの取得や情報セキュリティマネジメントシステム(ISMS)の取得支援も行います。

その2.設計

セキュリティに配慮したシステムの設計を行います。
ネットワークはもちろん、サーバー機器などのハードウェアやアプリケーション、システムの運用に至るまで、すべてを網羅して設計します。
脆弱性があるとサイバー攻撃を許す事に繋がるので、重大な問題となります。

利用している様々なシステムを安全に使えるように、全てを理解して最適なセキュリティ設計を行う必要があるため、幅広い知識が求められます。

最近では、クラウドで情報管理するサービスも増えているため、クラウドで構築ができるエンジニアの需要が高くなってきています。

その3.実装

設計と同様に範囲が広く、ネットワーク機器やOSの設定に加えて、セキュリティを考慮したプログラミングも行います。
脆弱性は、システムやサーバー機器よって対処法が異なるため、最適な実装かどうかの判断力が問われます。
そのため、セキュリティに関する深い知識が必要となります。

その4.テスト

実装したシステムに脆弱性がないかをテストします。
擬似的にサイバー攻撃を行ったり、ソースコードのチェックをしたりします。
これらのテストを「脆弱性診断」や「脆弱性検査」と言います。

その5.運用・保守

サイバー攻撃やシステム障害から、導入したシステムを守り安全に運用します。
サイバー攻撃は日々新しい手法で行われているので、最新の情報を常に入手し、OSやアプリケーションのアップデートを行います。

セキュリティエンジニアになるには資格が必要？

資格がなくてもセキュリティエンジニアになることは可能ですが、「シスコ技術者認定」や「情報セキュリティスペシャリスト試験」などの資格を取得しておくと、スキルの証明となり、転職先やクライアントからの信頼が得られやすいでしょう。

未経験者の場合は、実務に関わった経験がないため、転職活動の際のアピールとして資格は特に有効となります。
採用担当者を唸らすような資格を取得していれば、「やる気がある」「即戦力で使える」「時間をかければものになる」など、好印象を持たれる可能性があります。
ここでは、セキュリティエンジニアを目指す人におすすめの資格を紹介していきます。

シスコ技術者認定

Cisco社の「シスコ技術者認定」のうち、セキュリティ分野での認定制度をおすすめします。
シスコ技術者認定では、上位レベルの試験を受けるには、まず下位レベルの資格を取得する必要があるので注意しましょう。

• CCENT...基本的なネットワークセキュリティの知識を認定する基礎レベルの資格。
• CCNA Security...セキュリティエンジニアになるための基礎レベルの資格。
• CCNP Security...セキュリティエンジニアとしての豊富な知識を証明できる上位レベルの資格。
• CCIE Security...最も難度が高い最上位資格。国際的にも通用する資格であるため、一流のセキュリティスペシャリストとして評価されます。

CompTIA Security+

「CompTIA Security+」は、CompTIA社が実施する資格試験です。
資格を取得することで、セキュリティ技術者としての知識やスキル、活用能力などを証明することが可能です。
世界的に認知されている信頼度の高い資格です。試験は、以下の分野から出題されます。

• ネットワークセキュリティ
• コンプライアンスと運用セキュリティ
• 脅威と脆弱性
• アプリケーション、データ、ホスティングセキュリティ
• アクセスコントロール、認証マネジメント
• 暗号化

ネットワーク情報セキュリティマネージャー（NISM）

「ネットワーク情報セキュリティマネージャー（NISM）」は、攻撃者による不正アクセスなどの危険性に対処するために創設された資格試験です。セキュリティ専門家を育成することを目的としています。
NISM推進協議会が実施する資格認定のための講習を受け、一定のレベルに達すると有資格者として認定されます。

公認情報セキュリティマネージャー（CISM）

セキュリティ管理者のための国際的な資格が「公認情報セキュリティマネージャー（CISM）」です。
セキュリティプログラムのマネジメントや設計、監督などを行う情報システム監査人を対象としています。

公認情報セキュリティマネージャーとして認定されるためには、情報セキュリティ管理に関する5年以上の実務経験が必要となります。

情報セキュリティマネジメント試験

国家試験である「情報処理技術者試験」には、さまざまな試験が用意されています。
その中のひとつである「情報セキュリティマネジメント試験」に合格することで、組織の情報セキュリティ確保に貢献し、脅威から継続的に組織を守るための基本的なスキルを持っていることの証明になります。

