IT業界でセキュリティエンジニアの仕事内容・年収・転職方法まとめ

IT業界(SIer) 転職

セキュリティに興味のあるシステムエンジニア「セキュリティエンジニアってどんな仕事だろう。専門的で難しい感じがするし、きつい仕事?でもサイバー攻撃対策とかドンドン新しい技術が使えそうだし、楽しい仕事なら転職してみたいなあ。」

こういった疑問に答えます。

本記事の内容

  • ①セキュリティエンジニアってどんな仕事?
  • ②年収などの待遇と将来性
  • ③未経験からセキュリティエンジニアになるには

この記事を書いている私は、IT業界歴12年。インフラエンジニアを6年経験した後に、アプリケーションエンジニアに転職して6年です。その間の10年はセキュリティエンジニアを兼任。

システム内部監査、セキュリティ設計、セキュリティ診断やCSIRT立ち上げなどを経験。SIerに勤務し、現在の年収は1,000万円ちょっと。その経験を踏まえてこの記事を書きました。

①セキュリティエンジニアってどんな仕事?

サイバー攻撃にどう対処するか

企業が保有している顧客の個人情報が漏えいしてしまう事は、企業経営において最大のリスクの1つといえます。
企業で個人情報が流出する要因の最も多いケースは、紛失などの人為的ミスです。しかしサイバー攻撃による個人情報流出は、その規模が桁違いなのです。

日本の大手ECサイトでも個人情報が流出したり、クレジットカード情報が盗まれて不正に使われるなどの事件がテレビや新聞で報道される事があります。
過去には1回で1,000万人分以上の個人情報が流出した事例もありました。

なぜ個人情報の流出やクレジットカード情報の漏洩が起きるかというと、社内の業務フローやシステムに何らかの「欠陥」があり、そこから犯罪者が情報を盗み取ることが原因です。

  • SQLインジェクションなどによる自社アプリへの攻撃による漏えい
  • サーバやミドルウェア、フレームワーク製品の脆弱性への攻撃による漏えい
  • 内部犯行によるデータの漏えい

そして「欠陥」というのは、全てのIT技術に対して起こりえる事ですし、「課長以上なら顧客の個人情報に許可なくアクセスできてしまう」といった業務フローにもセキュリティの問題は潜んでいます。

セキュリティ業務はその範囲がとても広い

セキュリティの問題は対象となる分野がとても広いため、エンジニアが主に携わるものを分類しておきます。

  • アプリケーションに関するセキュリティ問題
    プログラミング言語、フレームワーク、自社アプリに対する「欠陥」の問題
  • インフラに関するセキュリティ問題
    ネットワーク、OS、ミドルウェアなどの製品に対する「欠陥」の問題

エンジニアならご存知の方も多いと思いますが、この「欠陥」の問題のことをセキュリティ業界では「脆弱性」と呼びます。セキュリティエンジニアは、脆弱性などのセキュリティ問題に特化したエンジニアです。

セキュリティエンジニアは、個人情報の流出やクレジットカード情報の漏洩などのセキュリティ問題が発生しないよう社内で活動します。

【仕事内容】セキュリティエンジニアは日々何をする?仕事はきついの?


《ラック社のセキュリティ・オペレーション・センター》

セキュリティエンジニアの仕事内容

  • ルール作り
    システム構築する際に守らなくてはならないセキュリティ対策ルールの策定
  • 企画・計画
    いつまでにシステムのセキュリティをどの水準にレベルアップするか企画
  • 設計・開発
    個別システムのセキュリティ設計・開発
  • 予防
    サイバー攻撃を未然に防ぐための活動
  • 事後処理
    攻撃を受けた場合の対処・影響分析

セキュリティエンジニアの仕事内容は多岐にわたります。しかし、どのような仕事内容を担当しても、情報セキュリティの最新情報に精通していることが必要です。

セキュリティエンジニアを目指す場合は、セキュリティに関するニュースを収集することを心掛けましょう。

セキュリティエンジニアになると、全てのIT技術を管轄する場合もあれば、一部を専門的に担当する場合もあります。

いずれの場合でも業務の中で最もきついのは、やはり個人情報の流出などの問題が実際に起きてしまった時でしょう。影響範囲を調査し、原因を突き止め、穴を防ぐとともに犯人の特定を行います。影響が大きければ、会社の社運を左右しますから、その時の仕事内容は経営層まで上がるのです。

セキュリティエンジニアはどういう会社で働いている?

