Last-Modified: 2020/07/19

【業務の経験談あり】セキュリティエンジニアの仕事内容・年収・転職方法

IT業界(SIer) 転職

こういった疑問に答えます。

この記事を書いている私の経歴は、エンジニア歴13年、うちセキュリティエンジニア歴10年の金融系エンジニアです。

インフラエンジニアを６年経験した後に、アプリケーションエンジニアに転向して7年、インフラ・アプリ双方の視点からセキュリティ担当者を兼任しました。

その間、システム内部監査、セキュリティ設計、セキュリティ診断やCSIRT立ち上げなどを経験しました。

本記事では私の経験に基づき、セキュリティエンジニアの仕事内容・年収・転職方法について解説します。

本記事の内容

• ①セキュリティエンジニアってどんな仕事？ 
• 　　セキュリティエンジニアは何をする？
• 　　内部犯行への対策も他人事でない
• 　　セキュリティエンジニアはきつい？
• 　　代表的なセキュリティ企業は？
• ②年収などの待遇と将来 
• 　　セキュリティエンジニアの待遇と年収 
• 　　セキュリティエンジニアの需要は多い 
• 　　セキュリティエンジニアの将来性 
• 　　AIの躍進で仕事はなくなる？ 
• ③未経験からセキュリティエンジニアになるには 
• 　　セキュリティエンジニアの適正があるのはどんな人材？ 

①セキュリティエンジニアの仕事内容と私の経験談

サイバー攻撃にどう対処するか

一般に、企業が保有している顧客の個人情報が漏えいしてしまう事は、企業経営において最大のリスクの１つです。

企業で個人情報が流出するセキュリティ事故件数が最も多い要因は、紛失などの人為的ミスです。

一方でセキュリティエンジニアが担当するサイバー攻撃による個人情報流出は、その規模が桁違いなため、影響が甚大です。

日本の大手ECサイトでも個人情報が流出したり、クレジットカード情報が盗まれて不正に使われるなどの事件がテレビや新聞で報道される事があります。

過去には1回で1,000万人分以上の個人情報が流出した事例もありました。

なぜ個人情報の流出やクレジットカード情報の漏洩が起きるかというと、社内の業務フローやシステムに何らかの「欠陥」があり、そこから犯罪者が情報を盗み取ることが原因です。

• SQLインジェクションなどによる自社アプリへの攻撃による漏えい
• サーバやミドルウェア、フレームワーク製品の脆弱性への攻撃による漏えい
• 内部犯行によるデータの漏えい

そして「欠陥」は、全てのIT技術に対して起こりえる事。

内部犯行への対策もセキュリティエンジニアにとって他人事でない

社内の「課長以上なら顧客の個人情報に許可なくアクセスできてしまう」といった業務フローの中にもにもセキュリティ事故が発生する可能性が潜んでいます。

最近、セキュリティについての社内業務フローが問題となったのは、ブロードリンク社の転売の事例です。

ちょっと特殊で稚拙な事例なのであまり参考にならないかもしれませんが、マスコミに大きく報道され社会問題となったので、この例を取り上げて解説します。

ハードディスクを転売したい社員が社内から重要情報の入ったハードディスクを社内から持ち出せてしまうという社内の体勢の緩さが大きな問題となりました。

神奈川県庁が使っていたファイルサーバのHDDが転売され、個人情報を含むデータが流出した問題で、流出元の情報機器リユース業者ブロードリンク（東京都中央区）は12月9日、流出のいきさつと捜査の状況を記者会見で説明した。

同社の独自調査によると、同社元従業員の高橋雄一容疑者は、2016年からHDDやUSBフラッシュメモリの他、スマートフォンやタブレットなどの情報機器を7844台転売していたという。

出典：HDDなど転売「7844個」──行政文書流出、ブロードリンクが謝罪　ずさんな管理体制明らかに 


こうした問題が起きないよう、社内の業務フローやシステムに内部犯行可能なリスクがないか見定めたり、他社の業務やシステムの監査を行うのもシステムエンジニア(中でも、主にシステムコンサルタント)の重要な業務です。

セキュリティ業務はその範囲がとても広い

セキュリティの問題は対象となる分野がとても広いため、エンジニアが主に携わるものを分類しておきます。

• アプリケーションに関するセキュリティ問題
  プログラミング言語、フレームワーク、自社アプリに対する「欠陥」の問題
• インフラに関するセキュリティ問題
  ネットワーク、OS、ミドルウェアなどの製品に対する「欠陥」の問題

