ITキャリアパス

セキュリティエンジニアのキャリアパスを徹底解説! 選び方まで解説

これからセキュリティエンジニアを目指したいと考えている人や、セキュリティエンジニアとして業務をしている人の中には、これからセキュリティエンジニアとしてどのようなキャリアパスの形成ができるのか疑問に思っている人もいるのではないでしょうか。

この記事ではセキュリティエンジニアのキャリアパスの種類から、そのキャリアパス実現に必要な知識やスキルを解説します。セキュリティエンジニアとしてステップアップを考えている人は参考にしてください。

石川 未雪

キャリアアドバイザー

石川 未雪

企業の特性や受講生の要望を汲み取り、企業にとっても受講生にとっても良いマッチングができるよう就職活動をサポートしています。「誠実」をモットーに受講生が安心して就活に専念できるよう尽力しています!前職の精神科で培った「傾聴力」を活かし何でも相談できる存在になれるよう日々求職者に寄り添っています!

杉田 早保

キャリアアドバイザー

杉田 早保

これまでの営業経験やキャリアコンサルタントの国家資格を活かし、効果的なコミュニケーションと問題解決力を培い、個々のキャリアの成長支援に情熱を注いでいます。「初志貫徹」をモットーに、自分らしく輝くキャリアパスを見つけるお手伝いをします。常に相手の立場に立ち、親身なサポートを提供できるよう努めています。

目次

開く

あなたにはどれが向いてる? 今すぐエンジニア診断してみよう

「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」

そんな悩みを解決するのが、「エンジニア診断ツール」です。

  • 診断できるのは8種類のエンジニア
  • たった30秒で自分に合うエンジニアがわかる

「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。

診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。

セキュリティエンジニアの主な3つの仕事内容

セキュリティエンジニアの主な3つの仕事内容

セキュリティエンジニアの仕事は主に「システムにセキュリティを実装する」「セキュリティを管理する」「システムが攻撃を受けたら調査や対策をする」の3つがあります。

これら3つの仕事はシステムの安全を確保するためにすべて必要不可欠。そしてセキュリティエンジニアにはこれらすべてをこなしシステムの安全を確保することが最大にしてもっとも重要な仕事といえます。

ここではセキュリティエンジニアの主な3つの仕事内容について詳しく紹介します。これから、セキュリティエンジニアを目指そうと考えている人は、どんな仕事内容かイメージをつかむために参考にしてください。

システムにセキュリティを実装する

システムにセキュリティを実装するためには、セキュリティの設計や構築が必要になります。

ファイアウォールやUTMなどの通信の制御や通信内容のチェックをするネットワーク関連のセキュリティ製品や、PCにインストールされるウィルスソフトやVPNソフトなど、さまざまなセキュリティ製品を使った設定をしてシステムに組み込んでいきます

ネットワークのセキュリティを担保するためには、外部から不審なアクセスを防ぐために通信の制御をしたり、通信内容から攻撃があったか判断するために、シグネチャといわれる攻撃パターンを記載したプログラムをファイアウォールやUTMを使って調整をしたります。

セキュリティを管理する

実装されたシステムのセキュリティを維持するためには、人為的なミスを防ぐことも大事になってきます。

技術的な面でセキュリティを実装するだけでなく、機器を操作するオペレーターや、情報資産を利用する人に対してセキュリティを意識したシステムの運用ルールを決めるのもセキュリティエンジニアの仕事です

たとえば、顧客情報へのアクセスは営業部の人のみでほかの部署の人はアクセスできないようにするなど、情報の利用制限をしたり、情報を使った人が正しく利用できているかログを残したりして、セキュリティ事故を未然に防ぐための運用方法を決めます。

また、2018年に日本ネットワークセキュリティ協会が発表した情報セキュリティ事故に関する調査報告書によると、情報セキュリティの漏洩事故は外部からの攻撃でなく8割以上が内部の情報利用者の人為的なミスで起こっています。

情報セキュリティ事故の原因

こういった事象から見ると、セキュリティを確保したシステム運用のためにはシステムを使う人たちの意識も大事であることがわかります。だからこそセキュリティエンジニアは人為的ミスをおこさせないための仕組みや環境づくりも重要な仕事なのです。

システムが攻撃を受けたら調査や対策をする

システムが攻撃を受けた場合に、その原因を調査したり改善を考えたりするのもセキュリティエンジニアの仕事です。

システムがネットワークにつながっている以上は、常に外部から攻撃を受ける可能性があります。場合によってはシステムが攻撃を受けて、不正に情報資産にアクセスされたり、必要なファイルを破壊されて業務がおこなえなくなったりすることも。

業務が停止してしまうのは企業にとって大きな損失です。そのためセキュリティエンジニアには、システムが攻撃を受けて業務が停止した場合には迅速な復旧対応が求められ、さらに原因の特定や被害の評価、その後の改善対策なども求められます

ここではセキュリティエンジニアの仕事の概要を説明しましたが、セキュリティエンジニアの仕事についてはこちらの記事でさらに詳しく解説しています。興味のある人はこちらもぜひ参考にしてください。

自分の適性が分かる!今すぐエンジニア診断してみよう

「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」

そんな悩みを解決するのが、「エンジニア診断ツール」です。

エンジニア診断ツールの特徴

  • 8種類のエンジニアから自分に合うものがわかる
  • たった30秒で自分の適性が知れる

「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。

診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。

セキュリティエンジニアの将来性

セキュリティエンジニアの将来性

  • 巧妙になるサイバー攻撃のため需要は増加
  • システムの実装にセキュリティは不可欠ため仕事はなくならない
  • 企業の情報資産保護のためには必要なエンジニア
  • 他のエンジニアと比べると年収が高い傾向にある

今日では、ITシステムを構築するときにセキュリティを実装しないシステムは存在しません。つまりセキュリティはシステムを管理するために必要不可欠で、セキュリティの実装や運用を担うセキュリティエンジニアはなくてはならない存在です。

セキュリティエンジニアは、今後もますます必要とされるでしょう。セキュリティエンジニアの将来性についても詳しく解説していきます。

巧妙になるサイバー攻撃のため需要は増加

IT技術の進歩とともにサイバー攻撃はますます巧妙化しています。サイバー攻撃をゼロにすることは不可能ですが、企業は攻撃を受けても業務に影響が出ないシステム運用を求めます

つまり、サイバー攻撃からどのようにしてシステムを守るかは企業や組織にとって絶対に考えておくべきことのひとつ。セキュリティを司るセキュリティエンジニアの需要はますます増加するでしょう。

また、サイバー攻撃はいつ起こるかわからない分、すべてのITシステムは常にネットワークやサーバーを監視しながら不審な通信がないかチェックしています。

企業がおこなう業務の中で、これが正常な通信か悪意のある通信かを判断できる人材としてもセキュリティエンジニアが必要です。

システムの実装にセキュリティは不可欠なため仕事はなくならない

ITシステムを構築するときにセキュリティの実装は必要不可欠です。セキュリティを実装しなければ、企業の情報資産が流出したり、サイバー攻撃を受けてシステムそのものが壊されることもあります。