大手セキュリティ会社をいくつか挙げておきます。

  • ラック
  • NRIセキュア
  • NTTセキュリティ
  • シマンテック(外資系企業)
  • トレンドマイクロ(外資系企業)
  • アカマイ・テクノロジーズ(外資系企業)
  • EMC/RSA(外資系企業)

いずれも強みを持つセキュリティ大手企業ですが、この他に中小企業やベンチャーでiPhoneなど特定分野のセキュリティに特化した会社があるほか、セキュリティエンジニアはSIerや大企業を中心に、一般の事業会社内にもいます。

特に一般の会社ですと、社内でセキュリティエンジニアを育成できないため、上にあげたようなセキュリティ業務に精通しているエンジニアを中途採用するケースが多いです。

多くの大企業にはCSIRTと呼ばれるセキュリティの運用部門が存在し、中途などで採用されたセキュリティエンジニアも多くいる事が多いでしょう。

②年収などの待遇と将来性

【待遇】セキュリティエンジニアの年収【年収1,000万円も可能】

セキュリティエンジニアの平均年収は、30歳前後で600万円程度です。年収は個人の能力によって大きく異なりますが、初級スキルの持ち主であれば年収は300万円~500万円位からスタートすることが多いでしょう。

高い技術力または管理などの業務経験があれば、年収1,000万円以上稼ぐことができます。

人材不足のため、セキュリティエンジニアの需要は多い

インターネットの急速な普及と発展によって、情報セキュリティの重要性が年々高まっていることは言うまでもありません。

サイバー攻撃の被害者は、世界では1日あたり100万人以上、日本だけで見ても1日1万人以上にのぼります。そのため大手を始め中小企業やベンチャーでも、専門の技術者の需要が増しており、求人は多いです。

従業員100人以上の国内企業の情報セキュリティー関連技術者は約28万人。十分な防御体制を整えるには10万人以上のセキュリティエンジニアが不足しているとの試算もあり、さらなる人材の育成が急務となっています。

セキュリティエンジニアの将来性

こうした人材不足を背景に、経済産業省は産業サイバーセキュリティセンターを発足。社内のセキュリティ実務を行える人材の育成に取り組んでいます。

総務省もホワイトハッカーの養成に本腰を入れており、若手セキュリティエンジニア育成プログラム「SecHack365」を発足。

合格者の47名には小・中学生も含まれており、セキュリティ業界では話題になりました。
(ちなみにホワイトハッカーとはサイバー攻撃を行える高度なIT技術・知識・ツールなどをサイバー攻撃対策など善良な目的に活かす人のことを指します。)

冒頭で述べたとおり、IT技術の全てにセキュリティの課題が潜んでいるため、今後もIT技術が高度になるに連れて、セキュリティエンジニアの需要は高まります。

セキュリティエンジニアは将来性が高い職種

ところで、IT技術が高度になると、AIに仕事を代替されないでしょうか。

AIの躍進でセキュリティエンジニアの仕事はどうなる?仕事が無くなる?

AIが進歩すると、セキュリティエンジニアの仕事は減るのでしょうか?実は既にセキュリティ製品のAI化は進んでおり、例えばシステムが「攻撃を受けたか?」を判断するのに様々な情報を組合わせて判断しなくてはならない場合があるのですが、それを人手ではなくAIが判断してくれるようになっています。

セキュリティエンジニアはAIの判断を元に最終判断することでよりセキュリティレベルをあげる事ができます。またAIもIT技術の一つですから、AIに関するセキュリティ対策も今後セキュリティエンジニアの大きな仕事となっていくため、仕事が無くなることはないでしょう。

③【転職方法】未経験からセキュリティエンジニアになるには【文系・理系は問いません】


ここまで、セキュリティエンジニアの仕事について簡単にご説明してきました。それでは、セキュリティエンジニアになるためには、どうすれば良いのでしょうか?

  • 未経験の新米セキュリティエンジニアとして求人に応募し、転職する
  • 社内のセキュリティ部門に異動する

文系・理系問わずセキュリティエンジニアになる事ができますが、セキュリティエンジニアとして転職を考えている方であれば、どこの企業でも自分のスキルを証明できる実績が必要になります。

未経験では業務実績がないため、独学で勉強して資格を取る事によってスキル証明を行いましょう。

エンジニアとして数年の経験があれば、まずは国家資格である「情報処理安全確保支援士」を取得するのがおすすめです。特定の製品や分野に偏らず、最も汎用的に使えるセキュリティ資格だからです。

エンジニアとしての経験をもとに教科書をしっかり学習すれば、独学でも取得できるでしょう。私も6年前に取得しました(旧名:情報セキュリティスペシャリストでした)。

もしエンジニアとしての経験がない場合は、次のいずれかになります。

  • セキュリティエンジニアになる方法1:
    → 新卒でセキュリティ会社に就職する
  • セキュリティエンジニアになる方法2:
    → プログラマーまたはインフラエンジニア・アプリケーションエンジニアからキャリアアップしてセキュリティエンジニアを目指す
  • セキュリティエンジニアになる方法3:
    → 一般の事業会社に就職してCSIRTなど社内セキュリティ部門に異動希望を出す

セキュリティエンジニアの適正があるのはどんな人材?