エンジニアならご存知の方も多いと思いますが、この「欠陥」の問題のことをセキュリティ業界では「脆弱性」と呼びます。セキュリティエンジニアは、脆弱性などのセキュリティ問題に特化したエンジニアです。

セキュリティエンジニアは、個人情報の流出やクレジットカード情報の漏洩などのセキュリティ問題が発生しないよう社内で活動します。

【仕事内容】セキュリティエンジニアは日々何をする？

《ラック社のセキュリティ・オペレーション・センター》

セキュリティエンジニアの仕事内容

• ルール作り
  システム構築する際に守らなくてはならないセキュリティ対策ルールの策定
• 企画・計画
  いつまでにシステムのセキュリティをどの水準にレベルアップするか企画
• 設計・開発
  個別システムのセキュリティ設計・開発
• 予防
  サイバー攻撃を未然に防ぐための活動
• 事後処理
  攻撃を受けた場合の対処・影響分析

セキュリティエンジニアの仕事内容は多岐にわたります。しかし、どのような仕事内容を担当しても、情報セキュリティの最新情報に精通していることが必要です。

セキュリティエンジニアを目指す場合は、セキュリティに関するニュースを収集することを心掛けましょう。

セキュリティエンジニアになると、全てのIT技術を管轄する場合もあれば、一部を専門的に担当する場合もあります。

セキュリティエンジニアの仕事はきついの？

いずれの場合でも業務の中で最もきついのは、やはり個人情報の流出などの問題が実際に起きてしまった時でしょう。

影響範囲を調査し、原因を突き止め、穴を防ぐとともに犯人の特定を行います。

影響が大きければ、会社の社運を左右しますから、その時の仕事内容は経営層まで上がるのです。

[経営層への事故報告はセキュリティエンジニアのきつい仕事です]

1. 流出データの概要と詳細
2. 原因
3. 一時的な対策
4. 恒久的な対策
5. 再発防止策

きつい仕事ではありますが、仕事っぷりが経営層にまで届くわけですから、きちんと報告できれば評価にも繋がります。

セキュリティエンジニアとしての腕の見せ所ですね。

代表的なセキュリティ企業

大手セキュリティ企業をいくつか挙げておきます。カッコ内はopenworkの各社総合評価のポイント(5点満点)を掲載しています。

• 　ラック(3.04)
• 　NRIセキュア(3.82)
• 　NTTセキュリティ(-)
• 　シマンテック(3.25)
• 　トレンドマイクロ(3.35)
• 　アカマイ・テクノロジーズ(4.01)
• 　EMC/RSA(3.54)

いずれも強みを持つセキュリティ大手企業ですが、この他に中小企業やベンチャーでiPhoneなど特定分野のセキュリティに特化した会社があるほか、セキュリティエンジニアはSIerや大企業を中心に、一般の事業会社内にもいます。

特に一般の会社ですと、社内でセキュリティエンジニアを育成できないため、上にあげたようなセキュリティ業務に精通しているエンジニアを中途採用するケースが多いです。

多くの大企業にはCSIRTと呼ばれるセキュリティの運用部門が存在し、中途などで採用されたセキュリティエンジニアも多くいる事が多いでしょう。

セキュリティ会社についての解説記事

サイバーセキュリティ会社
ランキング2020
【売上・年収・評価】

サイバーセキュリティ会社のまとめです。就職・転職を希望する方が優良企業を選ぶことができるよう、サイバーセキュリティ関連企業の一覧をランキング形式で紹介します→サイバーセキュリティ会社の特徴／サイバーセキュリティ会社ランキング2020

②年収などの待遇と将来性

セキュリティエンジニアの待遇と年収

セキュリティエンジニアの平均年収は、30歳前後で600万円程度です。年収は個人の能力によって大きく異なりますが、初級スキルの持ち主であれば年収は300万円～500万円位からスタートすることが多いでしょう。

高い技術力または管理などの業務経験があれば、年収1,000万円以上稼ぐことができます。

人材不足のため、セキュリティエンジニアの需要は多い

インターネットの急速な普及と発展によって、情報セキュリティの重要性が年々高まっていることは言うまでもありません。

サイバー攻撃の被害者は、世界では1日あたり100万人以上、日本だけで見ても1日1万人以上にのぼります。そのため大手を始め中小企業やベンチャーでも、専門の技術者の需要が増しており、求人は多いです。

