昨今セキュリティ人材について不足しているというニュースが多くありますが、一口にセキュリティと言っても色々な仕事内容があります。
今回は、セキュリティエンジニアに転職を目指している皆さんに、セキュリティエンジニアの仕事内容や必要なスキル、どんな会社で働くことができるかをご紹介してきます。
目次
なぜ最近セキュリティ人材が求められているのか
昨今、日本だけでなく全世界で、サイバー攻撃による個人情報の流出や、金融資産の流失、システム妨害による金銭被害が多発しています。
例として、近年発生した日本での大規模なセキュリティ事故をご紹介します。
サイバー攻撃事例:2018年2月コインチェック社仮想通貨流出事件
仮想通貨「NEM」を取り扱っている「コインチェック株式会社」が、外部からサイバー攻撃を受け580億円相当の仮想通貨を流出した事件です。
サイバー攻撃を受けた原因として、推奨されているセキュリティ対策である、通貨の秘密鍵をオフラインで保管するという対策を行っていなかったことが原因であると言われています。
内部不正事例:2014年7月ベネッセ社個人情報流出事件
ベネッセの社内に勤務している委託先の社員が、スマートフォンをサーバに不正に接続し、サーバ内の顧客情報3500万件を外部に不正に持ち出した事件です。
事例1とは違い、内部の人間による内部不正が原因であり、外部からの攻撃だけでなく内部不正対策の重要性を世間に再認識させる事件となりました。
その他の事例
参考 個人情報漏洩事件・事故一覧Security Nextセキュリティエンジニアの仕事内容
セキュリティの仕事と言っても、本当に様々な仕事があります。
転職を考えている皆さんは、これからご紹介する仕事のうち、自分がどの仕事をしたいのか一度考えたうえでエントリーする会社を選択することをお勧めします。
セキュリティ研修講師
セキュリティに関する研修を開催し、講師として教鞭をとる仕事です。
社内の人間として自社の社員に対してセキュリティ研修を開催する働き方と、外部講師として社外に研修に行く働き方があります。
セキュリティ研修講師として仕事ができる企業例
参考 ラーニング事業サイトNECマネジメントパートナー 参考 セキュリティ教育・訓練LAC 参考 教育サービスCTCセキュリティ研修講師に求められるスキル
講義する内容だけでなく、セキュリティ全般に対する広くある程度深い知識が必要です。
システム監査人
システム監査人として、システムの運用やセキュリティ対策が正しく行われているか監査を実施する仕事です。
こちらも、自社内のシステムを監査する働き方(内部監査人)と監査人として社外に監査に行く働き方(外部監査人)があります
システム監査人として仕事ができる企業例
参考 あずさ監査法人あずさ監査法人 参考 トーマツトーマツ 参考 あらた監査法人あらた監査法人システム監査人に求められるスキル
- 監査人としての考え方の知識
- ネットワークに関する知識
- サーバに関する知識
- 脆弱性に関する知識
脆弱性診断技術者
システムの開発が終了した段階で、ハッカーに攻撃されてしまうようなセキュリティ上の欠陥(脆弱性)が残っていないか確認を行う仕事です。
脆弱性診断にも大きく以下の3種類の診断があります。
ネットワーク診断技術者
インターネット経由等でサーバにアクセスし、ネットワークやサーバの脆弱性を確認するタイプの診断をする技術者です。
WEBアプリケーション技術者
WEBアプリケーションに対して疑似攻撃を行うことで、WEBアプリケーションの脆弱性を確認するタイプの診断をする技術者です。
ペネトレーションテスト技術者
実際にハッカーのように侵入するシナリオを作り、シナリオ通りに攻撃が成功したかを確認するタイプの診断をする技術者です。
脆弱性診断技術者として仕事ができる企業例
参考 LACLAC 参考 NTTデータ先端技術NTTデータ先端技術 参考 シマンテックシマンテック脆弱性診断技術者に求められるスキル
- ネットワークに関する知識
- サーバに関する知識
- WEBアプリケーション、iOS、Androidに関する知識
- 脆弱性に関する知識
SOC(セキュリティオペレーションセンター)
セキュリティオペレーションセンターというところでネットワークの監視を行い、DDOS攻撃や、パスワードリスト攻撃等が行われた場合に速やかにインシデントレスポンスを行うような仕事です。
SOCで仕事ができる企業例
参考 NTTコミュニケーションズNTTコミュニケーションズ 参考 デロイトトーマツデロイトトーマツ 参考 IIJIIJ・ネットワークに関する知識
アプリケーションセキュリティ
WEBアプリケーションセキュリティ
企業のWEBコンテンツを作成するときに、脆弱性が無いように仕様を検討する仕事です。
iOS,Androidアプリケーションセキュリティ
企業でiOSやAndroidアプリを作る時に、脆弱性が無いように仕様を検討する仕事です。
- WEBアプリケーション、iOS、Androidに関する知識
- 脆弱性に関する知識
インフラセキュリティ
こちらは、一般的なSEに近いポジションになるかもしれません。
企業でシステムを構築するときに、ネットワークやOS,FW,ソフトウェアに脆弱性が無いように仕様を検討する仕事です。
IPS監視、運用
企業内で運用されているIPSを監視し、不正なネットワークの動作が検知されたときに影響調査や事後対応を行う仕事です。
セキュリティ製品ベンダー
ウイルス対策ソフトや暗号化のソフトなど、セキュリティに関する製品を自社で製造、販売する仕事です。