セキュリティエンジニアには高度な技術力が求められます。一方でセキュリティは会社の経営層から見た場合にも最重要事項であり、現場の課題を経営層にまでエスカレーションしなくてはなりません。つまり、高い技術力と高いコミュニケーションが求められるのがセキュリティエンジニアの仕事です。

この辺りは会社の事業内容や規模に応じても変わってきます。LACのようにセキュリティ専業で技術力を重視している会社であれば、セキュリティ技術一本でも食べていけるでしょうし、大手企業のセキュリティエンジニアやセキュリティコンサルタント、事業会社のセキュリティ担当になると、コミュニケーション能力が重視されるでしょう。どちらのケースにおいても、常に最新のセキュリティ動向に関心を持っていることが大変重要です。

セキュリティ関連の資格一覧

「情報処理安全確保支援士」以外のセキュリティ関連資格を挙げます。

シスコ技術者認定(セキュリティ関連のみ)

  • CCENT
    基礎レベルの資格で、基本的なネットワークセキュリティの知識を認定します。
  • CCNA Security
    セキュリティエンジニアになるための基礎レベルの資格です。
  • CCNP Security
    セキュリティエンジニアとしては、上位レベルの資格です。
  • CCIE Security
    最高難易度の資格で、国際的にも通用します。取得すれば、一流のセキュリティスペシャリストとして評価されます。上位レベルの資格を取得するためには、下位レベルの資格の取得が必須です。
  • CompTIA Security+
    CompTIA Securityが実施する資格試験です。国際的に認知されている資格なので、技術者としてのスキルレベルを十分証明できます。
    具体的には、以下の分野から出題されます。
    ・ネットワークセキュリティ
    ・コンプライアンスと運用セキュリティ
    ・脅威と脆弱性
    ・データ、アプリケーション、ホスティングセキュリティ
    ・アクセスコントロール
    ・認証マネジメント
    ・暗号化

・ネットワーク情報セキュリティマネージャー(NISM)
ネットワーク情報セキュリティマネージャーは、セキュリティ専門家の育成を目的として、攻撃者による不正アクセスなどの危険性に対処するために創設されたベンダーフリーの資格試験です。
NISM推進協議会が実施する資格認定の講習を受講し、一定のレベルに達すると有資格者として認定されます。

以下は一般事業会社でセキュリティ業務を行う場合に有効な資格です。国際セキュリティ団体のISAKAが主催する国際資格です。

  • 公認情報システム監査人(CISA)
    情報システムの監査および、セキュリティ、コントロールに関する高度な知識、技能と経験を認定する国際的な資格です。
  • 公認情報セキュリティマネージャー(CISM)
    公認情報セキュリティマネージャーは、セキュリティプログラムのマネジメントや設計、監督などを行う情報システム監査人を対象としています。

なにか資格を持っていないとセキュリティエンジニアになれないということはありません。しかし資格を持っておくことは、一定の能力を証明でき、就職の際に有利となるのも事実です。

【番外編】大学院でセキュリティのプロフェッショナルを目指す

大学院でも実践的なセキュリティを学ぶ事ができます。大学院を中心に、セキュリティ分野に強い大学を挙げます。

  • 情報セキュリティ大学院大学
  • 兵庫県立大学 大学院応用情報科学研究科

兵庫県立大学 大学院応用情報科学研究科では、セキュリティ分野の最高峰の一つであるCMUの教育を受けることも出来ます(ただし授業料が高いです)

SecCap

SecCapは国内有名大学の情報系学科が連携し、セキュリティ分野の総合的な演習科目を学生に提供しています。

連携校

東北大学 工学部電気情報物理工学科(情報知能システム総合学科)
北海道大学 工学部情報エレクトロニクス学科
北海道大学 工学部情報エレクトロニクス学科
静岡大学 情報学部情報科学科
京都大学 工学部情報学科(計算機科学コース)
大阪大学 工学部電子情報工学科
基礎工学部情報科学科
理学部数学科
和歌山大学 システム工学部
岡山大学 工学部電気通信系学科
工学部情報系学科
九州大学 工学部電気情報工学科計算機工学課程
長崎県立大学 情報セキュリテイ学科
慶應義塾大学 理工学部
総合政策学部
環境情報学部
東京電機大学 未来科学部情報メディア学科
北陸先端科学技術大学院大学      情報科学系
奈良先端科学技術大学院大学 情報科学研究科
情報セキュリティ大学院大学 情報セキュリティ研究科

今回は以上です。セキュリティエンジニアは高度な技術力とコミュニケーション能力が求められる、今の時代にマッチした仕事なのでオススメです。

セキュリティエンジニアの求人は年収の高い案件も多く、夢のあるお仕事ですので是非挑戦してみたください!それでは。