セキュリティエンジニアとは?
セキュリティエンジニアとは、情報セキュリティに特化したエンジニアのことをいいます。
インターネットなどのIT技術が社会に広く浸透した結果、企業や団体におけるセキュリティの重要性が高まり、サイバー攻撃などの企業利益を狙う攻撃に対し対策を行う事が必須となってきました。この業務を専門的に行うのがセキュリティエンジニアです。
セキュリティエンジニアの業務内容
セキュリティエンジニアの業務内容は多岐にわたります。
セキュリティに特化したシステム設計や構築、システム運用、サイバー攻撃を未然に防ぐための調査や改善などを専門的に行います。
専門的な技術職であるため黙々と作業をするイメージがあるかもしれませんが、組織内でセキュリティは根幹に係わるため、社内・社外様々な人々とコミュニケーションを取る必要があります。したがって、コミュニケーション能力や人柄などが問われることが多いです。
セキュリティエンジニアの将来性
近年ChatGPTに代表されるAIが世間に広まっていきました。AIは人工知能と言う意味で、仕事に関する分野でもその活躍が期待されています。人とは違いミスがなく早く仕事をしていくことが期待され、実際現在でもAIに任せている部分も多々あります。
しかしその反面、従来人が担当していた分野に関しても、徐々にAIに仕事が奪われていくのではといわれています。
たとえば一般的な事務員や店員、工場での作業員などが奪われる仕事としてあげられることがあります。早く正確に行う必要がある仕事を大量に行う場合、AIの方が仕事を早く処理が出来るため、人件費などを考えるとAIのメリットが大きく、どんどん置き換わっていくのでは無いかと言われています。
そういった事情を踏まえた上で、セキュリティエンジニアはAIに仕事が奪われ、将来性がないと考えられるのでしょうか。
答えはNoだと言えます。
まず第1に、世間ではサイバー犯罪の件数は少なくなるどころか増える一方で、その攻撃を防いだりする必要があり、仕事がなくなることはないからです。
次に、その業務の特殊性があげられます。
例えAIで大量のデータの分析業務を行う事があったとしても、それが全てAIに代替出来るという訳ではありません。より高度化していくサイバー犯罪に対して具体的な施策を検討し実施していくのは他ならぬセキュリティエンジニアだからです。この判断、実施という業務をAIに代替させるのは不可能です。
セキュリティエンジニアはやめとけと言われる理由
ではなぜ、セキュリティエンジニアはやめとけといわれるのでしょうか。
その理由をいくつか挙げていきたいと思います。
責任が重い
まず、責任が重いと言うことがあげられます。
ニュースなどでも報道されるのを見たことがある人もいらっしゃるかもしれませんが、ひとつのセキュリティインシデントが発生した際に、その被害額は数億円レベルになることがあります。またセキュリティインシデントの「人質」としていろいろな人の個人情報があげられる場合も有り、その際の責任が重いと感じる人も多いでしょう。
迅速な対応が求められる
また、セキュリティエンジニアの出番となるセキュリティインシデントはいつ発生するか分かりません。そのセキュリティインシデントは休日夜間には発生することも考えられます。
たとえば、「今まさに不正アクセスなどのサイバー攻撃を受けている」という状況であった場合、セキュリティエンジニアとしてどう最善の対処し、その上で被害を最小限に抑えられるのか、即座に迅速な決断に基づく行動が要求されます。
また、インシデントが発生しシステム停止などの重大な状況へ陥ってしまった際には、それをいかに早く安全に復旧させるかが金銭的な面を含めた被害の大小を左右してしまうので、迅速な対処を求める周囲からのプレッシャーも大きくなるでしょう。
業務にゴールが無い
一般的に開発作業をすることが多い一般的なエンジニアは、システムを完成させ、安定稼働をさせることがゴールと言っても良いでしょう。
しかし、セキュリティエンジニアはセキュリティを万全な状態で保つことが何よりも重要な業務であるため、明確なゴールが定められていません。
そのため終わりが見えづらい業務である事が、セキュリティエンジニアがやめとけといわれる理由のひとつとなるでしょう。
トラブル発生時には緊急対応が必要