従業員100人以上の国内企業の情報セキュリティー関連技術者は約28万人。十分な防御体制を整えるには10万人以上のセキュリティエンジニアが不足しているとの試算もあり、さらなる人材の育成が急務となっています。

セキュリティエンジニアの将来性

こうした人材不足を背景に、経済産業省は産業サイバーセキュリティセンターを発足。社内のセキュリティ実務を行える人材の育成に取り組んでいます。

総務省もホワイトハッカーの養成に本腰を入れており、若手セキュリティエンジニア育成プログラム「SecHack365」を発足。

合格者の47名には小・中学生も含まれており、セキュリティ業界では話題になりました。
（ちなみにホワイトハッカーとはサイバー攻撃を行える高度なIT技術・知識・ツールなどをサイバー攻撃対策など善良な目的に活かす人のことを指します。）

冒頭で述べたとおり、IT技術の全てにセキュリティの課題が潜んでいるため、今後もIT技術が高度になるに連れて、セキュリティエンジニアの需要は高まります。

セキュリティエンジニアは将来性が高い職種

ところで、IT技術が高度になると、AIに仕事を代替されないでしょうか。

AIの躍進でセキュリティエンジニアの仕事はどうなる？仕事が無くなる？

AIが進歩すると、セキュリティエンジニアの仕事は減るのでしょうか？実は既にセキュリティ製品のAI化は進んでおり、例えばシステムが「攻撃を受けたか？」を判断するのに様々な情報を組合わせて判断しなくてはならない場合があるのですが、それを人手ではなくAIが判断してくれるようになっています。

セキュリティエンジニアはAIの判断を元に最終判断することでよりセキュリティレベルをあげる事ができます。またAIもIT技術の一つですから、AIに関するセキュリティ対策も今後セキュリティエンジニアの大きな仕事となっていくため、仕事が無くなることはないでしょう。

③未経験からセキュリティエンジニアになるには

ここまで、セキュリティエンジニアの仕事について簡単にご説明してきました。次にセキュリティエンジニアになるためには、どうすれば良いのでしょうか？

３つのキャリアステップがある

• 新卒または転職で、ITセキュリティを専門とする会社に就職する
• プログラマーなどの通常のエンジニア職からキャリアチェンジする
• 一般の事業会社にある、CSIRT等のセキュリティ部門に異動する

文系・理系問わずセキュリティエンジニアになる事ができますが、セキュリティエンジニアとして転職を考えている方であれば、どこの企業でも自分のスキルを証明できる実績が必要になります。

未経験では業務実績がないため、独学で勉強して資格を取る事によってスキル証明を行いましょう。

エンジニアとして数年の経験があれば、まずは国家資格である「情報処理安全確保支援士」を取得するのがおすすめです。特定の製品や分野に偏らず、最も汎用的に使えるセキュリティ資格だからです。

エンジニアとしての経験をもとに教科書をしっかり学習すれば、独学でも取得できるでしょう。私も６年前に取得しました(旧名：情報セキュリティスペシャリストでした)。

セキュリティエンジニアの適正があるのはどんな人材？

セキュリティエンジニアには高度な技術力が求められます。一方でセキュリティは会社の経営層から見た場合にも最重要事項であり、現場の課題を経営層にまでエスカレーションしなくてはなりません。つまり、高い技術力と高いコミュニケーションが求められるのがセキュリティエンジニアの仕事です。

この辺りは会社の事業内容や規模に応じても変わってきます。LACのようにセキュリティ専業で技術力を重視している会社であれば、セキュリティ技術一本でも食べていけるでしょうし、大手企業のセキュリティエンジニアやセキュリティコンサルタント、事業会社のセキュリティ担当になると、コミュニケーション能力が重視されるでしょう。どちらのケースにおいても、常に最新のセキュリティ動向に関心を持っていることが大変重要です。

セキュリティ関連の資格一覧

「情報処理安全確保支援士」以外のセキュリティ関連資格を挙げます。

シスコ技術者認定(セキュリティ関連のみ)