そのため、ITシステムの構築から運用まで、常にセキュリティエンジニアは必要な存在で、企業がITシステムを使う限り仕事はなくなりません。

また、セキュリティはここまで実装すれば大丈夫という明確な基準は存在しません。

企業の業務内容やネットワーク環境によって、どんな手法でシステムが攻撃されるかはわからないため、さまざまなリスクを予想したり評価して、拒否するレベル、許容するレベルを判断できる人材としてもセキュリティエンジニアが今後も求められます

石川 未雪

キャリアアドバイザー

石川 未雪

その時代の状況に対応できるセキュリティエンジニアであると需要が高いと思います。たとえば、近年だとクラウド環境のインフラが急速に発達したためクラウドセキュリティの実装をできるセキュリティエンジニアが求められています。

クラウドという目には見えない環境に対して、セキュリティを施す必要があるので、技術は高度な技術が求められます。

また、今後社会状況が変わる中でクラウドに変わる新たな技術が発展する可能性があります。その際には、その新たな技術に対するセキュリティを実装できるセキュリティエンジニアが求められるようになります。

企業の情報資産保護のためには必要なエンジニア

企業が業務を継続していくためには情報資産をどのように保護していくかが問われます。情報資産の管理が不十分で情報流出が起こってしまうと、社会から大きな批判を受けることも。

それが大きな損失につながる可能性もあるため、企業の貴重な情報資産を保護するためにセキュリティエンジニアは必要不可欠です。

情報資産保護のためにはさまざまなルール作りが必要になってきます。

どの部署の人にどの情報へのアクセスを許可させるのか、情報が正しく使われているかどうやって判断するのか、情報を外部に持ち出す場合の基準はどうするのかなど、細かいところまでのルール作りが必要であり情報を使う人のセキュリティ意識も同時に欠かせません

セキュリティ意識をどうやって情報の利用者に浸透させていくかもセキュリティエンジニアの仕事です。そして企業の多くには適宜新しい社員の入社があるもの。新入社員が来るたびにこのセキュリティ意識を持たせ続けることが求められます。

他のエンジニアと比べると年収が高い傾向にある

セキュリティエンジニアの年収は、ほかのエンジニアより高い傾向にあります。求人ボックス給料ナビでセキュリティエンジニアの年収を確認すると2023年6月時点の平均年収は597万円となっています

同じ求人ボックス給料ナビにおいてインフラエンジニアの年収が520万円と紹介されていることと比較すると、セキュリティエンジニアは年収が高めのエンジニアだといえます。

また、セキュリティエンジニアはネットワークやサーバーを含めたひとつの「システム」のセキュリティを実装するため、ネットワークエンジニアとサーバーエンジニアの両方のスキルが必要です。幅広いスキルが求められる分、年収が高くなるのは当然といえるでしょう。

セキュリティエンジニアの年収についてさらに詳しく知りたい人は下記の記事も参考にしてください。

30秒で結果がわかる! エンジニア診断を無料で受けよう

エンジニア診断ツール」を使うと、12の質問に答えるだけで、8種類のエンジニアの中から一番自分に向いているエンジニアがわかります。

さらに、「エンジニア診断」は無料で受けられて、診断結果には向いているエンジニアの仕事内容が記載されているので、自分の適性をその場で理解することが可能です。

「エンジニア診断」を活用して、エンジニア就職に一歩近づきましょう。

セキュリティエンジニアの4つのキャリアパス

セキュリティエンジニアの4つのキャリアパス

  • セキュリティのスペシャリストを目指す
  • セキュリティのマネジメントを目指す
  • セキュリティの責任者を目指す
  • 他のエンジニアにキャリアチェンジする

セキュリティエンジニアとして業務を始めたら、スキルアップや給料アップのためにどのようなキャリアパスを実現するかが大事です。セキュリティエンジニアには、業務で培った知識やスキルを活かしてさまざまなキャリアパスがあります。

ここではセキュリティエンジニアの4つのキャリアパスについて紹介します。セキュリティエンジニアを目指している人は、セキュリティエンジニアになった後の将来を思い浮かべながら参考にしてください。

①セキュリティのスペシャリストを目指す

セキュリティエンジニアになったら、そのままセキュリティの知識や技術スキルを深めて、セキュリティのスペシャリストになる方法があります。

世の中で起こるサイバー攻撃は、IT技術の進歩とともに新しいものが生まれてくるので、セキュリティ技術はIT技術の進歩とセットで習得する必要があります。

さらにセキュリティ技術は、ここまでやれば完璧というものは存在しません。

セキュリティエンジニアのスペシャリストになるためには、常に世の中の技術動向や流行りのサイバー攻撃の実情をキャッチアップしながら、どのようなセキュリティをシステムに実装したら良いのか考えていくことが求められます

②セキュリティのマネジメントを目指す

セキュリティ技術をシステムに実装する以外にも、セキュリティを管理するマネージャーのキャリアパスもあります。セキュリティのマネージャーになると、情報資産の利用ルール作りや、社員に対するセキュリティ教育の実施などをします

セキュリティリスクを完全にゼロにすることは不可能といえます。だからこそ業務環境やネットワーク環境に応じてセキュリティリスクをどこまで拒否して、どれだけ許容するのか決めなければなりません。

また、情報を使うために複雑なチェック項目などを設けてセキュリティを高めすぎると、業務においてその情報を使う必要のある場合に、手間がかかるなどして使いにくくなることもあるでしょう。

使いたいときにいつでもその情報にアクセスして使える可用性を維持しながら、情報資産をどのように保護していくか、バランスを考えながらセキュリティ環境を構築・維持していくことが大事です。

③セキュリティの責任者を目指す

マネージャーとしてセキュリティの管理者になったら、さらにその上の監督や責任者を目指すキャリアパスも存在します。監督や責任者の立場になれば、セキュリティの運用と技術の両方のスキルに加えて、判断力や決断力が必要になってきます

たとえば、システムがサイバー攻撃を受けてシステムが使えなくなるような大きな被害が出た場合は、責任者になれば運用と技術の両方の面を理解して、どのように対応してシステムを復旧させていくのか決断をしなければなりません。

サイバー攻撃などセキュリティ事故が発生したときの責任者としての判断力や決断力は、企業の存続にも影響するため非常に重要です。的確な決断や判断をするために責任者にはセキュリティに関する高度な知識や技術が必要になります。

④他のエンジニアにキャリアチェンジする

セキュリティエンジニアとして培ってきた知識や技術を使ってほかのエンジニアにキャリアチェンジする方法もあります。

セキュリティエンジニアには、システムのセキュリティを実装するためにネットワークやサーバーのITインフラの知識からWebアプリケーションの知識まで幅広いものが求められます

