ITを取り巻く環境は、テレワークの普及に伴って従来のセキュリティ対策の考え方では対応が困難なケースも増えています。情報管理の重要性は高まっており、オンライン決済や仮想通貨といったフィンテック市場の急成長なども背景に、情報セキュリティの専門家であるセキュリティエンジニアの需要は高まる一方です。
IT化や企業のDXの流れを受け、ITエンジニアの職種の中でも、今後確実に成長が見込まれる職種のひとつであり、将来のキャリアにも幅広い可能性が考えられる「セキュリティエンジニア」に挑戦したいと考える人も多いかもしれません。
本記事では、セキュリティエンジニアの将来性を踏まえて、考えられるキャリアパスや求められる人材について、現役エンジニアの声とともに解説します。
セキュリティエンジニアとは?
セキュリティエンジニアは、企業や組織を外部のサイバー攻撃などから守るため、情報セキュリティを考慮したネットワークやシステムの設計や運用、管理を担います。導入済みのシステムにセキュリティ上の欠陥がないかをチェックし、不安を解消するための対策を行うのも大切な仕事です。
また、企業などの組織においてセキュリティルールが曖昧で属人化した対応が行われている場合なども、組織全体として守るべき運用ルールを策定する役割を担うこともあります。
仕事の進め方は、ほかのITエンジニアと同様、「企画・提案」「設計」「実装」「テスト、運用・保守」のフェーズにそれぞれ分かれます。一人が一貫してすべての工程を担うこともあれば、一部を専門的に担当する場合もあります。企業によって業務範囲が異なる場合がありますが、一般的なセキュリティエンジニアの仕事内容は、下記のとおりです。
・企画、提案
ITシステムの現状とニーズを確認し、必要なセキュリティシステムを企画・提案します。セキュリティの問題とシステムに関する広範な知識が求められるため、この領域に特化している人は「セキュリティコンサルタント」と呼ばれることもあります。
・設計
セキュリティの方向性を決定後に行うのが、システムの設計です。サーバー機器などのハードウェアはもちろん、ネットワーク機器やアプリケーションも含めて、すべてのシステムがセキュアな環境で使用できるような設計が求められます。
近年は、クラウドベースでデータを管理する企業が増えているため、クラウドに関する知識があるセキュリティエンジニアは、特に需要が高い傾向があります。
・実装
実装は、設計をもとにセキュリティを組み込む作業です。ネットワークやOSの設定のほか、プログラミングを行うこともあります。時代に合った適切なセキュリティを実装できるよう、常に情報をアップデートしておくことが大切です。
・テスト、運用・保守
テストは、セキュリティを実装したシステムを実際に使用して、脆弱性などをチェックします。導入後は、システムが安定的に動作するよう運用・保守し、必要に応じてOSやアプリケーションのアップデートも行います。
セキュリティエンジニアの需要と将来性
セキュリティエンジニアは、IT業界の中でも需要が拡大している職種といっても過言ではありません。その主な理由には、下記のようなものがあります。
フィンテック分野の成長
フィンテックとは、金融(Finance)と技術(Technology)を組み合わせた造語です。具体的なサービスには、スマートフォン経由での送金、二次元バーコードで決済する電子決済サービス、クラウドファンディング、オンラインバンキングサービスと提携した経理・会計サービスといった、さまざまな種類があります。
金銭が絡む取引や、機密情報や個人情報を扱う場合には高いセキュリティ対策が必須であり、高度な技術と知見を持ったセキュリティエンジニアが求められています。
働き方の多様化やグローバル化
コロナ禍を機に、出社せず自宅で仕事をするテレワークを導入・推奨する企業は増加しています。オフィス内での勤務が主流だった頃、企業はリスクが大きいインターネットと組織内のイントラネットとの境界を保護すれば、セキュリティを維持することが可能でした。
しかし、テレワークの浸透や企業のグローバル化により、オフィス以外の場所でインターネットから直接クラウドやアプリケーションにアクセスする機会が増え、これまでどおりのセキュリティ対策では不十分なケースも多くなっています。より広範で総合的なセキュリティ対策を講じ、新たなリスクに対応するために、セキュリティエンジニアの必要性が高まっているのです。
