- セキュリティエンジニアって具体的にどんな仕事内容なの?
- セキュリティエンジニアになるには、どういったスキルや知識が必要?将来性はあるのか?
セキュリティエンジニアという仕事を聞いたことはあるものの、上記のような疑問を持っている人へ読んでいただきたい内容をまとめました。
セキュリティエンジニアは「セキュリティ」という言葉が付く職業なので重要そうな仕事に見えますが、具体的に何をしているのかわからないですよね。
そこで本記事ではセキュリティエンジニアの仕事内容をはじめとし、下記内容をまとめています。
- セキュリティエンジニアの仕事内容と将来性
- 求められる知識やスキル
- 向いている人
- 年収と具体的な求人例
- セキュリティエンジニアの目指し方
※本記事はITエンジニアの派遣転職サービスを運営する夢真ビーネックスグループのグループ企業複数社、及び元エンジニアの当サイト編集長が監修しています。
セキュリティエンジニアに興味を持っているあなたにとって、欲しい情報が書かれている記事になっています。
ぜひ最後まで読んでいってください。
この記事の目次
セキュリティエンジニアとは?
セキュリティエンジニアとは、情報セキュリティを中心にセキュリティに配慮したシステムの設計や運用を行う職業です。
また、未然にサイバー攻撃を防げるように対策をしたり、調査をしたりするようなこともしなくてはいけません。
近年のサーバー関連の業務では、より高度化するサイバー攻撃に対応できるセキュリティ強化が求められています。
そのためセキュリティエンジニアは、企業にとって欠かせない重要な役割を担うようになってきており、ITやセキュリティ関連の知識以外にも法令についての知識も必要になっています。
セキュリティエンジニアの仕事内容
セキュリティエンジニアの仕事は多岐にわたりますが、自分が担当するプロジェクトや企画によって変わります。
具体的には下記のような担当になる場合が多いです。
- 設計~実装~テスト~本番移行~運用フォローを一気通貫で担当する
- 上記のいずれか1つの工程に専従する
上記の2つは、全体の流れを理解するもしくは、1つの工程を専門的に覚えるということができるため、どちらが良いということはありません。
セキュリティエンジニアとネットワーク エンジニアの違い
セキュリティエンジニアとネットワークエンジニアは、一部担当する部分が重複するものの担当業務は大きく違っています。
ネットワークエンジニアは自社で扱うネットワークを構築/運用管理する仕事です。
セキュリティに関しては、データ通信の暗号化や、侵入者が入らないようにするための設定も担当範囲です。
一方でセキュリティエンジニアはネットワークだけでなく、公開しているWebサイトや自社で扱うソフトウェアなどの安全性の検証や調査など、もっと広い範囲でセキュリティに関する業務を行います。
セキュリティエンジニアとホワイトハッカーの違い
セキュリティエンジニアもホワイトハッカーもどちらも、セキュリティに関する高い知識やスキルを持つことは同じです。
違う部分としては、事前準備を担当するか、稼働後の監視/調査をするかという違いになります。
セキュリティエンジニアは、システムやネットワークの安全性が保たれるように設計および実装を行います。
一方でホワイトハッカーは、サイバー攻撃を検知しハッキングやシステムダウンをしないように調査および対応を行います。
どちらも近年注目されている職業であり、それぞれが受け持つ領域が重なる部分は多いです。
セキュリティエンジニアに求められるスキルや知識
セキュリティエンジニアに求められるスキルは政府によって定められており、下記の16項目に分類することができます。
1.情報セキュリティマネジメント
2.ネットワークインフラセキュリティ
3.アプリケーションセキュリティ(Web、電子メール、DNS)
4.OSセキュリティ(Unix、Windows、Trusted OS)
5.ファイアウォール
6.侵入検知システム
7.ウイルス
8.セキュアプログラミング技法
9.セキュリティ運用
10.セキュリティプロトコル
11.認証
12.PKI
13.暗号
14.電子署名
15.不正アクセス手法
16.法令・規格
※引用元:https://www.ipa.go.jp/security/manager/edu/training/expert.html
この中からセキュリティエンジニアにとって特に重要になる項目について、具体的な内容に置き換えて紹介します。