これまでの経験とセットで蓄積された豊富なIT知識をベースに新しい技術スキルを習得して新しいキャリアパスを築くこともできるでしょう。

たとえば、サイバー攻撃を受けたときに、ログ調査したりするような経験は分析や解析などの業務で活かすことができます。セキュリティの運用や改善をしてきたような経験は、さまざまな問題を解決する場面で役立ちます。

また、セキュリティを実装しないITシステムは存在しません。そのため、セキュリティの実装スキルや経験はどんなエンジニアにキャリアチェンジをしても活かすことができます。

杉田 早保

キャリアアドバイザー

杉田 早保

今後需要が高くなるキャリアパスは、ほかのエンジニアにキャリアチェンジすることだと思います。セキュリティのみ対応できるエンジニアより、セキュリティも対応できるエンジニアの需要が高くなる傾向があるためです。

そのため、完全にほかのエンジニアにキャリアチェンジするというよりは、ほかのエンジニアとしてのキャリアも積みながらセキュリティエンジニアとしても活躍していくのが一番良いと思います。

エンジニアは専門職ですが、一つの領域の専門性に縛られる必要はなく、むしろマルチに対応できた方が良いです。また、ほかのエンジニアとしてのキャリアも積むことで相乗的にセキュリティに関する知識やスキルも高めることができるでしょう。

エンジニア診断を受けて最初の1歩を踏み出そう!

エンジニアになるかどうか悩んでいる人は、まず「エンジニア診断ツール」を活用するのがおすすめです。

「エンジニア診断」を使うと、どのエンジニアに自分が向いているのか、簡単に理解することができます。約30秒で診断できるので、気軽に利用してみてください。

エンジニア診断ツールでわかること

  • 8種類のエンジニアの中で最も自分に適性があるもの
  • 向いていると診断されたエンジニアの仕事内容
  • 向いているエンジニアで活躍するために必要な知識や資格
  • 向いているエンジニアの年収の目安

セキュリティエンジニアのスペシャリストのキャリアパス

セキュリティエンジニアのスペシャリストのキャリアパス

セキュリティエンジニアのスペシャリストのキャリアパスには主に「ホワイトハッカー」「セキュリティアナリスト」「セキュリティアーキテクト」の3つがあります。ITセキュリティをさらに究めたいと考えている人はスペシャリストのキャリアパスを選ぶと良いでしょう。

ここでは、セキュリティエンジニアになったら、より高度なITセキュリティの知識や技術のスキルを身につけるスペシャリストのキャリアパスについて紹介します。

ホワイトハッカー:サイバー攻撃を受けたら調査や改善をする

ハッカーと聞くと、不正に情報を盗んだりする悪意のある人をイメージする人もいるかもしれません。

セキュリティ技術を悪意を持って使う人をブラックハッカーと呼び、逆に業務改善やサイバー攻撃防止のために善意でセキュリティ技術を使うエンジニアをホワイトハッカーと呼びます。

ホワイトハッカーは、システムに潜む脆弱性を見つけ出したり、その脆弱性が悪用される前に改善をするスペシャリストです。サイバー攻撃を受けたときはどんな攻撃を受けて、システムにどんな影響があったのかを洗い出して、改善をするのが主な仕事です。

ネットワークから、データベース、プログラミングなど、システムに潜むあらゆるところに潜む脆弱性を見つけ出すため、ITインフラの設計・構築スキルに加えて開発の知識が必要です。

セキュリティアナリスト:サイバー攻撃の分析・解析をする

セキュリティアナリストはサイバー攻撃が起こったときに分析や調査をするスペシャリストです。

ホワイトハッカーが技術的な側面を専門にしているのに対して、セキュリティアナリストの場合はシステムの技術的な側面の分析に加えて、業務環境を踏まえた情報利用者の行動分析もして、運用と技術の両方の側面で改善をします

サイバー攻撃は必ずしも外部からの攻撃とは限らず、場合によっては内部の情報利用者による攻撃もあります。

攻撃は、必ずしもセキュリティ技術の脆弱性や、システムの不備をつくものだけでなく、運用の不備を狙う場合もあるので、セキュリティアナリストには多角的な視点で分析する能力が必要です

セキュリティアーキテクト:システム全体のセキュリティ設計

セキュリティアーキテクトは、システム全体のセキュリティ設計を担当します。企業の業務環境やネットワーク環境はさまざまなので、それぞれの企業のシステム運用に応じたセキュリティの設計が必要です。

たとえば、業務上インターネットで閲覧できるサイトを制限する場合に、ドラッグや軍事技術などのサイトを有害サイトとして閲覧禁止にする企業もある一方で、薬品メーカーであればドラッグ関連のサイトは業務上閲覧が必要でしょう。

そのほか、情報資産の利用規約や使用範囲も企業によってさまざまです。顧客情報に営業部全員がアクセスできる企業もあれば、一部の役員や幹部だけしかアクセスできないようにしている企業もあるので、環境に沿ったセキュリティ設計が必要です。

ただし、企業の業務環境に合わせたセキュリティ運用が必ずしも正しいとは限りません。場合によっては利益優先でセキュリティを後回しにする企業があるかもしれません。

セキュリティアーキテクトは、技術的な面だけではなく、モラル、コンプライアンスなどさまざまな視点から考慮して、企業の業務環境に合わせたシステム全体のセキュリティ設計をするのが仕事です

石川 未雪

キャリアアドバイザー

石川 未雪

たとえば企業内にWEB上で動作する社内システムがあるとします。セキュリティエンジニアは、このWEB上で動作する社内システムが外部のインターネットを通して攻撃を受けたりしないようにセキュリティを実装します。つまり、個別のシステムなどに対応するのがセキュリティエンジニアの役割です。

これに対して、セキュリティアーキテクトは企業全体のセキュリティについて考察し、考察したセキュリティについて実現することを役割とします。つまり、個別のシステムに限らず組織全体のセキュリティに携わる役割です。
このように、セキュリティアーキテクトとセキュリティエンジニアは携わる業務の範囲が大きく異なります。

セキュリティエンジニアのマネジメントのキャリアパス

セキュリティエンジニアのマネジメントのキャリアパス

セキュリティ技術をシステムに実装したり、攻撃を受けた時に分析や解析をする以外にも、システムを維持するためにセキュリティを運用するマネジメントのキャリアパスもあります。

スペシャリストのキャリアパスにはセキュリティ技術のスキルが求められるのに対して、マネジメントのキャリアパスには情報利用者の管理やセキュリティのルール作りなど、セキュリティの運用や管理スキルが必要です。

ここではセキュリティエンジニアのマネジメントのキャリアパスについて紹介します。

セキュリティマネジメント担当者:セキュリティの運用管理

セキュリティは技術だけでなく、情報を使う人のモラルや意識も大事になってきます。どんなに高度なセキュリティ技術が実装されたシステムであっても、使う人が正しく利用できなければ意味がありません。