市場のニーズに対する深刻な人材不足
セキュリティエンジニアの需要は拡大を続けていますが、その人材供給は追いついていません。
総務省が2020年に発表した「情報通信白書」によれば、セキュリティ対策に従事する人材の充足状況について、アメリカやシンガポールの8割以上の企業が「充足している」と回答したのに対し、約9割の日本企業は「人材が不足している」と回答しました。
さらに、セキュリティ人材の育成・教育における課題についても日本の多くの企業が、「適切なキャリアパスの不足」や「セキュリティ教育実施に必要な時間の捻出の困難さ」を挙げています。そのため、セキュリティエンジニアの売り手市場はしばらく続くことが予想され、求められる資質や経験のある人の将来性は、非常に高いといえるでしょう。
出典:総務省|令和2年版 情報通信白書|セキュリティ対策の課題
セキュリティエンジニアのキャリアパス事例
かつては社内SEやインフラエンジニアが、セキュリティ対策などを兼務していることが一般的でした。しかし、デジタルの台頭や巧妙なサイバー攻撃、また個人情報保護に対する意識の高まりにより、より専門的かつ高度な技術や知見が必要となり、誕生したのがセキュリティエンジニアです。比較的新しい職種ともいえるため、情報セキュリティの専門家としてのキャリアパスがイメージしにくいかもしれません。ここでは、現役のセキュリティエンジニアの声をもとに、考えられるキャリアパスについて見ていきましょう。
守備範囲の広いセキュリティエンジニアを目指す
セキュリティの設計、脆弱性の評価、サイバー攻撃対策、社内セキュリティ向上施策の立案など、サーバー、ネットワーク、データベース、クラウドといったインフラにおけるプロセスに守備範囲を広げることで、一貫して任せられる人材として重宝されるでしょう。
また、いろいろなサービスに携わってみるのもおすすめです。金融商品などはセキュリティエンジニアの技術力と知見が重要となるため、同業界、もしくは似た業界の経験者を求める企業も増えています。
セキュリティエンジニアの業務は多岐にわたるので、会社によって求められるスキルは変わってくると思います。そのため、どんな会社でも働けるようになるにはシステムエンジニアとしての経験も役立ちますし、それ以外のネットワークエンジニアなどのインフラエンジニアの経験も役立つので、ITエンジニアとしていろいろな仕事をこなすことが重要だと思います。(20代・システムエンジニア歴4年、セキュリティエンジニア歴2年)
1つの分野に特化したセキュリティエンジニアを目指す
セキュリティエンジニアが求められる業界は多岐にわたり、業種によって担当できる業務もさまざまです。
例えば、インフラ系企業であれば、セキュリティサービスの開発や運用を担うことが多く、商社であれば、海外のセキュリティ製品の検証、導入サポートなどが考えられます。特化した技術や領域に携われる企業でコツコツと実務経験を積むことで、当該分野のスペシャリストになることも可能です。
IT化が今後も進んでいき、その分IT関連の犯罪もより増えると思うので、セキュリティエンジニアとしてさらに技術と経験を積み、最終的にはサービスとして起業したいというビジョンを持っています。(30代・システムエンジニア歴5年→セキュリティエンジニア歴3年)
マネジメント領域に進む
セキュリティエンジニアとしての経験やスキルを活かして若手エンジニアをまとめ、リーダーとしてプロジェクトを牽引していく立場になる方法もあります。
代表的な職種としては、「セキュリティアナリスト」や「セキュリティコンサルタント」があります。
セキュリティアナリストは、企業をサイバー攻撃から守るために、セキュリティ対策方針やサイバー攻撃に対する方針など、セキュリティ分野の全責任を担う職です。
セキュリティコンサルタントは、企業や組織の扱う情報を守るために、アドバイスや改善の提案などを行う専門家です。
就業中の会社でキャリアを積み、マネージャーのような立ち位置に昇進していくのが現段階で思い描いている将来像かもしれません。しかし、この先を考えたときに、セキュリティコンサルタントのようにもっとオープンにさまざまな企業と絡んだり、扱っている対象の母数が大きい企業や、官公庁といった仕事にもっと関わったりしたいという思いもあります。(41歳・システムエンジニア歴8年→テストエンジニア歴3年→セキュリティエンジニア歴4年)
求められるセキュリティエンジニアになるには?
