近年特に重視されるようになっているのが、情報セキュリティです。国家資格として新たに「情報処理安全確保支援士」など、セキュリティ関連業務に携わるセキュリティエンジニアの育成・確保に注目が集まっています。
この記事ではこれからセキュリティエンジニアを目指す方へ向けて、セキュリティエンジニアとはどんな仕事なのかを詳しくご紹介すると共に、関連する資格や年収など役立つ情報をまとめましたので、ぜひ参考にしてください。
1. セキュリティエンジニアとは?わかりやすく解説
インターネットの普及による様々な恩恵によって、私たちの生活はより便利で豊かになりました。その一方で、個人情報の流出などのニュースなどが聞かれるようになり、情報セキュリティ事故は企業の事業存続をも脅かす重要課題として挙げられています。
企業はそれぞれ、多くのコンピュータや各種データを保持しており、それらは外部から守るべき物として捉えられています。ICカードを発行して特定の人だけがオフィスに入れるようにすることや、PCのワイヤーロック、ウイルス対策ソフトの導入やセキュリティ研修の徹底など、守るべき事柄によってその手段も様々あります。
セキュリティエンジニアとは、これらの情報セキュリティに関する幅広い業務を遂行するエンジニアのことを言います。
1.1 セキュリティエンジニアの定義
セキュリティエンジニアとは、情報セキュリティを考慮したネットワークの設計・運用・管理を行うことを主な業務とするITエンジニア。
具体的な業務の例としては、次のようなものが挙げられます。
• 外部からの攻撃に強いネットワークの構成
• セキュリティ機器の導入
• コンピュータウイルス感染の防止
• 不正アクセスの制御 など
企業等が保有するサーバーは日々、コンピュータウイルスや、スパイウェア、不正アクセス、内部犯行による個人情報漏洩など、様々な脅威にさらされています。それらの脅威からコンピュータシステムを守るために脆弱性を無くすよう対策を考え、そして実行するのがセキュリティエンジニアの役割です。
■ セキュリティエンジニアとネットワークエンジニアの違い
セキュリティエンジニアとネットワークエンジニアの違いは以下の通りです。
| 職種 | 役割 |
|---|---|
| セキュリティエンジニア | 外部からの脅威やシステムの脆弱性に関する知見が求められ、それらに基づいたネットワーク構成やウイルス対策などを実施する |
| ネットワークエンジニア | 企業内で使用するコンピューターや電子機器同士をつないで最適なネットワーク環境を構築し、運用する |
なおセキュリティエンジニアには、ネットワークエンジニアのような知識も求められます。外部からの脅威への対策には、ウイルス対策だけでなく最適なネットワーク構成なども重要なためです。
■ セキュリティエンジニアとホワイトハッカーの違い
セキュリティエンジニアとホワイトハッカーの違いは以下の通りです。
| 職種 | 役割 |
|---|---|
| セキュリティエンジニア | 外部からの脅威やシステムの脆弱性に関する知見が求められ、それらに基づいたネットワーク構成やウイルス対策などを実施する |
| ホワイトハッカー | コンピューターへの不正アクセスや侵入を行うクラッカーの脅威から国や企業の情報を守る。サイバー攻撃を仕掛ける「ブラックハッカー」の対義語 |
サイバー攻撃を仕掛けるハッカーをブラックハッカー(ブラックハットハッカー)やクラッカーと呼び、反対に知識と技術を善良な目的に使う人をホワイトハッカーと呼びます。
ホワイトハッカーのことを、企業によっては「セキュリティエンジニア」や「セキュリティコンサルタント」と呼ぶこともあります。つまりコンピューターへの不正アクセスや侵入を行うクラッカーの脅威から国や企業の情報を守るのがホワイトハッカーの役割。役割としてはセキュリティエンジニアと比較的近いです。
なおホワイトハッカーはより「セキュリティに関するコンサルタント寄りのポジション」を指すケースもあります。
1.2 セキュリティエンジニアの仕事内容
セキュリティエンジニアが担当する業務は非常に幅広く存在します。ここではいくつかをご紹介します。
| 業務 | 内容 |
|---|---|
| セキュリティコンサルタント業務 | 顧客の情報セキュリティレベルを維持管理するコンサルタント業務 |
| セキュリティインフラの設計・構築 | ファイアウォールなどのセキュリティ機器、不正侵入検知/防御システム(IDS/IPS)などを用いて、セキュリティを意識したITインフラの設計構築を行う業務 |