セキュリティエンジニアになるために必要な知識

セキュリティエンジニアになるには、セキュリティに関する知識はもちろん、IT業界に関する幅広い知識が必要です。
OSやアプリケーション関連のセキュリティをはじめ、ファイアーウォールといったネットワーク関連のセキュリティ、さらにセキュリティ関連の法令や規格、暗号化に関する知識まで求められます。

最近では、クラウドコンピューティングや仮想化などの技術が用いられることが一般的になってきました。
さまざまな要望に応えるためにも、IT技術とセキュリティに関する幅広い知識を身に付けましょう。
システムを安全に運用する上で、IT関連の法律、制度に関する知識も必要です。

インターネットの普及以降、ITに関連する法案の立法や法改正は目まぐるしく行われています。
そのため、セキュリティエンジニアは、最新の法律に則ったセキュリティ対策を講じることが必要といえるのです。

IT関連の法律・制度一覧

• 不正アクセス行為の禁止等に関する法律
• 電子署名及び認証業務に関する法律
• 個人情報の保護に関する法律
• プライバシーマーク制度
• 情報セキュリティマネジメントシステム（ISMS）適合性評価制度

知識だけじゃない！セキュリティエンジニアに必要な能力

サイバー攻撃は日々巧妙化しており、想定外である事がほとんどです。
セキュリティエンジニアも常に新しい情報を仕入れ、あらゆる状況を想定したシミュレーションを行い、突然の攻撃に備えています。

また、セキュリティエンジニアは、大きく2つの領域があり「技術領域」と「コンサルタント領域」に分けられます。
セキュリティの知識以外にもマネジメント能力やコミュニケーション能力、機密保持に対する高いモラルなどが求められるのはこのためです。

それぞれ、必要となる知識や能力が一部異なるので、IPA（情報処理推進機構）が公開している『情報セキュリティスキルマップ』を参考にしてください。
>>情報処理推進機構「IPA情報セキュリティマップ」

セキュリティエンジニアの年収って？

マイナビエージェントの調査では、30歳の社内セキュリティエンジニアの場合で平均年収は600万円前後となります。
新卒や初めてセキュリティエンジニアとして働く場合は、年収300万～500万円からスタートするケースもあるようです。
しかし、外資系企業のセキュリティエンジニアの場合は、年収800万円以上を得ることも可能です。
さらに、セキュリティ技術者の資格を取得している人は、年収1,000万円を超えることもあります。

セキュリティエンジニアのキャリアパス

セキュリティエンジニアになった人のキャリアパスで、現在、市場のニーズが高まっているのが、セキュリティアナリストという職種です。

最近のサイバー攻撃は、攻撃者の身元が判別しにくく、特定のターゲットを静かに攻撃する手法が増え、いつの間にか重要な情報を盗まれてしまうケースが増えています。
そのため、攻撃が発覚したときに、サイバー攻撃の手法の分析が必要になります。この重要な分析を行うのがセキュリティアナリストです。

しかし、いきなりセキュリティアナリストにはなれません。
セキュリティアナリストになるには、ネットワークやコンピューターの深い知識・スキルはもちろん、セキュリティエンジニアの経験が必要になります。
優れたセキュリティアナリストになれば、たとえ50代でも転職市場で魅力的な人材に映ります。

セキュリティエンジニアへの転職

独立行政法人情報処理推進機構の「情報セキュリティ人材の育成に関する基礎調査」（2012年4月）によると、国内の情報セキュリティ人材は約23万人いるが、充分な知識を身に付けている人材は、わずか90,000人強とあります。

つまり、残りの約14万人の人材に対して、何らかの教育やトレーニングを行う必要性があると考えられています。
当然、企業においても、優秀なセキュリティエンジニアの求人数は増えています。
幅広い知識とスキルが必要とされるセキュリティエンジニアは、今後も人材不足が予想され、高額年収の可能性を秘めています。

必須となる資格がいらないセキュリティエンジニアですが、セキュリティの技術や前述した資格を取得しておくと、企業が求める人材になれるでしょう。

関連記事

情報セキュリティ資格を取ろう！国家試験・民間資格のおすすめ9選

• 職種図鑑
• セキュリティエンジニアとは？仕事内容・年収・資格について
• 求人情報
• セキュリティエンジニアの求人一覧