セキュリティエンジニアはシステム提案・設計・開発・運用においてセキュリティに特化した業務を担うエンジニアです。昨今のランサムウェア被害から分かるように、セキュリティの甘さはビジネスに危機的な状況を招きかねません。セキュリティエンジニアは、サイバーテロや情報漏洩などのシステム事故を招かないようなシステム作りや内部不正の防止を支援します。
本記事の執筆
システムエンジニア 恵良 信(えら まこと)
大学院卒業後、大手SI企業・ソフトウェアハウスにてシステムエンジニアとして従事。ネットワークエンジニアやデータベースエンジニアとともに、基幹システムをはじめとして多数のシステム設計・開発・運用を担当した。特に交通系システム、商業施設系システムに精通している。現在はIT領域をメインとした記事執筆、法人向けシステム導入支援などを行うフリーランスとして活動中。
フリーランスの収入見込みをチェック
目次
セキュリティエンジニアの仕事内容
セキュリティエンジニアに必要なスキル
セキュリティエンジニアに役立つ資格
セキュリティエンジニアのキャリアパス
フリーランスのセキュリティエンジニアとして働くには
セキュリティエンジニアの仕事内容
セキュリティエンジニアはすでにあるシステムをセキュリティの観点から分析し、改善策の提案や、セキュリティに配慮したシステム設計やコーディング、セキュリティ上の脅威に耐えられるシステムかどうかテストするなど、システムのセキュリティに関することを全般的に担当します。そのためシステム開発においては広い知見が必要とされます。具体的にセキュリティエンジニアの仕事内容を解説しましょう。
顧客システムの分析・提案
すでに稼働しているシステムをセキュリティの観点から分析し、改善点や対策を提案する仕事があります。なおセキュリティ対策について企画や提案を行うエンジニアのことを、セキュリティコンサルタントと呼ぶこともあります。
セキュリティに配慮して作られたシステムがリリースされても、悪意のあるプログラムやサイバーテロの脅威、手法は常に進化しています。そのため理想としては、システムに常に最新のセキュリティ対策が施されていなければいけません。
顧客の情報システム部やソフトウェアハウスにセキュリティの専門家がいない場合、セキュリティエンジニアが依頼を受けてシステムの分析を行い、システムの改善点や改修、システム運用の見直しなどを提案します。
セキュリティ改善の例としては、UTMなどのセキュリティアプライアンスの導入を提案したり、ネットワーク構成を見直したりするなど、システム全般にわたって広い知見が必要となります。顧客では見つけきれないシステムの改善点を発見して伝え、具体的な対策を提案することがセキュリティエンジニアとしては大切なことです。
セキュリティに配慮したシステム設計
どのようなシステムであれ、セキュリティに配慮したシステム設計はとても重要です。しかしながら、顧客の要件を満たしつつ、セキュアなシステムを構築することは難しい仕事であり、セキュリティは専門家に任せるケースもあります。
そこでセキュリティエンジニアは専門家として、設計フェーズに関わります。関わり方は、システムエンジニアと協働してセキュアな設計をすることにあり、設計書をセキュリティの観点からレビューしたり、すでに知られているセキュリティ上の脅威に耐えられるシステムかどうかを確認したりします。
セキュリティ上の脅威はネットワークを経由して攻撃を仕掛けてくることが多いため、ネットワーク設計にはセキュリティの観点でレビューすることが欠かせません。
セキュアプログラミング、セキュアアーキテクチャなど
セキュアなコーディングをするのも、システム開発において重要です。よってセキュアプログラミングを実現するために、コーディング規約やセキュリティを担保したアーキテクチャ(共通部品)の設計などをセキュリティエンジニアは担当します。
システムアーキテクト、インフラエンジニアの立場でセキュリティの重要性に気付いて、セキュリティエンジニアに転身する方も多いです。言い換えると、システムアーキテクトやインフラエンジニアの仕事の中でもセキュリティに特化させた職種がセキュリティエンジニアとも言えます。
セキュリティテスト