- ネットワークの知識
- 暗号化や認証技術
- IT全般の基礎的な知識
- WindowsやMac端末の知識
- 法律の知識
- プログラミング言語の知識
1:ネットワークの知識
セキュリティエンジニアは当然ですが、ネットワークの知識が必要です。
セキュリティシステムを導入後にサイバー攻撃を受けたときには、セキュリティエンジニアが保守業務を行います。
セキュリティについての最新情報を集め、対策しなければなりません。セキュリティエンジニアは、サイバー攻撃のトレンド情報や手法についての知識を理解しておく必要があります。
自社のセキュリティ性は常に向上させていくことが求められます。
2:暗号化や認証技術
セキュリティエンジニアは、暗号化や認証技術についての知識を求められます。
ネットワーク通信には暗号化や認証技術が使われているので、サイバー攻撃から守るためにはこれらの知識が必要です。
とくに暗号には数学の知識が必要になるほか、安全に通信するためにサーバーなどに実装するスキルも求められます。
3:IT全般の基礎的な知識
セキュリティエンジニアにIT全般の基礎的な知識は絶対に必要です。
セキュリティシステムを構築するときにIT全般の知識がなければ対応することができません。セキュリティエンジニアはセキュリティに詳しいだけでは仕事ができないということです。
セキュリティインシデントが発生しないようなシステムを組み、アプリケーションをアップデートしたり、通信データを監視したり、ログファイルのチェックができたりする体制を維持できるようにしましょう。
4:WindowsやMac端末の知識
セキュリティエンジニアには、WindowsやMacOSなどのOSの知識、これらのOSを搭載した端末の知識が必要です。
パソコンやサーバーによって搭載されているOSは違います。つまり、セキュリティの構築の仕方も違ってくるということです。
できる限りさまざまなOSの知識を勉強している方が良いのですが、最低限WindowsとMacOSについての知識は必要です。セキュリティを構築する以上、幅広い知識を持っていることが大切です。
5:法律の知識
セキュリティエンジニアにはセキュリティに関する法律の知識が求められます。
セキュリティやネットワークについての法律は次から次へと新しくなっていく可能性があります。
不正アクセスなども増えていますし、セキュリティエンジニアを目指している人はセキュリティに関する法律を勉強しておいて損はありません。
セキュリティ対策を強化したつもりが一線を越えていたということも考えられます。
たとえば、他人のIDとパスワードを不正に入手してサーバに侵入した場合は、不正アクセス行為の禁止等に関する法律の第3条(不正アクセス行為の禁止)違反になります。
6:プログラミング言語の知識
セキュリティエンジニアはセキュアプログラミングの知識を身につけ、セキュリティに配慮したシステムを構築するのが仕事のひとつです。必然的にプログラミング言語の知識が求められます。
とくに、プログラム言語としてメジャーなPHP、JavaScript、Pythonの知識をつけておく必要があります。
セキュリティエンジニアにおすすめの資格
セキュリティについての資格は「情報処理安全確保支援士試験(SC)」や「CISCO技術者認定」、「公認情報システム監査人」、「認定ホワイトハッカー」など数多くあります。
当たり前の話ですが、一定水準の知識やスキルを持っていないと資格取得ができないため、セキュリティに関する資格を持つことでクライアントに対して安心感を与えることが可能です。
ここではセキュリティエンジニアにおすすめの資格として、下記5つの資格をご紹介します。
- 情報処理安全確保支援士試験(SC)
- CISCO技術者認定
- 基本情報技術者試験
- 情報セキュリティマネジメント試験
- CompTIA Security+認定資格
1:情報処理安全確保支援士試験(SC)
セキュリティエンジニアにおすすめの資格として、「情報処理安全確保支援士試験(SC)」があります。高度なサイバー攻撃は増加し、その脅威も年々大きくなってきています。
このようなサイバー攻撃に対し、サイバーセキュリティ対策の責任者を確保するための国家資格が登録セキスペと呼ばれている「情報処理安全確保支援士」です。
サイバーセキュリティリスクを分析したり、情報システムの安全を確保したり、有効な対策を提案して経営層を支援したりするスキルが身につきます。