正しいシステム運用のためにはセキュリティをマネジメントすることが非常に大事です。

セキュリティマネジメント担当者は、社内で決めたセキュリティのルールに基づいて情報が正しく使われているか管理していかなければなりません

不正な情報の持ち出しはないか、許可された人だけが情報にアクセスされているかなど、セキュリティ事故を未然に防ぐことが求められます。

そのほか、利用者を管理するだけでなく、情報を使う人のモラルや意識を高めるため、社員のセキュリティ教育もおこないます。

プロジェクトマネージャー:セキュリティ導入のプロジェクトの管理

プロジェクトマネージャーとしてスキルアップするキャリアパスもあります。セキュリティエンジニアで培った知識や経験を活かして、セキュリティ製品導入のプロジェクトを管理するのも1つの方法です。

顧客の業務環境に必要とされるシステムのセキュリティ要件を洗い出して、どんなセキュリティ製品を導入したらいいか検討して、見積もり作成や、スケジュールを管理します

ITシステムの導入において、セキュリティの製品は必ず何らかの形で導入されます。セキュリティエンジニアの知識や経験があれば、セキュリティレベルの高い堅牢なシステムを導入でき、顧客から高い信頼を得られ、プロジェクトマネージャーとしてさらにステップアップできるでしょう。

セキュリティエンジニアの責任者のキャリアパス

セキュリティエンジニアの責任者のキャリアパス

セキュリティエンジニアの経験を活かして、監督者や責任者になるキャリアパスもあります。セキュリティエンジニアで培った知識や技術を活かして、より大きなビッグビジネスをしたいと考えている人は責任者のキャリアパスを選ぶのも良いでしょう。

ここではセキュリティエンジニアの責任者のキャリアパスについて紹介します。

CISO:企業のセキュリティ最高責任者

CISO(Chief Information Security Officer)は企業のセキュリティに関する最高責任者で、会社の経営層と連携をして会社全体のセキュリティポリシーの策定をおこない、セキュリティに関するシステム障害が起こった際は、会社としての対応や判断のための全責任を負います。

日本でCISOを設置している企業の割合は40%ほどで、すべての企業にCISOのポジションが存在しているとは限りませんが、セキュリティの必要性が高まっているため、セキュリティエンジニアとして幅広く経験を積み高度な知識や技術を身につけてCISOを狙うのも1つの方法です

また、2022年にNRIセキュアが企業に対して「日本企業で不足しているセキュリティ人材の種別」についてアンケート調査をしたところ、セキュリティ戦略や企画を策定する人材が足りていないと答えた企業が50%に上ることがわかりました。上流レベルからセキュリティの戦略や企画を策定するCISOのポジションを設ける企業は今後増えていくと考えられます。

人材が不足していると考える人材種別

セキュリティコンサルタント:課題解決の責任者

セキュリティコンサルタントは、企業に潜むセキュリティに関する課題を解決するのが仕事です。現場レベルから経営レベルまで幅広い範囲で、セキュリティリスクの評価や改善をします。

特にコンサルタントのレベルになると、セキュリティリスクを改善するだけでとどまらず、改善されることで企業にどんな利益をもたらせるのかがポイントになってきます

企業は最終的には利益を求めているため、セキュリティリスクの改善をしても、企業が利益やメリットを感じられなければセキュリティコンサルタントを雇うこと自体価値がなくなってしまいます。

そのため、セキュリティコンサルタントにはセキュリティリスクを改善することで、企業の利益にどのようにつながるのかを説明して、実際に結果を出すための企画力から実行力が必要です。

セキュリティ関連の会社を起こす

セキュリティエンジニアとして培った知識や経験を活かして、セキュリティ関連の会社を起業するのも1つのキャリアパスです。自社でセキュリティ製品を開発したり、セキュリティ導入のためのシステム開発を請け負ったり、セキュリティエンジニアを育成するなど、起業をすればセキュリティエンジニアのキャリアパスの幅を大きく広げることができます。

ただし、起業にはリスクがともないます。起業後会社を維持するためには仕事を受注し続けなければなりませんし、社員を雇えば人件費などもかかります。起業する場合は、セキュリティエンジニアとしてのスキルだけでなく、経営のノウハウも必要になることを覚えておきましょう

セキュリティエンジニアがキャリアチェンジできるキャリアパス

セキュリティエンジニアがキャリアチェンジできるキャリアパス

セキュリティエンジニアのキャリアパスは、セキュリティ関連のキャリアパスだけとは限りません。

セキュリティエンジニアには、ITインフラに関する知識から、Webアプリケーションの知識まで幅広く必要とされるため、セキュリティエンジニアの経験でほかの職種へキャリアチェンジできます。

ここではセキュリティエンジニアがキャリアチェンジできるキャリアパスについて紹介します。

AIエンジニア:セキュリティのログ調査や分析のスキルを活かす

セキュリティエンジニアで培ったセキュリティのログ調査や分析のスキルは、AIエンジニアがAIを開発する場合のデータ分析で活かすことができます。

また、セキュリティの分野にもAIは必要とされます。たとえば、攻撃者の通信をログから分析して、AIを使って次の攻撃を予測したり、過去の攻撃ログをAIに学習させて、攻撃がおこなわれる前に異常なログを検知して、未然に攻撃を防ぐことも可能です。

このようにセキュリティエンジニアとして培った知識や技術はAIエンジニアとしてAIとセキュリティを掛け合わせたシステムを開発する際にも活きるでしょう

AIエンジニアになるためには、ログの分析だけでなくデータの収集やPythonを使ったデータの加工や可視化の能力も必要です。

AIエンジニアについてさらに詳しく知りたい人は下記記事も参考にしてください。

ITコンサルタント:セキュリティの問題解決能力の経験を活かす

セキュリティの経験を活かしてセキュリティコンサルタントになる方法もありますが、セキュリティエンジニアで培ったセキュリティの問題解決の範囲をさらに広げて、企業経営全般の問題解決をおこなうITコンサルタントになる方法もあります。

ITコンサルタントになれば、企業から求められる課題解決の分野はセキュリティにとどまらずIT全般になります。そのため、企業のビジネス戦略やマーケティングなどを理解して、さまざまな問題を解決をするためにはデータ利活用のスキルが必須になります。

ITコンサルタントは、セキュリティコンサルタントと同じく企業の持つ課題解決がどのように利益に結びつくかを理解して、実際に企業に利益をもたらさなければなりません

見えない問題点を洗い出し、課題解決までおこなって、企業の利益に貢献することは簡単ではありません。

しかし経営レベルで大きな仕事をしてみたいと考えている人は、セキュリティエンジニアで培った問題解決能力を活かして、ITコンサルタントとしてスキルアップするのも良いでしょう。

