今回は近年需要が高まっている、セキュリティエンジニアについてご紹介いたします。
以前より日本ではサイバーセキュリティ人材が不足していると言われており、経済産業省が実施した調査によると、情報セキュリティ人材は約13万人不足していると考えられています。

2020年の東京オリンピックに向けてその需要はさらに高まっていき、2020年には約19万人も不足の状態になるだろうと見込まれています。

情報セキュリティ人材
出典：経済産業省Webサイト

上記の示されている「情報セキュリティ人材」には、情報セキュリティ対策の統括者、セキュリティ管理者、システム設計、脆弱性診断、コンサルティングなど、セキュリティに携わる様々な人材が包括されています。

セキュリティエンジニアの仕事とは？

セキュリティエンジニアといっても業務内容は多岐にわたりますが、ここではセキュリティポリシーの策定やプライバシーマークなどの認証取得をサポートするセキュリティマネジメントに近い内容を除き、もう少しエンジニアよりの業務内容をご紹介したいと思います。

• 既存システムの把握、分析、必要なセキュリティシステムなどの提案・企画
• セキュリティに配慮したシステムの設計・構築
• 上記で設計したシステムの導入・実装（セキュアプログラミングやセキュリティアーキテクチャも考慮）
• 上記システム導入後のテスト・運用・保守
• サイバー攻撃に対する調査・診断

それぞれの業務内容に合わせてセキュリティに精通したエンジニアがいることが望ましいですが、実際にはセキュリティエンジニアが不足している状況ですから、全てのフェーズに関わることもあると思われます。

セキュリティエンジニアになるには？

ではセキュリティエンジニアになるためにはどんな知識、経験が必要なのでしょうか。

身につける知識が膨大で、上記で挙げたような仕事内容を全て経験された方はわずかしかいないと思われます。

求められそうな知識をご説明するより、実際に企業が求めている求人情報からどんな知識・経験が求められているか見てみましょう。

募集A

必須要件

• Windows/Linux 基礎知識
• ネットワーク・プロトコル全般の知識

以下のいずれかの経験

• 企業ネットワークの設計・構築・運用フェーズでのセキュリティに関わる業務経験
• セキュリティ製品等の運用経験
• セキュリティ事案対応の経験

募集B

必須要件

• セキュリティ対策製品の運用設計、保守経験（ファイヤウォール、ウイルス対策等）
• インフラ、ソリューション運用業務経験
• セキュリティ製品の新規設計、構築導入

歓迎要件

• ネットワークに関する資格（CCNA、LPIC、CISSP、セキュリティスペシャリストなど）
• 課題解決力
• チームマネジメントの経験

募集C

必須要件（下記のいずれか）

• ネットワークの構築・運用経験
• アプリの開発経験（OS、NW経験は問わない）
• サーバの構築経験

歓迎要件

• セキュリティ領域にチャレンジしたい方、新しい技術習得に意欲的な方

募集D

必須要件

• ネットワーク・サーバーセキュリティ構築経験

歓迎要件

• マネジメント経験

募集E

必須要件

• 脆弱性診断の実施経験

歓迎要件

• インシデント対応経験
• セキュリティポリシー策定経験

上記のような経験が求められているようです。

一言にセキュリティエンジニアといっても、色々な要件があることがわかったと思います。

しかし、ネットワークやサーバーの構築、アプリケーションやシステムの設計・開発等の経験者が求められいることから、構築や開発に関わる経験は求めらているように思えます。

加えて、課題解決力、マネジメント力、知識習得に意欲的な姿勢など、技術的なスキル以外の能力も求められていることが見えてきます。

上記のような経験、能力の他にセキュリティエンジニアとしての色を加えるのであれば、資格取得が良いかもしれません。

近年、セキュリティエンジニアの需要は高まっていますので、資格を持っていることがアピールにつながるでしょう。

セキュリティエンジニアに関する資格

セキュリティに関する資格があることで自分の意欲を伝えることにつながりますので、何か一つは取得しておくと良いと思います。

ここではセキュリティに関する資格を４つご紹介します。

１．情報処理安全確保支援士試験（旧：情報セキュリティスペシャリスト試験）

2016年まで情報セキュリティスペシャリスト試験として実施していましたが、2016年10月21日の情報処理技術者試験規則改正により廃止され、情報処理安全確保支援士試験という名称に変わりました。

国家試験である情報処理技術者試験の１つで、日本国内で実施されているセキュリティに関する試験の中でも最難関の資格です。3年毎に更新が必要な資格です。

２．ネットワーク情報セキュリティマネージャー(NISM)

ベンダーフリーの資格であり、サイバー攻撃に対処するためのスキルを問う試験です。実機を使ってデモ・モデルケースを用いた講習を受け、受講後に認定試験に合格することで取得することができます。資格取得日の翌々年度の3月末で資格が有効で、有効期間内に更新試験を受験する必要があります。

３．CompTIA Security+

セキュリティ技術者としての知識やスキルを証明できる国際的な資格。セキュアなネットワークの維持とリスク管理について出題されます。資格は3年間の有効期間があり、教育継続プログラムを経て更新することが可能です。

４．CISSP認定資格

セキュリティに関して広く問われる試験であり、非ベンダーが実施しているセキュリティ資格の中で最も評価されているものの1つと言われています。セキュリティ専門家として4年以上の実務経験がないと受験できないため、実務経験がない人は受験できません。セキュリティ関連の業務に携わっている方がチャレンジ資格ではないでしょうか。3年毎に再認定を受ける必要があります。

セキュリティに関する資格だけではなくIT関連の資格に言えることですが、一度認定を受けたらそのまま永続的に資格を保持することができるわけではなく、再試験を受けたり、必要なプログラムを受講するものが多いです。

自己研鑽や最新の情報収集が必要ですが、その努力を重ねることで世の中で求められる能力を身につけることができます。

まとめ

セキュリティエンジニアは技術的なスキルからマネジメントまで幅広い知識がが求められるエンジニアです。

しかし、実際には資格や特殊な経験がなくてもチャレンジできる分野でもあります。

今後ますますインターネットは広がっていき、様々なモノがインターネットに繋がっていきますので、必然的に情報セキュリティ人材の需要も増加していくことでしょう。

インターネットやシステムを安心、安全に利用するためにセキュリティの知識はなくてはなりませんので、ご自身のキャリアパスとして考えてみてはいかがでしょうか。

Avintonで現在募集しているエンジニア職の情報は弊社採用ページをご覧ください。