インシデントはいつ発生するか分かりません。基本的にインシデントが発生した場合、セキュリティエンジニアが能動的に行動すると言うよりは、攻撃に対して防御をするという対応を取らざるをえない事が多いです。緊急時対応にあたるという立場上、常に自分のペースで働けるとは限りません。
実際インシデントの発生が休日夜間になることは十分に考えられることです。
そういった事情から、いつ仕事の対応をしないとわからないという点においても、セキュリティエンジニアが辛いと言われる理由のひとつになるかと思います。
セキュリティエンジニアのメリット
では逆にセキュリティエンジニアのメリットについて考えようと思います。
市場価値が高い
第一に、市場価値が高い、ということがあげられます。
前提条件として、具体的な年収は地域や経験、スキルに依存するため一概には言えません。しかし、一般的にサイバー攻撃は増加傾向に有り、したがってサイバー攻撃に対応するセキュリティエンジニアの需要は増加しています。
また、少し前の資料となりますが、総務省における2018年段階での2020年予測資料「我が国のサイバーセキュリティ人材の現状について」では、20万人以上の不足が見込まれていました。急激に人材が充足したとも考えられないことから、現状でも人材不足であると言うことが考えられます。
以上のことから、セキュリティエンジニアは需要が高く、そのことより市場価値が高いと考えられると思われます。
キャリアアップが可能
ひと言でセキュリティエンジニアと言っても、いろいろなセキュリティエンジニアが存在し、そこにたどりつくキャリアパスもたくさんあり、キャリアアップも考えられます。
セキュリティエンジニアとして就職した場合、様々な現場を経てスキルを上げていき、上位職に移行することも可能です。
この場合の上位職となる職種をいくつかあげていきましょう。
- セキュリティコンサルタント
クライアントとなる様々な企業の情報セキュリティの課題や問題点を特定し、最適なソリューションを提案する職種となります。
クライアント企業と直接コミュニケーションを取り、情報セキュリティに関する技術的な問題に向き合いたい人向けの職種です。
- セキュリティアーキテクト
セキュリティアーキテクトは企業や組織全体における情報セキュリティの方針や大枠を考え、それを基礎として企業の情報セキュリティ構成の構築を行います。
一般的なセキュリティエンジニアとの違いは、セキュリティアーキテクトが構築する範囲が直接的なシステムの面だけでなく、組織としての情報セキュリティ基本方針や経営における情報セキュリティ戦略などの立案も行う点です。その点から、セキュリティアーキテクトは情報セキュリティ分野における専門家です。
故に対象企業の業種や特性、最新のIT分野における法律なども理解した上で対応する必要があるため、様々な知識が必要であるといえます。
- セキュリティアナリスト
サイバー攻撃は、攻撃元や痕跡がわかりにくく、また偽装されていることもあり、いつのまにか重要な情報が盗まれてしまうことが散見されます。そんな状況において、迅速に攻撃手法を判断する為にログ情報などの情報の収集や分析をすることがセキュリティアナリストの重要な業務です。
ただし、この仕事には前提としてセキュリティエンジニアとしての経験や幅広い知識が必須であり、難易度の高い業種となります。己の経験則や幅広く存在する事例を元に、目の前のサイバー攻撃に如何に対応するかが重要な業種です。
- ホワイトハッカー
ホワイトハッカーは上記3種の職種と種類が異なります。
一般的なハッカーという立場のイメージは、第三者のコンピューターやネットワークに不正侵入し、犯罪行為をする者を想像することが多いです。しかし、本来の「ハッカー」の定義は、コンピューターネットワークやコンピュータープログラムに卓越した知見を持つ人物のことをいい、そこに善悪の概念は含まれていません。
一般的に、「ホワイトハッカー」はコンピューターに関する知見を社会のために役立てる立場の人のことをいい、逆にその知見を犯罪行為に利用するのが「ブラックハッカー」と呼ばれています。この違いに、厳密な言葉の定義づけはされていません。
一般的に、企業で専門的な職種として存在していることはまれですが、様々な企業にてセキュリティ対応などの業務を行う人のことを、ホワイトハッカーと呼ぶことが多いです。