杉田 早保

キャリアアドバイザー

杉田 早保

セキュリティエンジニアは、開発エンジニアにも、ネットワークエンジニアにも、サーバーエンジニアにもキャリアチェンジできます。システムの開発においても、ネットワークの設定においても、サーバーの構築においてもセキュリティの実装は必須で、セキュリティの知見があるエンジニアは重宝されます。

仕様通りに動くシステムや、ネットワーク、サーバーを作ることはもちろん大事です。しかし、たとえ仕様通りに動いたとしても、セキュリティが保たれていなければ、運用後に外部からの攻撃などによりトラブルが頻繫し、正常な運用がおこなえない可能性すらあります。

このため、システム、ネットワーク、サーバーのいずれにおいても高いセキュリティを実装する必要があるのです。

業界で異なるセキュリティエンジニアに求められるスキルとキャリアパス

セキュリティエンジニアのキャリアパスを実現するためには業界選びも大切です。業界によってセキュリティエンジニアに求められる知識やスキルが異なってくるため、セキュリティエンジニアのキャリアパスを実現するためには、業界のニーズに合わせたセキュリティの知識やスキルを身につけなければいけません。

ここでは、業界別にキャリアパスを実現するためにセキュリティエンジニアにどのようなスキルが求められるか紹介します。

セキュリティエンジニアに求められる業界別に必要なスキルと実現できるキャリアパス
インフラ業界 ・システム継続のために堅牢なシステムを維持するスキル
・ネットワークセキュリティのエンジニアのキャリアパス
金融業界(ITSS) ・顧客情報保護のためのデータの機密性を維持するセキュリティのスキル
・セキュリティ運用のマネージャーのキャリアパス
医療業界 ・医療データが改ざんされないように完全性を維持するセキュリティのスキル
・システムセキュリティエンジニアのキャリアパス
メーカー業界 ・企業の技術情報を保護するスキル
・アプリケーションセキュリティエンジニアのキャリアパス

インフラ業界:止まってはいけない堅牢なシステムが求められる

電気、水道、ガス、さらに通信は人々の生活に欠かせない重要なインフラです。インフラシステムが止まってしまうと、人々の生活に大きな影響が出てしまいます。

そのため、インフラ業界では、システムが攻撃を受けて障害が起こっても、すぐにバックアップに切り替えられるように常にシステムの可用性が求められます

インフラ業界において需要の高いセキュリティエンジニアのキャリアパスはネットワークのセキュリティに特化したスペシャリストといえるでしょう。それに伴って、インフラ業界の場合は外部の攻撃からシステムを守るためのネットワークセキュリティの知識が欠かせません。

ネットワークで外部とつながっている以上は、何かしらの攻撃を受ける可能性があります。そのため、外部から攻撃を受けてもいかにユーザーに影響を与えずにシステムを管理するかがセキュリティエンジニアに問われます。

金融業界:顧客情報保護のために高度なセキュリティが求められる

金融業界のセキュリティエンジニアには顧客情報保護のための高度なセキュリティが求められます。顧客情報保護のためには、情報利用のための運用ルールの作りや、利用者のセキュリティ意識の向上が大事です。

そのため、金融業界におけるセキュリティエンジニアのキャリアパスとしては、運用マネージャーがもっとも実現しやすく求められやすいでしょう。そしてそのためには、セキュリティ運用のマネジメントスキルが求められます。

また、金融業界にはクレジットカード情報のデータの漏洩や不正利用を防ぐためにPCI DSS(Payment Card Industry Data Security Standard)と呼ばれる一定のセキュリティ基準を設けています。

金融業界でセキュリティエンジニアとして業務をするためには、業界で設けられている各種セキュリティ基準の知識が必須です。

医療業界:治療のためのデータの信頼性と完全性が求められる

医療業界におけるセキュリティには治療データの信頼性や完全性が求められます。間違った医療データは、最悪の場合医療ミスにつながり人命にかかわる影響が出てしまいます。

そのため、データの保管、管理、利用までを含めてサーバーを中心としたシステムセキュリティのエンジニアのキャリアパスがあります

医療業界でセキュリティエンジニアのキャリアパスを実現するためには医療システムに関するセキュリティ技術が求められ、治療データの信頼性や完全性を確保しなければなりません。特に、データの暗号化に関する知識や、改ざん防止に関する知識は必須です。

また、患者の治療データはプライバシーなので、情報を保護しながらも適切な人が利用できるようにアクセス管理する必要があり、医療業界では「医療情報セキュリティ基準(MISRA)」と呼ばれる電子カルテや医療情報システムのセキュリティに関する基準が設けられています。

医療業界で業務をするセキュリティエンジニアにはMISRAの知識も必須です。

メーカー業界:製品におけるセキュリティの脆弱性対応が求められる

メーカー業界のセキュリティエンジニアには製品を動かしているアプリケーションに対するセキュリティの脆弱性対応が求められます。

どんなに素晴らしい技術で作られた製品でも、製品に脆弱性があって製品のプログラムを改ざんされたり、技術情報が流出してしまうと、メーカーはその業界でのポジショニングを失い大きな打撃を受けてしまいます。

そのため、メーカー業界においてはプログラム言語やデータベースを中心としたアプリケーションに関するセキュリティエンジニアのキャリアパスを望めます

メーカー業界でセキュリティエンジニアのキャリアパスを実現するためには、アプリケーションセキュリティの知識が必須です。製品に脆弱性が見つかれば迅速な対応が求められます。

先行投資を続けながら開発された技術情報はメーカーにとって命です。企業の持つ技術情報をいかに守るかがセキュリティエンジニアには求められます。

石川 未雪

キャリアアドバイザー

石川 未雪

インフラ業界について、止まってはいけない堅牢なシステムが求められると記載されていますが、インフラ業界に限らずほかの業界でも止まってはいけない堅牢なシステムが求められる業界は多いです。

近年では、多くの企業で業務処理のシステム化が進められ、システムが止まってしまうと、業務が止まってしまうことに直結する場合があります。

また、顧客情報保護についても金融業界に限らずほかの業界でも求められます。このように、こちらの章で代表的な業界としてピックアップされた業界に限らず、広い業界でセキュリティエンジニアのスキルが求められるという理解をすると良いでしょう。

セキュリティエンジニアになるための2つのキャリアパス

セキュリティエンジニアになるための2つのキャリアパス

  • 別のエンジニアを経験してから目指す
  • セキュリティ関連を勉強して実績を作る

セキュリティエンジニアになった後のキャリアパスについて紹介してきましたが、ではそもそもセキュリティエンジニアになるためにはどうしたらいいのかと疑問に思う人もいるでしょう。

セキュリティエンジニアになるためには、エンジニア経験を経る方法と、セキュリティ関連の勉強をして資格や実績を作る方法の2つがあります。ここではセキュリティエンジニアになるための2つのキャリアパスについて紹介します。セキュリティエンジニアを目指している人は参考にしてください。