• CCENT
  基礎レベルの資格で、基本的なネットワークセキュリティの知識を認定します。
• CCNA Security
  セキュリティエンジニアになるための基礎レベルの資格です。
• CCNP Security
  セキュリティエンジニアとしては、上位レベルの資格です。
• CCIE Security
  最高難易度の資格で、国際的にも通用します。取得すれば、一流のセキュリティスペシャリストとして評価されます。上位レベルの資格を取得するためには、下位レベルの資格の取得が必須です。
• CompTIA Security+
  CompTIA Securityが実施する資格試験です。国際的に認知されている資格なので、技術者としてのスキルレベルを十分証明できます。
  具体的には、以下の分野から出題されます。
  ・ネットワークセキュリティ
  ・コンプライアンスと運用セキュリティ
  ・脅威と脆弱性
  ・データ、アプリケーション、ホスティングセキュリティ
  ・アクセスコントロール
  ・認証マネジメント
  ・暗号化

・ネットワーク情報セキュリティマネージャー(NISM)
ネットワーク情報セキュリティマネージャーは、セキュリティ専門家の育成を目的として、攻撃者による不正アクセスなどの危険性に対処するために創設されたベンダーフリーの資格試験です。
NISM推進協議会が実施する資格認定の講習を受講し、一定のレベルに達すると有資格者として認定されます。

以下は一般事業会社でセキュリティ業務を行う場合に有効な資格です。国際セキュリティ団体のISAKAが主催する国際資格です。

• 公認情報システム監査人(CISA)
  情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を認定する国際的な資格です。
• 公認情報セキュリティマネージャー(CISM)
  公認情報セキュリティマネージャーは、セキュリティプログラムのマネジメントや設計、監督などを行う情報システム監査人を対象としています。

なにか資格を持っていないとセキュリティエンジニアになれないということはありません。しかし資格を持っておくことは、一定の能力を証明でき、就職の際に有利となるのも事実です。

【番外編】大学院でセキュリティのプロフェッショナルを目指す

大学院でも実践的なセキュリティを学ぶ事ができます。大学院を中心に、セキュリティ分野に強い大学を挙げます。

• 情報セキュリティ大学院大学
• 兵庫県立大学　大学院応用情報科学研究科

兵庫県立大学　大学院応用情報科学研究科では、セキュリティ分野の最高峰の一つであるCMUの教育を受けることも出来ます（ただし授業料が高いです）

SecCap

SecCapは国内有名大学の情報系学科が連携し、セキュリティ分野の総合的な演習科目を学生に提供しています。

連携校

東北大学	工学部電気情報物理工学科（情報知能システム総合学科）
北海道大学	工学部情報エレクトロニクス学科
北海道大学	工学部情報エレクトロニクス学科
静岡大学	情報学部情報科学科
京都大学	工学部情報学科（計算機科学コース）
大阪大学	工学部電子情報工学科 基礎工学部情報科学科 理学部数学科
和歌山大学	システム工学部
岡山大学	工学部電気通信系学科 工学部情報系学科
九州大学	工学部電気情報工学科計算機工学課程
長崎県立大学	情報セキュリテイ学科
慶應義塾大学	理工学部 総合政策学部 環境情報学部
東京電機大学	未来科学部情報メディア学科
北陸先端科学技術大学院大学	情報科学系
奈良先端科学技術大学院大学	情報科学研究科
情報セキュリティ大学院大学	情報セキュリティ研究科

---

今回は以上です。セキュリティエンジニアは高度な技術力とコミュニケーション能力が求められる、今の時代にマッチした仕事なのでオススメです。

セキュリティエンジニアの求人は年収の高い案件も多く、夢のあるお仕事ですので是非挑戦してみたください！それでは。

IT業界で働くなら、こちらの記事も参考になります

IT業界地図とSIerマップを解説【業界研究にお役立て下さい】

　SIerとは
　IT業界地図とその代表的企業・・・大きな地図
　SI業界地図とその代表的企業・・・小さな地図
　おすすめのSIer紹介 & もうひとつの地図

インフラエンジニアとは？ | わかりやすく解説します

　インフラとは
　インフラエンジニアってどんな仕事？
　インフラエンジニアになるためには？
　インフラエンジニアの将来性

セキュリティエンジニアの仕事内容・年収・転職方法について解説します

　セキュリティエンジニアってどんな仕事？
　年収などの待遇と将来性
　未経験からセキュリティエンジニアになるには

IT業界での失敗談 | 私の失敗をあなたの糧にして下さい【経験談】

　　就職活動での失敗談
　　新人時代の失敗談
　　職種転向時の失敗談
　　中堅時代の失敗談

人気記事ITエンジニア転職サイト・転職エージェントランキング2020

セキュリティエンジニア 年収

---