セキュリティエンジニアはもちろん、セキュリティコンサルタントに最適な資格です。
※参考:https://www.jitec.ipa.go.jp/1_11seido/sc.html
2:CISCO技術者認定
セキュリティエンジニアにおすすめの資格の中に、「CISCO技術者認定」があります。
この資格試験は、ネットワーク機器の会社「シスコシステムズ」が展開していて、セキュリティやネットワークなどについての知識や技術を認定します。
CISCO技術者認定は、セキュリティエンジニアの仕事をする上で、周囲から信頼を得ることにもつながる資格です。
基礎的な知識「エントリー」から大規模企業のネットワークをサポートできる「エキスパート」レベルの知識まで勉強することができます。
※参考:https://www.cisco.com/c/ja_jp/training-events/training-certifications.html
3:基本情報技術者試験
セキュリティエンジニアにおすすめの資格「基本情報技術者試験」は、IT関連のエンジニアとしてキャリアをスタートしたい人に最適です。基礎的なことをしっかりと身につけられる勉強をすることができます。
また、この資格試験はセキュリティエンジニア以外にもシステムエンジニアやプログラマーを対象にしています。
特別な受験資格は必要なく、入門的で人気がある国家試験です。
※参考:https://www.jitec.ipa.go.jp/1_11seido/fe.html
4:情報セキュリティマネジメント試験
セキュリティエンジニアにおすすめの資格として「情報セキュリティマネジメント試験」があります。
サイバー攻撃などの脅威から会社を守るための基本的なスキルを勉強することができる認定試験です。
情報セキュリティを確保し、管理する人材はさまざまな現場で必要とされています。情報セキュリティ対策を実施して安全なシステムを構築するスキルを身につけられます。
※参考:https://www.jitec.ipa.go.jp/sg/
5:CompTIA Security+認定資格
セキュリティエンジニアにおすすめの資格の中に「CompTIA Security+認定資格」があります。この認定資格は、国際的にも認められていて、セキュリティのプロが活用しています。
セキュリティを考慮したネットワーク設計や管理、あらゆる環境に対応できるかどうかを評価することができます。
法規制を認識しながらサイバー攻撃などの脅威を分析し、適切な対応ができるようなスキルを勉強することができます。
※参考:https://www.comptia.jp/certif/core/comptia_security/
セキュリティエンジニアのキャリアパス
セキュリティエンジニアとして実績を積んだ後のキャリアとしては、下記の3つが挙げられます。
- セキュリティアナリスト
- セキュリティコンサルタント
- 情報セキュリティスペシャリスト
上記で紹介した職種は非常に高い知識とスキルが求められますが、高い年収と大きなやりがいが両立できる仕事です。
ただし、セキュリティエンジニアがハードな仕事ですので、その上位職にあたる上記3つはよりハードな働き方になる可能性があります。
働きがいや年収と仕事のハードさを比較して、どういったキャリアパスを目指すかはそれぞれ考える必要があります。
キャリアパスについて詳しく紹介している記事がありますので、興味があるかたは是非ご覧ください。
[nlink url=”https://www.fenet.jp/beginner/column/%E3%82%AD%E3%83%A3%E3%83%AA%E3%82%A2/187/”]
セキュリティエンジニアの将来性は高い
次にセキュリティエンジニアの将来性についてですが、結論から言えばセキュリティエンジニアの需要がなくなる可能性は低く、将来性は高いと言えるでしょう。
欧州のGDRPをはじめとして、世界中で個人情報の取り扱いについて非常に厳しい法律が整備されつつあります。
そのため、企業の個人情報の管理方法が法律に触れていたり、個人情報や機密情報が流出すると信用および経済的にダメージが大きくなってきています。
一方で、近年サイバー攻撃の技術が高度化しており、企業は自分たちで会社を守る必要があります。
また、ITが社会インフラとして機能しており今後も拡大していくことが予想されていることから、これらに関わるセキュリティエンジニアの将来性は高いと言われています。