①別のエンジニアを経験してから目指す

セキュリティエンジニアになるために、ネットワークエンジニアを経験してからなる方法と、開発エンジニアを経験してから転身する方法の2つあります。

システムの設計・構築において、セキュリティの実装は特定の技術分野だけでおこなうことはあまりなくシステム全体を通しておこなうのが普通です。つまりセキュリティエンジニアとして業務をするためには複数の技術分野を理解しておかなければなりません。

セキュリティエンジニアには、ネットワークやサーバーのITインフラに関する知識と、Webアプリケーションに関する2つの知識が最低でも必要になります。ここではそれらにかかわるエンジニアを経験することが、なぜセキュリティエンジニアになるために有効なのかを解説します。

ネットワークエンジニアから入って目指す

ネットワークエンジニアの業務では、ファイアウォールやUTMなどのセキュリティ製品を設定することがあります。セキュリティエンジニアになるためにはセキュリティ製品の設計からシステムへの実装のスキルが欠かせません。

ネットワーク構築の業務でファイアウォールなどのセキュリティ製品の経験を積むことで、セキュリティエンジニアに必須の技術スキルが身につけられます

セキュリティエンジニアになる前にまずネットワークエンジニアになってネットワークセキュリティの設計から構築までできるようになっておくことでセキュリティエンジニアというキャリアをかなえるのが近づくでしょう。

ネットワークエンジニアがどんな仕事をするのか、こちらの記事で詳しく解説しています。一度目を通しておきましょう。

開発エンジニアを経験してから転身する

セキュリティの実装はITインフラだけでなく、Webアプリケーションにも必要です。

Webアプリケーションの開発では、サイト利用者に対して不正なサイトに誘導するCSRF(Cross-Site Request Forgery)や、不正なプログラムを埋め込むインジェクション攻撃などに対して、さまざまなセキュリティを実装を実装します。

インターネットなどのように不特定多数の人が利用できるサイトでは、ITインフラのセキュリティとセットでWebアプリケーションに対するセキュリティの実装は必須です

サイバー攻撃では、当然Webアプリケーションの脆弱性を狙った攻撃もあります。Webアプリケーションが攻撃された際、セキュリティエンジニアは、原因究明はもちろん対策のためにはWebアプリケーションの知識が必須です。

開発エンジニアの業務経験を通して、アプリケーションセキュリティを身につけてセキュリティエンジニアに転身するキャリアパスもあります。

②セキュリティ関連を勉強して実績を作る

セキュリティ関連の資格を取得したり、SECCON(セキュリティコンテスト)などのITセキュリティのスキルが証明できるコンテストで実績を作ってセキュリティエンジニアになるキャリアパスもあります。

未経験からセキュリティエンジニアになるのは難しいですが、セキュリティに関する知識や技術が証明できるものがあれば、採用される可能性は大きく上がります。ここでは実務経験が無い状態からセキュリティエンジニアになる際にアピールできる実績の例をいくつか挙げます。

セキュリティ関連の資格を取得する

国家資格では、情報セキュリティマネジメント試験や情報処理安全確保支援士があり、ベンダー資格では、世界シェアナンバーワンのファイアウォールメーカーであるフォーティーネット社のNSEなどがあります

これらを取得することで、セキュリティエンジニアとして必要な知識が備わっていることを実証できるでしょう。

ただし、セキュリティエンジニアとして業務をするためには前提としてITインフラの知識は必要になります。そのためITインフラ関連の資格とセットでセキュリティ関連の資格を取得するのがより資格を効果的にアピールするためにおすすめです。

ITインフラ関連の資格やセキュリティ関連の資格についてさらに詳しく知りたい人は下記の記事も参考にしてください。

SECCON(セキュリティコンテスト)で実績を作る

実際にセキュリティエンジニアとして業務ができる技術スキルを証明するために、セキュリティコンテストで実績を作るのも有効な方法です。

セキュリティコンテストは、セキュリティ人材を輩出することを目的としています。優秀な成績を収められれば、実務未経験でも十分セキュリティに関する技術・知識があるとして、セキュリティエンジニアになれる可能性が大きく上がるでしょう

セキュリティコンテストではさまざまなセキュリティに関する課題が与えられます。個人はもちろんチームで参加して課題に取り組んでも大丈夫です。

そのほか、初心者向けに勉強会が不定期に開催されているので、セキュリティの知識を身につけたい人は積極的に勉強会に参加するのも良いでしょう。

杉田 早保

キャリアアドバイザー

杉田 早保

別のエンジニアを経験してから目指す方法が、セキュリティエンジニアになる人にとってもっとも現実的でなりやすい方法です。システムの開発においても、ネットワークの設定においても、サーバーの構築においてもセキュリティの実装は必須で、セキュリティの知見があるエンジニアは重宝されます。

さらに言えば、フィールドエンジニアやIoTエンジニア、社内SEなどエンジニアの種類は豊富に存在しますが、セキュリティの知見が必要ないエンジニアは存在しません。このため、別のエンジニアの経験はセキュリティエンジニアになるために最も価値があると言えるでしょう。

セキュリティエンジニアのキャリアパスに必要なヒューマンスキル

セキュリティエンジニアのキャリアパスに必要なヒューマンスキル

  • システムが攻撃を受けたときに迅速に動ける俊敏性
  • システムを攻撃から未然に防ぐために小さな変化に気づく敏感力
  • コミュニケーション能力

セキュリティエンジニアのキャリアパスを実現するためには、セキュリティに関する知識や技術だけでなくヒューマンスキルも必要になってきます。

ここではセキュリティエンジニアの業務の特徴に合わせて、キャリアパス実現に有効なヒューマンスキルについて紹介します。セキュリティエンジニアを目指している人は、自分自身のヒューマンスキルと照らし合わせてみてください。

システムが攻撃を受けたときに迅速に動ける俊敏性

システムが攻撃を受けると、セキュリティエンジニアは迅速に原因特定や影響範囲を減らすことで、システムが完全に停止していた場合は何よりも復旧することを優先に対応しなければなりません。

システム障害が発生して、業務に影響が出た場合はどんなエンジニアであっても迅速な対応が求められますが、セキュリティエンジニアが扱うシステム障害は攻撃者が原因で発生する障害も含まれます。

そのため、ただシステムが使えなくなっただけでなく、情報が流出していたりファイルが壊されているなど、二次被害や三次被害になって被害がさらに大きくなる可能性があるため、セキュリティエンジニアにはより迅速に動ける俊敏性が必要です

システムを攻撃から未然に防ぐために小さな変化に気づく敏感力

サイバー攻撃はどんどん巧妙化しています。攻撃の手法によっては通常の業務の中で誰も気づかないうちに不正に情報が盗まれることがあるかもしれません。セキュリティエンジニアには、システムを攻撃から未然に防ぐために、普段とは違う細かいことに気付く敏感力が必要です。