顧客から依頼を受けて、自社のシステムがどのくらいセキュアか確認するためのテストを行うこともあります。具体的にはセキュリティエンジニアがシステムにさまざまな攻撃を仕掛けて、システムがどの程度耐えられるかを総合的に判定します。
また開発中、リリース前のシステムの負荷テストなどの一環で、セキュリティテストを行うこともあります。
システムの運用設計、保守計画
システム運用において、セキュリティの脅威からシステムを守ることはとても重要です。セキュリティエンジニアは運用設計や保守計画を立て、システムをセキュアな状態に保ちます。
設計したり、計画を立てたりするだけでなく、運用・保守の実務に携わることも少なくありません。
コンプライアンス遵守・コーポレートガバナンス
システムにはさまざまな情報が入っているため、セキュリティポリシーの策定や個人情報保護法の遵守などのコンプライアンス施策を推進することもセキュリティエンジニアの仕事に含まれます。
セキュリティ上の脅威は社内にも潜んでいます。よってコンプライアンス遵守はもちろん、特権IDの管理や統合ID管理などでコーポレートガバナンスを実現することも、セキュリティエンジニアの仕事です。
関連記事 : セキュリティエンジニアの仕事内容
セキュリティエンジニアに必要なスキル
セキュリティエンジニアはシステム全体のセキュリティを強固にする仕事のため、システム開発や法令に広い知見が求められます。
OSやミドルウェアに関するスキル(アップデート内容や脆弱性など)
悪意のあるプログラムやサイバーテロの手口は常に進化しているため、OSやミドルウェアにはセキュリティの脆弱性が常につきまといます。よってOSやミドルウェアは定期的にアップデートされなければならず、セキュリティエンジニアはアップデート内容や既知の脆弱性に対応するためのスキルが求められます。
ネットワークに関する知識
セキュアなネットワーク設計を行うために、セキュリティエンジニアにはネットワークについて深い知識・高いスキルが求められます。ファイアウォールやゲートウェイの設定など基本的なことから、セキュリティアプライアンスの導入、通信の暗号化など幅広い知識・スキルが期待されます。
セキュリティ関連法律・法令の知識
セキュリティに関連した法案には、個人情報保護法やNIST SP800-171などが挙げられます。これらの法律や法令を遵守するために、法令の内容や求められるセキュリティ水準をセキュリティエンジニアは理解しなければいけません。
また理解するだけでなく、システム上でどうやって法律が求めている要件を実現するのか考え、設計・実装することもセキュリティエンジニアに求められるスキルです。
最新のセキュリティ動向(ランサムウェアや新しい脅威など)
既に述べた通り、サイバーテロに繋がるシステムへの侵入手口やマルウェアの巧妙さは常に進化しています。よって最新のセキュリティ動向、対策などをキャッチアップし、内容に精通していなければいけません。
関連記事 : インフラエンジニアがセキュリティエンジニアを目指すには
セキュリティエンジニアに役立つ資格
ベンダーや各種団体が実施しているセキュリティに関するスキルを認定する試験が、セキュリティエンジニアには役立ちます。
シスコ技術者認定
アメリカに本拠地を置くコンピューター機器開発会社、シスコシステムズが主催するシスコ技術者認定試験には、セキュリティの専門性を問う試験が用意されています。試験はCCENT、CCNA Security、CCNP Security、CCIE Securityの4つに分かれています。
- CCENT:ネットワークセキュリティの基礎スキルを証明する試験
- CCNA Security:セキュリティエンジニアとして最も基礎的な試験
- CCNP Security:上位のセキュリティエンジニアに求められる試験
- CCIE Security:国際的に通用するセキュリティエンジニアのための試験
セキュリティエンジニアとして案件獲得のためにアピールするには、CCNA Securityを取得しておくと良いでしょう。
参照 : シスコ技術者認定 - トレーニング & 認定 - Cisco
情報処理安全確保支援士