| セキュリティインフラの運用保守・監視 | 稼働しているITインフラやセキュリティ機器からのログを24時間365日監視し、不正アクセスなどを検知した際に早急に対応する業務 |
| セキュリティを意識したソフトウェアの設計・実装 | ソフトウェアのセキュリティレベルを向上させ、セキュリティの維持を図っていく業務 |
| システムの脆弱性診断 | 脆弱性診断(テスト)を行う業務 |
■ セキュリティコンサルタント業務
セキュリティ関連のトラブルを未然に防ぎ、もしインシデントが発生した場合には速やかに対応するための対策を企画・提案するコンサルタント業務です。
IT環境の診断・分析から改善策を検討して提案し、セキュリティ製品の導入サポートや、プライバシーマークなどの取得に向けた対策支援など、業務範囲は多岐にわたります。
■ セキュリティインフラの設計・構築
ファイアウォールなどのセキュリティ機器、不正侵入検知/防御システム(IDS/IPS)などを用いて、セキュリティを意識したITインフラの設計構築を行う業務。インフラエンジニアとしての素養も求められます。
■ セキュリティインフラの運用保守・監視
稼働しているITインフラやセキュリティ機器からのログを監視し、不正アクセスなどを検知した際に早急に対応します。ログ集計や対応内容を報告書としてまとめたレポートを作成することもあります。
■ セキュリティを意識したソフトウェアの設計・実装
ソフトウェアのセキュリティレベルを向上させ、セキュリティの維持を図っていく業務です。セキュアプログラミングの知識が必要です。
■ システムの脆弱性診断
Webアプリケーション診断、ネットワークやOSなどのプラットフォームについて、脆弱性診断(テスト)を行う業務です。疑似攻撃を実施することで、システムの潜在的脆弱性を発見し、被害を軽減させることが目的です。
2. セキュリティエンジニアに必要なスキルと適性
2.1 情報セキュリティマネジメント
セキュリティエンジニアには、情報セキュリティマネジメントのスキルが必要です。情報セキュリティマネジメントには、次のような手順があります。
| マネジメントプロセスの決定 | セキュリティの3大要素、セキュリティポリシーの3階層、PDCAサイクルなど |
|---|---|
| マネジメントシステムの確立 | 基本方針の決定、リスクアセスメントなど |
| マネジメントシステムの導入・運用 | 対応計画の立案、教育など |
| マネジメントシステムの監視・見直し | 有効性の見直し、内部監査など |
| マネジメントシステムの維持・改善 | 改善策の実施など |
| ドキュメントの作成 | 基本方針、対策基準、実施手順・規定類などのドキュメントを作成 |
さらに情報セキュリティマネジメントにおいて必要となる「リスク分析」の技術として、次のようなスキルが必要となっています。
• リスクアセスメント手法の決定
• 情報資産の調査・評価
• 脅威・脆弱性の調査
• リスクの評価
• 対策システムの検討・整理
2.2 不正アクセス手法
不正アクセスとは、セキュリティの脆弱性をついて、本来はアクセスする権限を持っていないシステムに対するアクセス権限を入手し、サーバーやシステムの内部へ不正に侵入する行為のことです。
例えば2020年の8月に判明した事例では、国内数十社でVPN機器の脆弱性を悪用した不正アクセスが行われ、VPN接続用のパスワードなどが流出した可能性が問題となりました。
このような不正アクセスには様々な手法があり、同時にその対策法の知識をつけておくことも重要です。
2.3 セキュアプログラミング技法
脆弱性をついて不正アクセスされることを防ぐためには、システムをプログラミングする時点で脆弱性を潰しておくことが重要です。
例えばフォームに入力された値をデータベースに登録するというシステムがあった場合、「1==1」などのある特定の文字列を入力されてしまうと、そのデータを操作するためのSQL文が壊れてしまうという場合があります。それをあらかじめ防ぐためには、その「1==1」という文字列を入力しようとするとエラーになるようにプログラミングしておく必要があるのです。
このようにわざと誤動作を起すタイプやそれ以外の攻撃を防ぐためにも、セキュアなプログラミングを行うためのスキルが重要となってくるのです。
3. セキュリティエンジニアは「やめとけ」?仕事はきつい?
