スキル
職種・ポジション
案件特徴
エリア
目次
セキュリティエンジニアの仕事内容
セキュリティエンジニアに必要なスキル
セキュリティエンジニアに役立つ資格
セキュリティエンジニアの年収
セキュリティエンジニアのキャリアパス
フリーランスのセキュリティエンジニアとして働くには
セキュリティエンジニアの需要・将来性
フリーランスの収入見込みをチェック
セキュリティエンジニアの仕事内容
セキュリティエンジニアの役割は、既存のシステムをセキュリティの観点から調査・分析し、改善策を提案したり、セキュリティに配慮したシステム設計、コーディング、セキュリティ上の脅威に耐えられるシステムかどうかのテストなどを行ったりと、システムのセキュリティに関する分野を全般的に担当することです。ここでは、セキュリティエンジニアの具体的な仕事内容を説明します。
顧客システムの分析・提案
セキュリティエンジニアには、すでに稼働しているシステムをセキュリティの観点から分析し、改善点や対策を提案する仕事があります。なお、セキュリティ対策について企画や提案を行うエンジニアのことを、セキュリティコンサルタントと呼ぶこともあります。
セキュリティに配慮して作られたシステムがリリースされても、IPA(独立行政法人情報処理推進機構)が発行した「情報セキュリティ10大脅威 2021」などにも示されているように、悪意のあるプログラムやサイバーテロの脅威、手法は常に進化しています。そのため理想としては、システムに常に最新のセキュリティ対策が施されていなければいけません。
※参考 : IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2021」
顧客の情報システム部やソフトウェアハウスにセキュリティの専門家がいない場合、セキュリティエンジニアが依頼を受けてシステムの分析を行い、システムの改善点や改修、システム運用の見直しなどを提案します。
セキュリティ改善の例としては、UTMなどのセキュリティアプライアンスの導入や、ネットワーク構成の見直しなどが挙げられます。このような改善を行うには、システム全般にわたって広い知見が必要となります。顧客では見つけきれないシステムの改善点を発見して伝え、具体的な対策を提案することが、セキュリティエンジニアの仕事では大切になります。
セキュリティに配慮したシステム設計
システム開発において、セキュリティに配慮したシステム設計を行うことはとても重要です。しかしながら、顧客の要件を満たしつつ、セキュアなシステムを構築することは難易度が高く、情報セキュリティに関わる部分を専門家であるセキュリティエンジニアに任せるケースは少なくありません。
そこで、セキュリティエンジニアは専門家として設計フェーズに関わることがあります。セキュリティエンジニアの役割は、システムエンジニア(SE)などと協働してセキュアな設計をすることにあり、設計書をセキュリティの観点からレビューしたり、すでに知られているセキュリティ上の脅威に耐えられるシステムかどうかを確認したりします。
セキュリティ上の脅威は、ネットワークを経由して攻撃を仕掛けてくることが多いため、ネットワーク設計にはセキュリティの観点からレビューすることが欠かせません。
セキュアプログラミング、セキュアアーキテクチャなど
セキュアなコーディングを行うのも、システム開発において重要です。セキュリティエンジニアは、セキュアプログラミングを実現するために、コーディング規約やセキュリティを担保したアーキテクチャ(共通部品)の設計などを担うことがあります。
セキュリティエンジニアの仕事は、システムアーキテクトやインフラエンジニアの仕事と重なる部分もあります。言い換えれば、システムアーキテクトやインフラエンジニアの仕事のなかでも、セキュリティに特化した職種がセキュリティエンジニアともいえるでしょう。そのため、システムアーキテクトやインフラエンジニアの立場でセキュリティの重要性を認識し、やりがいを感じてセキュリティエンジニアに転身する人もいます。
セキュリティテスト