セキュリティエンジニアに向いている人
セキュリティエンジニアとして活躍している人たちは数多くいます。
その中でも、セキュリティエンジニアに向いている性格は下記のようなものが挙げられます。
- 責任感が強い
- 細かく考えることが好き
- 粘り強い
- 新しいもの/ことが好き
セキュリティトラブルは自社およびクライアントの評判を下げることになるため、自分ごととして捉えるような責任感が重要になります。
また、セキュリティ検討/対策については、サイバー攻撃や内部教育の不足など様々な原因で発生します。
様々な視点で細かく考えて、何か起きたときには解決まで導く必要があるため粘り強さも重要となります。
女性こそセキュリティエンジニアに向いている
女性のセキュリティエンジニアは少ないですが、女性こそセキュリティエンジニアに向いている部分があります。
具体的には下記2点です。
- 細かな丁寧な仕事ができる
- 様々な視点を切り替えながら物事が見られる
男性に比べると女性のほうが細かな点に気づきやすく、調査するログデータの違和感に気づきやすいです。
セキュリティにおける調査は多くのログデータや状態/傾向を調べていくことが必要です。
膨大な量からログデータを見て原因を特定する際に、小さな違和感に気づくことができると調査スピードがグンとあがるため非常に重宝されます。
セキュリティエンジニアの働き方
セキュリティエンジニアの働き方として、下記2つが挙げられます。
- 正社員(新卒/転職)
- フリーランス/契約社員
どちらの働き方にもメリット/デメリットがあるため、自分のスキル、目指す年収やキャリアパスを意識してどちらが良いかを判断する必要があります。
それぞれ詳細を説明していきます。
1.正社員(新卒/転職)
1つ目は「正社員」です。
雇用形態としては王道であり選択する人が多い働き方になります。
正社員は一からセキュリティを学んでキャリアを積むことができるので、未経験からでもセキュリティエンジニアになることが可能です。
また、雇用としても正社員は安定しており、収入面でも安心できます。
一方で、企業規模にもよりますが転勤や担当業務の変更など会社が決めた辞令には従う必要があり、自分がやりたいことばかりできるわけではありません。
給料もフリーランスに比べると低い傾向にあるため、飛び抜けた年収をもらうことは期待できません。
2.フリーランス/契約社員
2つ目は「フリーランス/契約社員」です。
セキュリティエンジニアとしてスキル/経験を持っている人であれば、フリーランスエンジニアとして働くことが可能です。
フリーランスで働く場合は、正社員と比較して高い給料をもらうことが可能です。また給料に上限がないため、スキル次第ではさらに高い給料を目指すことが可能です。
また、良い意味で契約期間があるため、現場を数多く回ることができるため様々な経験を積むことができます。
一方で、フリーランスは雇用が保証されていないため、収入が安定しづらい他、スキルが低い場合は契約されないもしくは、仕事が選べずに仕事内容が偏ってしまいます。
セキュリティエンジニアの年収
セキュリティエンジニアの平均年収は599万円であり、一般的な会社員の平均年収よりも高い傾向です。
※引用元:求人ボックス
他のエンジニアと同じですが、知識/スキルや実績次第では、高い年収を得ることが可能です。
また、IT市場の拡大に伴い、セキュリティエンジニアの需要も高まっていて年収も上昇傾向にあるため、更に高い年収を目指すことが可能です。
高年収を狙うなら「フリーランス×大企業」
高い年収を目指すのであれば、フリーランスとして大企業で働くことをおすすめします。
大手の企業はサイバー攻撃の対象になる確率が高い上に、難易度の高い攻撃を受ける可能性が高いです。そういった攻撃から守るために、サイバー攻撃対策に費用を投入する傾向があります。
設備だけでなく、セキュリティに関するスキルや知識を豊富にもった人材への投資も行うため年収面でも期待が持てます。
また、一般的に正社員よりもフリーランスのほうが給料が高いため、高収入を目指すのであれば、スキルや経験を持っている人はフリーランス一択です。
上記の理由から、セキュリティエンジニアで高収入を狙うならフリーランスで大企業へ入ることを目指しましょう。
セキュリティエンジニアの求人例
セキュリティエンジニアを目指すにあたって、具体的にどういった求人例があるのか知っておきましょう。
ここでは弊社サービスを参考に、セキュリティエンジニアの求人例を3つ紹介します