今後の需要の高さ
セキュリティエンジニアの敵となるサイバー攻撃に関して、日々攻撃手法の高度化が見受けられます。いろいろな企業の「穴」を見つけ、その穴から侵入して情報を盗んでいきますが、サイバー攻撃は派手に事象が見える形から、気付かず知らないうちに密やかに盗まれる形に移行しており、そうなった場合対応できるセキュリティエンジニアが様々な企業において求められる機会は増えることでしょう。
そういった事象から、今後の需要がますます高まる事は想像出来たとしても、需要がなくなる事はほぼないと考えられます。
セキュリティエンジニアに求められるスキル
最後に、セキュリティエンジニアが求められるスキルについて考えていきましょう。
ITに関する知識・技術
まずひとつ言えるのは、セキュリティの知識以外にも、様々な知識が求められると言うことです。
発生したサイバー攻撃がそのシステムのどの部分に影響があるのかを即座に判断し、適切な対応を行うためには、前提条件としての様々な知識が必要となります。様々なシステムが組み合って成立している企業のシステムに対し、どの部分、どの範囲に影響が考えられるか。また正常に動作させるためにはどこを切り離す必要があるかなどの判断を行います。
その知識はシステム面だけではなく、その企業の業務知識及び企業の経営状態や、さらに法律の面においても必須です。またサイバー攻撃に対する対応は時間との闘いとも言えます。現状がどのような状態であるかを、即座に、かつ的確に、客観的に判断するために法律や企業経営についての知識は必須となります。
コミュニケーション能力
セキュリティエンジニアとしての立場により、対象者は変わってきますが、セキュリティエンジニアにおいてコミュニケーション能力は必須です。
一般的なエンジニアのイメージは黙々と作業を行っていく姿が想像されることが多いです。しかしセキュリティエンジニアはそのセキュリティがなぜ必要なのかの説明をする際や、万が一攻撃があった際の現状説明の際など、様々なシチュエーションクライアントなどと会話をし、決めていく必要があります。
そのため、コミュニケーション能力は必ず求められる能力のひとつでしょう。
柔軟に対応できる能力
一般的な事象でも技術の発展が激しくなってきておりますが、サイバー攻撃は特に日進月歩の世界です。一般的に受け身にならざるをえない立場であり、その様々な攻撃に対してどのような防御をとるか、対応を取るかなど、決まった方法はありません。
様々な新たな脅威を想定し、どのような対応を取るかなど、実施しなければならないことはかなり多く、臨機応変な対応が求められることでしょう。セキュリティエンジニアとしての立場にもよって変わってきますが、発生したインシデントに対し、様々な立場に立って柔軟な対応をする必要があります。
未経験からセキュリティエンジニアを目指すには?
未経験からセキュリティエンジニアになることは可能です。
ただ、全くの未経験でなにも知識が無い状態で職に就いたとしても、想定していた業務内容と現実の乖離が生まれる可能性がありますので、前提条件としてある程度のネットワークやサーバについての勉強はしておく必要があります。
また、セキュリティエンジニアはその人数の少なさや業務内容的に即戦力を求められがちですが、脆弱性診断するペネトレーションテストを行うテスターやSOCと呼ばれるネットワークやデバイス等の監視や検知、分析などを行うオペレーターの仕事からセキュリティエンジニアの仕事を目指していくのも方法のひとつだと思われます。
エンジニアの仕事を探すなら
エンジニアの仕事を探すなら、お気軽にトライアローへご相談ください。
トライアローは、しごとF!NDERというお仕事検索サイトを運営するIT・通信・建設業に強い派遣会社です。これからエンジニアとして転職活動をしたい、これまでの経験を活かしてもっと条件の良い案件に移りたい、等のご希望を基に、条件にあうプロジェクトをご紹介しています。また、エンジニアとしてのキャリアについて悩んでいる方への、営業担当によるキャリア相談も行っております。
エンジニアとして新たなキャリアを歩みたい方、挑戦したい方は是非お気軽にご相談ください。
全国のお仕事が探せます!IT業界のお仕事を探してみる
自分のスキルに合うお仕事は?ブランクや未経験が心配…そんな方もご相談ください