セキュリティエンジニアは、顧客から依頼を受けて、自社のシステムがどのくらいセキュアなのかを確認するためのテストを行うこともあります。具体的には、セキュリティエンジニアがシステムにさまざまな攻撃を仕掛けて、システムがどの程度耐えられるかを総合的に判定します。
また、開発段階やリリース前のシステムの負荷テストなどの一環で、セキュリティテストを行う場合もあります。
システムの運用設計、保守計画
システム運用において、セキュリティの脅威からシステムを守ることは、ビジネスを安全に進めるうえで欠かせません。セキュリティエンジニアは、運用設計や保守計画を立て、システムをセキュアな状態に保つ役割を担います。
そのため、セキュリティエンジニアは設計したり、計画を立てたりするだけでなく、運用・保守の実務に携わることも少なくないといえます。
コンプライアンス遵守・コーポレートガバナンス
システムにはさまざまな情報が入っているため、セキュリティポリシーの策定や個人情報保護法の遵守などのコンプライアンス施策を推進することも、セキュリティエンジニアの仕事に含まれます。
セキュリティ上の脅威は社内にも潜んでいる可能性があります。よって、コンプライアンス遵守はもちろん、特権IDの管理や統合ID管理などでコーポレートガバナンスを実現することも、セキュリティエンジニアの仕事です。
関連記事 : セキュリティエンジニアの仕事内容
セキュリティエンジニアに必要なスキル
セキュリティエンジニアはシステム全体のセキュリティを強固にする仕事のため、システム開発や法務などに関して幅広い知見とスキルが必要です。
OSやミドルウェアに関するスキル(アップデート内容や脆弱性など)
悪意のあるプログラムやサイバーテロの手口は日々進化しているため、OSやミドルウェアにはセキュリティの脆弱性が常につきまといます。そのため、セキュリティエンジニアは、OSやミドルウェアを定期的にアップデートする必要があり、アップデート内容や既知の脆弱性に対応するためのスキルが求められます。
ネットワークに関する知識
セキュアなネットワーク設計を行うために、セキュリティエンジニアにはネットワークについて深い知識、高度なスキルが必要です。ファイアウォールやゲートウェイの設定といった基本的なことから、セキュリティアプライアンスの導入、通信の暗号化などの幅広い知識・スキルが期待されます。
セキュリティ関連法律・法令の知識
セキュリティエンジニアは、セキュリティに関連した法律である「個人情報保護法」や、アメリカの政府機関が定めたセキュリティ基準のガイドラインである「NIST SP800-171」などについても理解しておく必要があります。
※参考 : IPA(独立行政法人情報処理推進機構)「セキュリティ関連NIST文書」
また、理解するだけでなく、システム上でどのように法律で定められてる要件を実現するのか考え、設計・実装することも求められるスキルといえます。
最新のセキュリティ動向(ランサムウェアや新しい脅威など)
既に述べた通り、サイバーテロに繋がるシステムへの侵入手口やマルウェアの巧妙さは常に進化しています。よって最新のセキュリティ動向、対策などをキャッチアップし、内容に精通していなければいけません。
先述したとおり、サイバーテロにつながるシステムへの侵入手口やマルウェアの巧妙さは、常に進化しています。そのため、最新のセキュリティ動向、対策などをキャッチアップし、内容に精通している必要があるでしょう。
コミュニケーションスキル
セキュリティエンジニアに技術以外の面で求められる能力としては、コミュニケーションスキルが挙げられます。セキュリティエンジニアは顧客と関わるのはもちろん、システムエンジニアやインフラエンジニアといった他職種と関わる機会も多いです。そのため、相手の話を正確に理解したり、説明したりするためのコミュニケーションスキルは大切になります。
関連記事 : インフラエンジニアがセキュリティエンジニアを目指すには
セキュリティエンジニアに役立つ資格
セキュリティエンジニアとして活躍するには、ベンダーや各種団体が実施するセキュリティに関するスキルを認定する試験が役立ちます。これから就職してセキュリティエンジニアを目指そうという方や、フリーランスとして幅広い案件に携わりたいエンジニアの方は、以下の資格の勉強をする過程で、役立つスキルを習得できるでしょう。