- ガバナンス推進、セキュリティ基盤支援業務
- ネットワークセキュリティ製品運用保守業務
- セキュリティ更新プログラム適用業務
ガバナンス推進、セキュリティ基盤支援業務
1つ目の求人ではガバナンス推進、セキュリティ基盤支援業務が実施できるエンジニアが募集されています。
| 勤務地 | 東京都港区 |
| 年収 | 400~800万円 |
| 雇用種別 | 正社員 |
| 必要なスキル | ・運用保守業務にて業務調整やコントロールの対応の経験 (業務調整に長けた方) ・セキュリティ、ガバナンス関連の知識がある方 ・BPCに関する知見がある方 |
セキュリティに関するスキルや知識を使ってクライアントへ環境を作り上げるスキルが必要になります。
環境を作り上げることや提案するため、セキュリティエンジニアとしては高い年収を狙うことができる仕事です。
ネットワークセキュリティ製品運用保守業務
2つ目はネットワークセキュリティ製品についての保守運用ができるエンジニアの募集案件です。
| 勤務地 | 東京都23区西部 |
| 年収 | 600~720万円 |
| 雇用種別 | 正社員 |
| 必要なスキル | ・ネットワーク、セキュリティの一般的な知識 ・PowerPoint/Excel/Wordでの資料作成経験 ・UTM製品(主にパロアルト社UTM関連製品)の知識 ・日本語で技術的なコミュニケーション及び仕様書が理解できる |
この求人ではセキュリティ関連の保守運用がメインの業務です。
保守運用は様々な人への相談や報告を行う必要があるため、セキュリティに関するスキルの他に、コミュニケーション力や報告資料作成スキルなどが求められます。
セキュリティ更新プログラム適用業務
3つ目は、セキュリティ更新プログラム適用業務ができるエンジニアの募集案件です。
| 勤務地 | 東京都中央区 |
| 年収 | 540~600万円 |
| 雇用種別 | 正社員 |
| 必要なスキル | ・WSUSの知識及びWSUS構築、運用設計の経験がある方 ・エラー検証(調査、解決)の経験がある方 ・WSUSを使ったセキュリティアップデート配信経験がある方 |
この求人はWindowsUpdateなどのセキュリティ更新プログラムを適用するのがメインの業務です。
ツールの使い方やセキュリティパッチを適用した後の検証などができるスキルが求められます。
未経験からセキュリティエンジニアになるには?
未経験からでもセキュリティエンジニアになることは十分に可能です。
ただ、セキュリティエンジニアになるためには下記4つの内容を実施しておく必要があります。
- ITの基礎知識とセキュリティを勉強
- セキュリティエンジニアにおすすめの本で勉強
- プログラミング言語を勉強
- 志望動機を明確にしておく
1つずつ紹介していきます。
ITの基礎知識とセキュリティを勉強
1つ目はITの基礎知識とセキュリティの勉強です。
セキュリティエンジニアはITの基礎知識はもちろん、セキュリティに関する幅広い知識が求められます。
セキュリティに関する知識について、代表的なものは下記のとおりです。
- データの暗号化
- ログインの認証方法
- セキュリティに関連する法律
セキュリティエンジニアになるために知識を付ける必要がありますが、セキュリティエンジニアになったあとも、情報や法律は変化するため日々情報を更新していく必要があります。
勉強する内容について詳細を記載した記事がございますので、興味がある方はぜひご覧ください。
[nlink url=”https://www.fenet.jp/infla/column/engineer/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AB%E3%81%AA%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%E5%8B%89%E5%BC%B7%E6%96%B9%E6%B3%953%E3%81%A4/”]
セキュリティエンジニアにおすすめの本で勉強
2つ目は、本で勉強することです。
ITやセキュリティに関する基礎知識をつけた後は、実際にどういった内容を業務で行なっていくのか事前に学習しておきます。
事前に学習する上でおすすめの本を2冊ご紹介します。
1冊目は「イラスト図解式 この一冊で全部わかるセキュリティの基本」です。