3.1 企業を対象とした不正アクセスは件数が多く「責任が重大」
近年、国内で発生している不正アクセスの多くは、企業を対象とするものです。
警察庁の発表によると、2019年の不正アクセス行為の発生(認知)件数は2960件であり、そのうちの2855件(96.5%)は一般企業を対象としたものでした。
なお不正アクセスにて行われた行為の内訳のうち主なものは、次のようになっています。
• インターネットバンキングでの不正送金(61.1%)
• インターネットショッピングでの不正購入(12.7%)
• メールの盗み見等の情報の不正入手(11.1%)
• オンラインゲーム・コミュニティサイトの不正操作(2.0%)
• インターネットオークションの不正操作(1.6%)
これらの不正アクセスに日夜対処するセキュリティエンジニアの責任は重大であり、プレッシャーを感じる方も少なくありません。また不正アクセスの手口は日々巧妙化しており、常に新しいことを勉強し続けなければならないという点もプレッシャーになる場合があります。
3.2 緊急性の高い対応への負担が大きい
さらにサイバー攻撃などの問題がひとたび発生すると、セキュリティエンジニアには迅速な対応が求められます。
これ以上の攻撃を受けないよう食い止めるだけでなく、攻撃によって受けた影響の範囲を迅速に特定して対応策を検討し、さらに実行しなければなりません。
緊急度の高い問題の場合、これらの一連の対策の間ずっと現場に詰めて作業しっぱなしという場合もあるのです。
さらに問題への対処の完了後も、問題が発生した原因(不正アクセスが行われた経路など)の調査を行い、報告書などにまとめる必要があります。
4. セキュリティエンジニアの将来性・やりがい
4.1 情報セキュリティとCIA
顧客情報や機密情報など、企業におけるデータ(情報資産)を守るための対策のことを、情報セキュリティと言います。
情報セキュリティを講じる際、情報資産の機密性・完全性・可用性を考慮する必要があり、それぞれの頭文字からCIAと呼ばれています。
| 要素 | 内容 | 脅威例 |
|---|---|---|
| 機密性
(Confidentiality) |
権限を持った人だけが情報資産を見ることができること | 個人情報流出 |
| 完全性
(Integrity) |
情報資産の内容が正確(最新)であること | 情報の改ざん |
| 可用性
(Availability) |
ユーザーがいつでも情報資産を利用できること | サービス停止、妨害 |
つまり、セキュリティエンジニアは、企業の情報資産について、以下の3つが常に保たれるように検討し、業務を遂行することが求められます。
• 情報資産が漏洩しないこと…機密性
• 内容を改ざんされないこと…完全性
• いつでも利用できること…可用性
このように、セキュリティエンジニアの業務は公益性や社会性が高く、責任も重大です。しかしだからこそ、やりがいのある仕事なのです。
■ 情報セキュリティ10大脅威2021
インターネットが普及して、もはや生活インフラともなった現在、便利さの裏には多くの危険性も持ち合わせています。
独立行政法人情報処理推進機構(IPA)から発表されている「情報セキュリティ10大脅威2021」によると、「テレワーク等のニューノーマルな働き方を狙った攻撃」が初めて情報セキュリティ分野の脅威としてランクインしています。
具体的な脅威が挙げられるランキングの中で、「テレワーク」を初めとするニューノーマルな働き方をターゲットとした攻撃が「脅威」とされている結果から見ても、企業がさらされる脅威は常に変化し、巧妙化していることがうかがえます。
また高度化するサイバー攻撃手法に対応できるサイバーセキュリティ人材の担う役割も大きくなり続けているといえるでしょう。
セキュリティの専門家として、セキュリティエンジニアの需要は今後も増加することが予想されます。
4.2 情報セキュリティ人材の不足
2018年に総務省が発表した資料「我が国のサイバーセキュリティ人材の現状について」によると、日本では2016年の時点で132,060人の情報セキュリティ人材が不足していたとされています。さらに2020年には、不足数が193,010人にも達すると予測されています。
情報セキュリティ人材はIT企業にのみ必要だと思われがちですが、実際にはITシステムのユーザー側の企業にも、情報セキュリティ人材は必要です。その理由には本業が忙しいため人手を割けないなどのリソース不足が挙げられています。しかし今後さらにその重要性が広まって来るにつれ、それを専門とする人材の雇用も増えていくと考えられるのです。