CCNA(シスコ技術者認定試験)
| 資格名 | CCNA (Cisco Certified Network Associate) |
|---|---|
| 運営 | シスコシステムズ |
| 試験日 | 通年 |
| 受験料 | 36,960円(税込) |
| 合格基準 | 非公開 |
| 受験資格 | なし |
※参考 : Cisco「CCNA 認定とトレーニングプログラム」
アメリカに本拠地を置くコンピューター機器開発会社、シスコシステムズが実施するシスコ技術者認定試験には、セキュリティの専門性を問う認定試験が用意されています。試験区分はCCNA、CCNP Security、CCIE Securityの3つです。
- CCNA : セキュリティエンジニアとして最も基礎的な試験
- CCNP Security : 上位のセキュリティエンジニアに求められる試験
- CCIE Security : 国際的に通用するセキュリティエンジニアのための試験
CCNAはアソシエイトレベルです。持っていると、セキュリティエンジニアとして活躍するうえでの基礎スキルを証明できます。
情報処理安全確保支援士試験
| 資格名 | 情報処理安全確保支援士試験 |
|---|---|
| 運営 | IPA(独立行政法人情報処理推進機構) |
| 試験日 | 年2回(春期・秋期) |
| 受験料 | 5,700円(税込) |
| 合格基準 | 各試験100点満点中60点以上 (午前I・午前II・午後I・午後II) |
| 受験資格 | なし |
※参考 : IPA(独立行政法人情報処理推進機構)「情報処理安全確保支援士試験」
情報処理安全確保支援士試験は、情報処理推進機構が実施する資格試験です。合格後に申請することにより、「情報処理安全確保支援士(登録セキスペ)」として認められます。なお、情報処理安全確保支援士(登録セキスペ)は、「情報処理の促進に関する法律」によって創設された国家資格です。
試験では、システムのセキュリティ要件を洗い出して対策を施せるか、ネットワークやデータベースにおける暗号、認証、ログ管理などの技術があるか、情報セキュリティ関連法令の理解があり適用できるかなど、幅広いスキルが求められます。
2019年度の合格率は19.1%と難易度の高い試験となっていますが、セキュリティエンジニアを目指すうえでは非常に有用な資格です。
関連記事 : セキュリティエンジニアの資格
セキュリティエンジニアの年収
厚生労働省の職業情報提供サイト(日本版O-NET)では、セキュリティエンジニアを含むと考えられる「セキュリティエキスパート(オペレーション)」の平均年収は666.9万円と紹介されています(2019年の賃金構造基本統計調査をもとにした数字)。
※参考 : 厚生労働省職業情報提供サイト(日本版O-NET)「セキュリティエキスパート(オペレーション)」
また、同ページではハローワーク求人統計データにもとづく平均月給は28.4万円、有効求人倍率は2.88倍というデータも掲載されています。
関連記事 : セキュリティエンジニアの平均年収・給料|仕事内容や今後の需要も解説
セキュリティエンジニアのキャリアパス
セキュリティエンジニアのキャリアパスとしては、セキュリティの専門家として経営に資するセキュリティコンサルタントや、システム監査技術者などの道が考えられます。以下でそれぞれの職種について解説しますので、今後のキャリアアップや給料アップを考えるうえでの参考にしてください。
セキュリティコンサルタント
セキュリティエンジニアとして一定の業務経験を積み、監査法人などのセキュリティコンサルタントになるキャリアパスがあります。
セキュリティコンサルタントは、顧客のシステムをセキュリティの面から分析して、セキュリティ対策について企画したり、改善点を提案したりする職種です。セキュリティエンジニアも似たような職種ですが、セキュリティエンジニアがシステム開発現場寄りの立ち位置からセキュリティ対策の企画・提案などを行うのに対して、セキュリティコンサルタントは経営者に近い立ち位置から、システムを含めた企業全体のセキュリティを分析するのが仕事といえます。