この本ではセキュリティに関する単語をより具体的にイメージできるように、イラストで紹介されています。
なぜ攻撃を防ぐ必要があるのか、どういった仕組みで安全が確保されるのかなどがより実践的に理解できます。
2冊目は「インフラエンジニア教本 ―セキュリティ実践技術編」です。
こちらの本もより実践的な内容が書かれている本になります。
攻撃に強いネットワークの作り方やサーバーのセキュリティチェックなどの実業務でも利用できるような内容が記載されています。
プログラミング言語を勉強
3つ目はプログラミング言語を勉強することです。
セキュリティエンジニアでもサーバーサイドで利用されるプログラミング言語の基礎は知っておく必要があります。
具体的に勉強すべきプログラミング言語は下記となります。
- PHP
- JavaScript
- Python
プログラミングの実装方法や理論を知っておくことで、サイバー攻撃の標的になる脆弱性が潜む部分を理解することができるようになります。
また、理解できているとどのように対策を取ればよいのかが分かるため、プログラミング言語を理解しておくことは重要です。
志望動機を明確にしておく
4つ目は志望動機を明確にしておくことです。
セキュリティエンジニアになるためには知識やスキルの勉強だけでなく、面接対策もしっかり考えておく必要があります。
特にスキルや知識が足りない未経験の状態からセキュリティエンジニアを目指す場合は、志望動機が重要になるケースが多いです。
「自分がなぜセキュリティエンジニアを目指していて、どういった領域で働きたいのか」を明確にしておきましょう。
セキュリティエンジニアはやめとけ?つらいと言われる理由3選
セキュリティエンジニアはやめておいたほうが良いと言われることがあります。
市場的に将来性がある仕事になりますが、仕事として合わない人もいますので自分が当てはまるか確認してみてください。
- 精神的な負担がきつい
- 仕事の量が多く激務になりやすい
- 幅広い専門知識が必要
1つずつ紹介していきます。
より詳しく知りたい方は下記にてまとめておりますので、ぜひご覧ください。
[nlink url=”https://www.fenet.jp/infla/column/engineer/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%81%AE%E4%BB%95%E4%BA%8B%E3%81%AF%E3%81%A4%E3%82%89%E3%81%84%EF%BC%9F5%E3%81%A4%E3%81%AE%E7%90%86/”]
理由1.精神的な負担がきつい
1つ目は精神的な負担がきついという点です。
これまでにも紹介していますが、企業が情報流出すると社会的信用を失ったり経済的に影響が出ます。
万が一でも発生してはいけない状況であり、これを未然に防ぐのがセキュリティエンジニアの役割となります。
そうした重要な役割を担っているため精神的な負担がきつい、といった意見があります。
理由2.仕事の量が多く激務になりやすい
2つ目は仕事の量が多く激務になりやすいという点です。
平常時はシステムの安定的な管理を担当しますが、エラーやトラブルが発生した有事の際は迅速に対応する必要があり、環境によっては激務になりやすいです。
また、エラーやトラブルは決まったタイミングでなく、昼夜問わずに発生するためいつでも動ける体制が必要であることなどから、他の職種よりも忙しくなります。
仮に業務終了し帰宅していたとしても、状況によっては会社へ行かなければならない…ということも少なくありません。
理由3.幅広い専門知識が必要
3つ目は幅広い専門知識が必要という点です。
IT知識だけでなく、セキュリティに関する知識を扱う観点から、セキュリティエンジニアは他のエンジニアと比較しても幅広い知識が求められます。
幅広い知識を一度に覚えることはできないため、分からない単語が出てきたタイミングで勉強し理解していくことが必要です。
ただ、幅広い知識が求められるという点と、知識や情報が日々更新されていくため覚えることが多すぎて、疲れてしまうということもあるようです。
まとめ
本記事ではセキュリティエンジニアの仕事内容や将来性、未経験からなるためのステップなどを紹介してきました。
セキュリティエンジニアはこれからも伸びていく職種の1つであり、目指す価値がある仕事です。
セキュリティエンジニアに少しでも興味を持ったのであれば、ぜひ本を読んだり勉強をするなどはじめてみるのはいかがでしょうか。