安定したシステム運用のためには、攻撃が起こってから対応するよりも攻撃が起こる前に未然に防げるのがベストです。システムへの攻撃はいつどんなタイミングで起こるかわからないので、攻撃の前兆などをキャッチできるようにしておきましょう。

この敏感力を身につけるためには、普段からいろいろアンテナを張り巡らして世の中で起こっているサイバー攻撃の情報を収集したり、新しい技術を積極的に勉強して新しい知識を身につけていくことが大事です。

コミュニケーション能力

どんな業務でもコミュニケーション能力は大事ですが、セキュリティエンジニアの業務でも、システムへのセキュリティの実装やサイバー攻撃を受けた際に、顧客へ状況や改善を説明するなど、さまざまな場面でコミュニケーション能力が必要になります。

コミュニケーション能力を上げるためには、まずは相手の知識レベルに合わせた会話ができることが必要です。

たとえば、システムが攻撃を受けて原因の調査結果を顧客に報告する場合などは、難しい技術をわかりやすく説明するためのコミュニケーション能力が必要です

特にセキュリティ技術を説明する場合は、説明される側は前提としてITインフラやWebアプリケーションに関する知識が必要になるため、顧客にセキュリティを説明するときは、いかに相手にわかりやすい会話ができるかがポイントです。

セキュリティエンジニアのキャリアパスに必要なスキルや知識

セキュリティエンジニアのキャリアパスに必要なスキルや知識

セキュリティエンジニアのキャリアパスを実現するためには、当然ながらヒューマンスキルだけではなく知識や技術スキルも必要です。ここではセキュリティエンジニアのキャリアパスを実現するために必要最低限、身につけておきたい知識や技術スキルを紹介します。

未経験からセキュリティエンジニアを目指している人で、どんな知識や技術スキルを身につけたらいいか迷っている人はここで紹介することを参考にしてください。

ITインフラに関する知識

システムにセキュリティを実装するためには、ネットワークやサーバーの知識は前提として必要になってきます。

ネットワークであればどことどこを通信させるのか? サーバーであれば誰にアクセスさせてどこまで使わせるのか? など、セキュリティのためにシステムへの利用制限をかけるためには、ITインフラの知識は前提として必須です。

さらに外部からのシステムへの攻撃は、最初は何らかのネットワーク経由でおこなわれることがほとんど。攻撃が起こったときに調査する場合にもITインフラの基本的な知識がないと、どこからどこへ攻撃されたのか原因を特定できません

セキュリティエンジニアを目指している人は、まずはITインフラに関する知識を習得することを目指しましょう。

石川 未雪

キャリアアドバイザー

石川 未雪

たとえば社外秘の文章はセキュリティで保護する必要があります。このため、社外のネットワークから社外秘の文章にアクセスできないようにファイアウォールなどによりセキュリティを実装する必要があります。

このように、ネットワークとセキュリティは強い関連性があります。仮に社外秘の文章がセキュリティにより保護されず、社外のネットワークから自由にアクセスできるのだとしたら、社外秘の文章としての意味を成さなくなります。

社外秘の文章だけでなく、たとえば顧客のデータなど、外部のネットワークからのアクセスを制限する必要があるものはたくさんあります。このように、セキュリティエンジニアは、ITインフラにおけるネットワークの知識が必要となります。

ITインフラについて詳しく知りたい人は下記の記事も参考にしてください。

世の中で起こっているサイバーの攻撃に関する知識

セキュリティエンジニアの業務はシステムを外部の攻撃から守ることです。その分世の中で起こっているサイバー攻撃に関する情報収集を積極的におこなって、外部からの攻撃に関する知識を増やしていかなければいけません

そうすることで、その攻撃が起こる前に事前に対策しておくことが可能です。

一般にシステムへの攻撃が一度おこなわれると、PCにインストールされたウィルスソフトや、ファイアウォールなどが検知して、攻撃を評価して次から同じ攻撃がおこなわれないように遮断してくれます。

しかしゼロデイ攻撃と呼ばれる、一般に知られていない攻撃がシステムへおこなわれると、どんなセキュリティ製品であっても防ぐことはできません。

そのため、セキュリティエンジニアには、ゼロデイ攻撃のような未知の攻撃を防ぐために、世の中で起こっているサイバー攻撃についてできるだけくまなく知っておくことが必要なのです。

セキュリティ製品の実装スキル

システムにセキュリティを実装するためには、セキュリティ製品が設定できなければいけません。具体的には、通信を制御するためのファイアウォールや、PCにインストールされるセキュリティソフトなどを使って、システムにセキュリティを実装していきます。

またハードウェア、ソフトウェアに限らずセキュリティ製品はたくさんあるため、セキュリティエンジニアには、システムの要件に合わせたセキュリティ製品が設定できるようになっておく必要があります

未経験の場合、実務でファイアウォールを触るのはなかなか難しいですが、「ファイアウォール 中古」と検索すれば中古機器を扱っているお店やオークションサイトが出てきます。セキュリティ製品の実装スキルを高めたい人は中古で購入して自宅で勉強するのも良いでしょう。

杉田 早保

キャリアアドバイザー

杉田 早保

押さえておきたいセキュリティスキルとしては、実装できるセキュリティを一つでも多く増やすことだと思います。たとえば、IPフィルタリングについて、多くのセキュリティエンジニアは「IPフィルタリングとはこのようなものだ」と語ることはできますが、的確なIPフィルタリングの実装をおこなうだけのスキルが欠けている場合があります。

セキュリティエンジニアの実務では、的確なセキュリティの実装ができて初めて一人前です。IPフィルタリングは、自宅でも用意できる程度の小規模なネットワークを作ってみて、実装の検証をすることもできます。

IPフィルタリングに限らず、一度実際に実装してみないと、実務で失敗する場合があります。学ぶべきセキュリティのスキルが発生した場合、それを実装できるまでのスキルを持つことが重要だと思います。

効率的にログの調査や分析をするためのプログラミングスキル

システムが攻撃を受けて原因を調査する場合には、ログの調査や分析が必要になってくるので、セキュリティエンジニアには、効率的にログの調査や分析をするためのスキルが必要になります

効率的な分析や調査するためには、目視や手動で確認するだけでなく何らかのプログラミング言語を使う必要があります。

たとえば、ログから特定の文字だけ拾いたい、全体の傾向を可視化したいなど、必要な情報を効率的に収集して読み取るためにはプログラミングが大きな力を発揮します。

また、セキュリティエンジニアの業務に限らず、プログラミングを身につければ、あらゆる場面で自身の業務効率化ができパフォーマンスアップにつながります。

未経験からセキュリティエンジニアを含めたITエンジニアを目指している人は、何かしらのプログラミング言語を身につけることをおすすめします。

プログラミングについてさらに詳しく知りたい人は下記の記事も参考にしてください。

セキュリティエンジニアの経験値別! キャリアパスに役立つ資格

セキュリティエンジニアのキャリアパスを実現するためには資格取得も有効な方法です。ただ、資格には未経験者向きから上級のエンジニア向きまで、それぞれどんな人を対象としているのか決まっています。