システムのセキュリティには、IT技術による脆弱性(セキュアではない機能やコーディングなど)だけではなく、内部不正や情報セキュリティマネジメントシステムなど、セキュリティコンサルタントがカバーする範囲は非常に広いといえます。セキュリティに対するニーズは年々高まってきているので、将来性のある職種といえるでしょう。
セキュリティコンサルの求人・案件一覧
システム監査技術者
セキュリティエンジニアからシステム監査技術者になるというキャリアパスもあります。システム監査技術者とは、顧客のシステムに関するリスクを分析し、ITに関する知見をもとに経営目標などを達成するための助言やサポートを行う職種です。
セキュリティエンジニアは、セキュリティの観点からシステム全体をセキュアにしていく職種といえるため、その経験がシステム全体を分析して経営の観点から改善策を考えるシステム監査技術者の仕事に役立つと考えられます。
関連記事 : インフラエンジニアのキャリアパス|転職の選択肢や資格、女性のキャリア形成を解説
フリーランスのセキュリティエンジニアとして働くには
フリーランスのセキュリティエンジニアに転身するには、まずシステム開発の基本や設計フェーズまでの経験・スキルを身につけていきましょう。システム開発全般の知識やスキルを身につけ、さらに広い範囲のセキュリティ分野で活躍するセキュリティエンジニアも多いため、システム開発の基本についてはひと通り習得しておきましょう。
現在の業務に加えて、セキュリティの知識を身につける
現在、システム開発業務に携わっている場合、今の業務や関連する業務に必要なセキュリティの知識をしっかりと身につけていきましょう。セキュリティエンジニアになるには、できるだけ多くシステム開発のフェーズを経験しておくことが望ましいです。
たとえば、フロントエンドエンジニア、サーバーエンドエンジニア、インフラエンジニアとキャリアパスを経てきた場合、インフラエンジニアのスキルにセキュリティのスキルを加えることで、システム全体のセキュリティの分析や、セキュアプログラミングができるセキュリティエンジニアになることが可能です。
未経験者はシステムの運用・保守から入る
これからセキュリティエンジニアを目指そうという方は、比較的未経験OKの求人も多い、セキュリティ運用・保守の業務から入ると良いでしょう。未経験からいきなりフリーランスのセキュリティエンジニアになるのは難しいため、まずは研修制度といった教育体制が充実している就職先を探すのが無難です。
運用・保守の業務の多くは定型化されていますが、セキュリティエンジニアの実務に触れることができるので、働きながら徐々に仕事の幅を広げていきましょう。
スクール・専門学校を活用する
スクールや専門学校でセキュリティの分野を学び、セキュリティエンジニアの案件を獲得する方法もあります。情報セキュリティの分野は奥が深いため、実務のみで学ぶのは難しい面もあるでしょう。スクールで体系的に学べば効率よく知識が身につきます。十分なスキルを身につけたうえで案件獲得を目指すと、選択肢が広がるでしょう。
関連記事 : 未経験からフリーランスになるには|仕事に必要なスキルや資格を紹介
セキュリティエンジニアの需要・将来性
セキュリティエンジニアは求められるスキルレベルが高く、まったくの未経験から目指すには一定の難しさがあります。とはいえ、セキュリティエンジニアのような高スキルのITエンジニアは不足しているため、需要は高く将来性のある職業といえます。フリーランスのセキュリティエンジニアを志望する方は、まずは必要なスキルを身につけ、実務経験を積むようにしましょう。
関連記事 : インフラエンジニアの将来性|クラウド化で今後の需要や転職に必要なスキルは変わる?
最後に
簡単4ステップ!スキルや経験年数をポチポチ選ぶだけで、あなたのフリーランスとしての単価相場を算出します!
※相場算出に個人情報の取得はおこないません。