セキュリティベンダーとして仕事ができる企業例
参考 製品紹介:ディープセキュリティトレンドマイクロ 参考 エンドポイント標的型攻撃対策製品yaraiFFRI 参考 仮想デスクトップサービス V-DaaS富士通セキュアプログラミング
WEBアプリケーションや、Androidアプリケーションの発注を受けたのちに、セキュアにプログラミングを行い脆弱性が無い形で企業に納品する仕事です。
関連:いまエンジニアとして学ぶべきプログラミング言語まとめ| Ruby,Python,Go
セキュリティコンサルティング
コンサルタントとして、他社のリスクを分析し、適切なセキュリティアドバイスを提案。他社のセキュリティレベルの向上に貢献する仕事です。
セキュリティコンサルタントとして仕事ができる企業例
参考 KPMGKPMG 参考 デロイトトーマツデロイトトーマツ 参考 アクセンチュアアクセンチュアセキュリティコンサルタントに求められるスキル
・セキュリティに関する広く深い様々なスキルが必要になります。
審査機関(ISMS,PCI-DSSなど)
セキュリティに関するフレームワーク(ISMSやPCI-DSSなど)が企業で正しく運用されているか、第三者として確認を行う仕事です。
審査機関として仕事ができる企業例
ISMS
参考 bsiジャパンbsiジャパンPCIDSS
参考 NRIセキュアテクノロジーNRIセキュアテクノロジー審査機関の職員に求められるスキル
・認証するフレームワークに対する知識
関連:セキュリティ人材への転職やスキルアップにオススメな書籍まとめ
セキュリティエンジニアに転職するのに有利な資格
セキュリティエンジニアに転職するのに有利な資格ですが、どの仕事をするかによって有利な資格が異なってきます。
今からご紹介する資格は、すべて取得していれば転職時に武器になる資格ですので
ご自身が担当したい業務とマッチするような資格を選んで受験されることをお勧めします。
セキュリティ共通系
情報セキュリティスペシャリスト 情報処理安全確保支援士(IPA)
情報セキュリティスペシャリストまたは、情報処理安全確保支援士は、IPAが実施しているセキュリティの国家資格です。
セキュリティに関する様々な知識を体系的に学習することができます。
セキュリティマネジメント系資格
CISSP(ISC2)
CISSPは、ISC2という団体が実施しているセキュリティ資格です。
国際的に認められた情報セキュリティ・プロフェッショナル認証資格です。
セキュリティマネジメントとして、経営層をサポートしていくための知識を体系的に学習することができます。
ちなみに、アメリカ国防総省で勤務するための必須スキル要件の一つにもなっています。
CISM(Certified Information Security Manager)(ISACA)
CISMは、ISACAという団体が実施しているセキュリティ資格です。
CISSPと同様にセキュリティマネジメントを行い、経営層をサポートしていくための「考え方」を体系的に学習できます。
ネットワーク系資格
ネットワークセキュリティスペシャリスト
ネットワークセキュリティスペシャリストも、IPAが実施している国家資格です。
ネットワークスペシャリストと、セキュリティスペシャリストは試験範囲がかなり被っているので
併せて資格を取ることで、履歴書の魅力向上を図ることができお勧めです。
内容としては、ネットワークに関する様々な知識を体系的に学習するとともに、ネットワークに関するセキュリティも学習できます。
CCNA Cecurity /CCNP Security/ CCIE Security
こちらは、Cisco社が提供している、Ciscoのルーターに関するセキュリティ資格です。
Ciscoのルーターは様々な企業で利用されており、こちらの資格を保持していることでCiscoルーターを利用している会社では
ネットワークのスペシャリストとして仕事ができます。
ネットワークの資格ですが、セキュリティについても有効な資格になります。
監査人系資格
CISA (Certified Information Systems Auditor)(ISACA)
CISAはCISMと同様、ISACAという団体が実施している内部監査に関する資格です。
内部監査人として、企業のリスクを洗い出し、有効な監査を実施するための考え方を
体系的に学ぶことができます。
システム監査技術者(IPA)
システム監査技術者は、IPAが実施しているシステム監査に関する国家資格です。
IPAの資格の中でも最難関と言われており、監査人としての知識や心構えが体系的に学習できます。
関連:セキュリティ人材への転職やスキルアップにオススメな資格まとめ
セキュリティエンジニアの採用に強い転職サイト、転職エージェント
転職支援サービスには、必ず3~5サービス以上を登録しましょう。エージェントに利用サービスを1つに絞ったほうが良いと言われても、信用してはいけません!理由は後述します。
実績があり信頼できるのは以下のサービスです。
絶対登録すべきサービス- リクナビNEXT|王道サイト
- 社長online|経営者特化の経営情報サービス
- unistyle|新卒就活なら
- いい就職ドットコム|転職・第二新卒就職なら
- アデコの転職支援サービス|あなたに合った転職を実現!
- アデコ|理想の職場が見つかる!
関連:セキュリティ人材への転職にオススメな転職サイト、転職エージェントまとめ