セキュリティエンジニアとして理想のキャリアパスを実現するためには、何が必要なのでしょうか。現役セキュリティエンジニアとして活躍するエンジニアたちは、どのようにスキルアップし、キャリアを築いているのかをご紹介します。
資格を取る
セキュリティエンジニアとして業務を行う際に必須の資格はありませんが、信頼できる資格を持っていることはキャリアパスを検討する際に大きな強みになります。セキュリティエンジニアとして武器になる資格には、下記のようなものがあります。
・情報処理安全確保支援士試験(SC)
情報処理安全確保支援士試験は、情報処理推進機構(IPA)が認定する国家資格です。サイバーセキュリティに関する最新の知識や、対策能力があることの証明になります。
・CCNP Security
CCNP Securityは、アメリカのコンピューターネットワーク機器メーカー、シスコシステムズの認定資格で、CCNAの上位資格です。セキュリティインフラの開発のほか、ネットワークの脅威やセキュリティ上のリスクを提言するための知識を有していることを証明できます。
・CompTIA Security+
CompTIA Security+は、CompTIA(コンプティア)が認定する国際的に認知度の高い資格です。セキュリティを考慮したネットワーク設計やリスクマネジメントといったスキルがあることを証明できます。なお、受験者は、セキュリティ関連業務に関する2年程度の実務スキルのある人を推奨しています。
セキュリティに関する法律を学ぶ
ITの普及により、企業や個人が守るべき情報セキュリティ関連の法律・制度も増えています。
サイバーセキュリティに関する基本理念や国の責務、サイバーセキュリティの基本施策などを規定した「サイバーセキュリティ基本法」、高度情報通信ネットワーク社会における情報リテラシーに関する規定や個人情報保護に関する規定などを盛り込んだ「高度情報通信ネットワーク社会形成基本法(IT基本法)」などはその一例です。
セキュリティエンジニアとしての直接的な知識だけでなく、情報セキュリティに関連する法律を知っておくことは、企業のコンプライアンスを遵守するセキュリティエンジニアとしての信頼性も高まります。
サイバー攻撃は日々進化・巧妙化してきているので、当然こちらも情報や知識のアップデートを行わなければなりません。そのため、毎日自分の業務に還元できるものをどんな些細なことでもいいから取り込む、そして現状に甘えないということが、常に心掛けていることです。まだ取得していない資格の勉強もそうですし、新聞や専門誌にも毎日のように目を通しています。業務を行う過程で法律の知識の未熟さも痛感しているところなので、自分に欠落している部分も埋めていきながら総合力の高いセキュリティエンジニアになりたいと思っています。(41歳・システムエンジニア歴8年→テストエンジニア歴3年→セキュリティエンジニア歴4年)
「やりたいこと」に焦点をあてて、キャリアパスを考えよう
セキュリティエンジニアは将来性が高く、キャリアパスにもさまざまな選択肢があります。需要に供給が追いついていない今、学びたい領域、進みたい領域を特定して技術や知識を積めば、理想のキャリアパスを実現することも可能です。
エンジニアに特化した人材サービスをご提供するパーソルテクノロジースタッフでは、専門知識豊富なキャリアアドバイザーが、エンジニアを目指す人の経験やスキル、適性を踏まえて、ベストなキャリア形成と自己実現をサポートします。まずは、お気軽にご登録ください。
▼「パーソルテクノロジースタッフのキャリア支援の方針」についてはこちら
キャリア支援について |IT・機電エンジニアの派遣求人ならパーソルテクノロジースタッフ
※記事に記載の内容は、2022年12月時点の情報です