出典:我が国のサイバーセキュリティ人材の現状について|総務省
5. セキュリティエンジニアを目指す人におすすめの資格
情報セキュリティ分野での脅威や技術は変化が大きいため、セキュリティエンジニアを目指す上でスキルアップのための勉強は欠かせません。基礎から体系的に勉強するためにも、資格取得を考慮に入れてみてはいかがでしょうか。
資格の有効期限があるものについては、常に最新技術を勉強し続けていくためのきっかけと捉えると良いでしょう。
5.1 情報処理安全確保支援士
IPA主催の情報処理技術者試験の中で、セキュリティ分野の高度区分レベル4にあたり、唯一の国家資格とされている、情報処理安全確保支援士です。 旧情報セキュリティスペシャリスト試験をベースに、2017年春期から開始されました。 試験に合格後、登録を行うことで情報処理安全確保支援士という名称を使用することが認められる名称独占資格となっています。
情報処理安全確保支援士試験の詳細はこちらの記事で紹介していますので参考にしてください。
5.2 情報セキュリティマネジメント試験
情報処理安全確保支援士の合格率は11%ほどで難易度は高めとなっています。
したがって、これから初めてセキュリティエンジニアを目指す場合は、同じくIPA主催の情報セキュリティマネジメント試験からの受験がおすすめです。
情報セキュリティマネジメント試験は、プログラマーやSEの資格としても知られる基本情報処理技術者試験と同一レベルのレベル2で、合格率も比較的高めとなっています。
情報セキュリティマネジメント試験の詳細はこちらの記事で紹介していますので、ぜひ目を通してみてください。
5.3 CCNA/CCNP(Security)
シスコ技術者認定の資格で、インフラエンジニアの資格としてよく挙げられているCCNA・CCNPのSecurtyトラックで、3年間の資格有効期限があります。
下位資格から、CCENT(またはCCNA Routing&Switching)→ CCNA(Security)→ CCNP(Security)と受験する必要がありますが、ネットワークのセキュリティ分野に特化した技術の証明となるため、セキュリティエンジニアを目指す方にはおすすめと言えます。
CCNA、およびCCNPの詳細については、こちらの記事で紹介していますので、ぜひご覧ください。
6. セキュリティエンジニアの年収
平均年収.jpによると、セキュリティエンジニアの平均年収は次の通りです(2021年8月現在)。
平均年収:600万円
出典:セキュリティエンジニアの年収や給料について詳しく解説します!|平均年収.jp
また、当サイト「プロエンジニア」の求人情報からフリーランスのセキュリティエンジニアの年収を見たところ、2022年2月現在で、月額100万前後の求人が多くなっています。
出典:2021年2月調査 ※プロエンジニア自社保有案件の一部より算出|プロエンジニア
暗号化や認証などのセキュリティ技術に加えて、個人情報保護法などのIT関連の法律、システム開発の流れや、インフラに関する知識等、セキュリティエンジニアに必要とされる人材のスキルは非常に広範囲です。
ですので、セキュリティエンジニアとして自分が得意とする部分に特化することによって自分の強みが構築され、市場価値が高まると、それだけ年収UPにも繋がりやすくなります。
セキュリティエンジニアは比較的新しい分野のエンジニアとされるため、今後の需要と供給によっては年収の幅も変動する可能性もあります。
7. セキュリティエンジニアの求人
セキュリティエンジニアの求人にはどのようなものがあるでしょうか。
一般的に、「セキュリティエンジニア」または「セキュリティコンサルタント」の職種で募集がかかります。
そのほか、システムエンジニアなど、他の職種の募集であっても事業内容を見てみるとセキュリティに特化した人材(セキュリティエンジニア)を募集しているという場合もあります。
求人を探す場合は「セキュリティエンジニア」というワードだけではなく、「インフラエンジニア」「ネットワークエンジニア」「サーバーエンジニア」「システムエンジニア」「ITコンサルタント」…等、幅広いキーワードで検索し、必ず事業内容にまで目を通して応募されることをおすすめします。
8. まとめ
重要なセキュリティインシデントを招く可能性は、誰の身にも起こり得ることです。
明日は我が身と捉えて情報セキュリティに関する意識を一人ひとり常日頃から心がけることが、情報セキュリティのまず最初の第一歩であると言えるでしょう。
本コラムが、セキュリティエンジニアという職種の重要性について、今一度考えるきっかけになればと思います。