本試験は情報処理推進機構が主催する資格試験で、合格して申請することにより、「情報処理安全確保支援士(登録セキスペ)」として認められます。情報処理安全確保支援士(登録セキスペ)は「情報処理の促進に関する法律」によって創設された国家資格です。
求められる技術水準はとても幅広く、システムのセキュリティ要件を洗い出して対策を施せることや、ネットワーク、データベースで暗号、認証、ログ管理などの技術スキルがあるか、情報セキュリティ関連法令の理解と適用などが挙げられます。
平成30年度の合格率は17.7%と難しい試験ですが、セキュリティエンジニアを目指すのであればぜひ取得したい資格です。
参照 : IPA 独立行政法人 情報処理推進機構:制度の概要:情報処理安全確保支援士試験
関連記事 : セキュリティエンジニアの資格について
セキュリティエンジニアのキャリアパス
セキュリティエンジニアの先にあるキャリアとしては、セキュリティの専門家として経営に資するセキュリティコンサルタントやシステム監査技術者などの道が考えられます。
セキュリティコンサルタント
セキュリティコンサルタントは顧客のシステムをセキュリティの面から分析して、セキュリティにおける改善点を提案する職種です。
システムのセキュリティにはIT技術による脆弱性(セキュアではない機能やコーディングなど)だけではなく、内部不正や情報セキュリティマネジメントシステムなど、セキュリティコンサルタントがカバーする範囲はとても幅広いです。
セキュリティエンジニアも似たような職種ですが、セキュリティエンジニアがシステム開発現場寄りの立ち位置、職種であるのに対して、セキュリティコンサルタントは、経営者視点に近い立ち位置から、システムを含めた企業全体のセキュリティを分析します。
システム監査技術者
システム監査技術者は、システムに関するリスクを分析し、顧客がITを使って経営目標などを達成できるように助言やフォローを行う職種です。セキュリティエンジニアがセキュリティの観点からシステム全体をセキュアにしていく職種のため、システム全体を分析して、経営の観点からシステム全体を改善していく職種であるシステム監査技術者とも相性が良いと考えられます。
関連記事 : セキュリティエンジニアの年収
フリーランスのセキュリティエンジニアとして働くには
フリーランスのセキュリティエンジニアとして働くには、まずシステム開発の基本や設計フェーズまでの経験・スキルが欲しいところです。システム開発全般の知識やスキルが身についたあと、さらにセキュリティの分野で活躍するセキュリティエンジニアも多く、システム開発の基本は一通り修得しておきましょう。
現在の業務に加えて、セキュリティの知識を身に付ける
現在システム開発業務に携わっている方の場合、現在の業務に必要、あるいは関係するセキュリティの知識をしっかりと身に付けることが大切です。
例えば、フロントエンドエンジニア、サーバーエンドエンジニア、インフラエンジニアとキャリアを進めてきた方の場合、インフラエンジニアのスキルにセキュリティのスキルを加えることで、システム全体のセキュリティの分析や、セキュアプログラミングができるセキュリティエンジニアになれます。
セキュリティエンジニアになるには、できるだけシステム開発のフェーズを経験しておくことが望ましいです。
未経験者はシステムの運用・保守から入る
これからセキュリティエンジニアを目指している方は、未経験者でも歓迎されることが多い、セキュリティ運用・保守の業務から入ると良いでしょう。運用・保守の業務の多くは定型化されていますが、セキュリティエンジニアの実務に触れることができる仕事でもあります。
スクールを活用する
スクールでセキュリティの分野を学んでセキュリティエンジニアの案件を獲得する方法もあります。セキュリティ対策はとても幅が広いため、実務では深いところまで学ぶのはなかなか難しい面もあります。スクールで効率的に知識を身に付けて、セキュリティエンジニアの案件を獲得することもセキュリティエンジニアに向けた第一歩となるでしょう。
関連記事 : フリーランスとは?イチから始めるための基礎知識
最後に
簡単4ステップ!スキルや経験年数をポチポチ選ぶだけで、あなたのフリーランスとしての単価相場を算出します!
※相場算出に個人情報の取得はおこないません。