ここでは未経験者から上級のエンジニアまで、経験値別にセキュリティエンジニアのキャリアパスに役立つ資格を紹介します。セキュリティエンジニアのキャリアパスを考えるうえで、どんな資格を取得したらいいか迷っている人は参考にしてください。

未経験から取得したい資格

セキュリティエンジニアの業務をおこなうためには、セキュリティに関する知識の前にまずはITインフラに関する知識を習得したいところです。

ネットワークの知識がないと、システムへの攻撃時、ログの調査をおこなうときにどこから攻撃がおこなわれたのかわかりませんし、サーバーの知識がないとどんな業務影響があったかもわかりません。

未経験者の人は、まず最初にネットワークとサーバーに関する基本的な知識を身につけましょう。ここでは未経験者向きにネットワークとサーバーに関する基本的な知識を身につけられる資格として「CCNA」と「LPIC Level-1」を紹介します。

シスコ技術者認定資格:CCNA

CCNAはアメリカの大手ネットワーク機器メーカーのシスコ社が運営する、ネットワークの基礎知識を習得できる資格です。ネットワークエンジニアを目指す人の登竜門的な資格となっており、ネットワークに関する業務をおこなう人なら最初に取得しておきたい資格です

CCNAでは、ネットワークの基本的な知識の他に、シスコ製品に関する設定や管理方法も習得することができます。シスコ製品はネットワークの構築や運用でよく使われるため、CCNAで勉強したことはそのまま実務で活かすことができるのです。

セキュリティエンジニアとして業務をする場合、先に解説した通りネットワークの知識は必須です。未経験者の人はまずネットワークの基礎知識を固めるためにCCNAを目指しましょう。

CCNAについてさらに詳しく知りたい方は下記の記事も参考にしてください。

LPI認定資格:LPIC Level-1

LPICはカナダに本拠地を置く非営利組織であるLPI(Linux Professional Institute)が認定する、Linuxのスキルを証明できる世界標準の資格です。

セキュリティエンジニアの業務で、Linuxサーバーからログの取得や調査をおこなう場合は、Linuxコマンドを実行して調査を進めなければなりません。

そのため、セキュリティエンジニアを目指す場合はサーバーのオペレーションをするために、LPICの勉強をしてLinuxコマンドを習得しておく必要があります

LPICの資格グレードはLevel-1からLevel-3までありますが、Level-1ではLinuxシステムの基本的な知識を習得することができ、Level-2からLinuxサーバーに関する問題が出題されます。セキュリティエンジニアを目指している人は最低でもLevel-1まで合格したいところです。

LPICやLinuxについてさらに詳しく知りたい人は下記の記事も参考にしてください。

石川 未雪

キャリアアドバイザー

石川 未雪

押さえておきたいセキュリティスキルとしては、実装できるセキュリティを一つでも多く増やすことだと思います。たとえば、IPフィルタリングについて、多くのセキュリティエンジニアは「IPフィルタリングとはこのようなものだ」と語ることはできますが、的確なIPフィルタリングの実装をおこなうだけのスキルが欠けている場合があります。

セキュリティエンジニアの実務では、的確なセキュリティの実装ができて初めて一人前です。IPフィルタリングは、自宅でも用意できる程度の小規模なネットワークを作ってみて、実装の検証をすることもできます。

IPフィルタリングに限らず、一度実際に実装してみないと、実務で失敗する場合があります。学ぶべきセキュリティのスキルが発生した場合、それを実装できるまでのスキルを持つことが重要だと思います。

実務経験とセットで身につけたいベンダー資格

ネットワークエンジニア向けのベンダー資格があれば、セキュリティエンジニア向けのファイアウォールのベンダー資格もあります。ベンダー資格を取得する場合は、その業界でシェアが多いメーカーの資格を取得することをおすすめします

シェアが多いメーカーの資格を取得すれば、資格取得で得た知識を業務で使う機会が増えキャリアパスを実現しやすくなるでしょう。

ちなみに、日経クロステックが2019年に発表した国内のファイアウォールシェアはフォーティネット社とパロアルトネットワークス社で半分以上を占めているようです。

ここでは、ネットワークエンジニア、またはセキュリティエンジニアとして実務経験を積んだ人向けに、ファイアウォールで国内シェアの1位のフォーティネットと、2位のパロアルトネットワークスのベンダー資格について紹介します。

セキュリティエンジニアとして業務を始めたらこの2つのベンダー資格を目指してみましょう。

NSE4:世界一のFWシェアのベンダー資格

NSE4はアメリカのファイアウォールメーカーであるフォーティネット社が運営するベンダー資格です。資格のグレードはNSE1〜NSE8まであり、NSE4はフォーティーネット社から販売されているFortiGateというファイアウォールのスキルが証明できる資格です。

合格するためには、ネットワークやセキュリティに関する知識に加えFortiGateの設定方法に関する知識が必要になります

FortiGateはネットワーク構築の現場においてよく使われるファイアウォールです。資格を取得して製品に関する知識を習得することで実務で役立ち、セキュリティエンジニアのキャリアパスにも役立てることができます。

PCNSE:次世代FWメーカーのベンダー資格

PCNSEはアメリカのファイアウォールメーカーであるパロアルトネットワークス社が運営するベンダー資格です。PCNSEを取得すると、パロアルトネットワークス社が販売する、PaloAltoというファイアウォールのスキルが証明できます。

合格するためには、ネットワークやセキュリティに関する知識と、PaloAltoの設定方法に関する知識も必要になります。FortiGateと同じく、PaloAltoもネットワーク構築の現場においてよく使われるファイアウォールの1つです。

ネットワークエンジニアからセキュリティエンジニアへのキャリアチェンジを考える場合は、FortiGateとPaloAltoのどちらのベンダー資格を取得するのか迷うところでしょう。

ここは自分がかかわるプロジェクトで携わる機会が多いファイアウォールのベンダー資格を優先すると良いでしょう。

FortiGateもPaloAltoもネットワーク構築においてはよく導入されるファイアウォールです。ネットワークエンジニアを始めインフラ系のエンジニアから、セキュリティエンジニアを目指そうと考えている人はどちらかの製品が設定できるようになっておく必要があります。

上級のセキュリティエンジニアを目指すために取得したい資格

セキュリティエンジニアとして、さらに高度な知識や技術スキルを身につけてステップアップしたいと考えている人もいるでしょう。

セキュリティ技術はここまで勉強すれば終わりということはなく、技術の進歩にともなって脆弱性が見つかって、脆弱性を悪用したシステムへの攻撃は、ITシステムが存在する限り続いていきます。

そのため、セキュリティエンジニアには技術の進歩にともなって新しい知識を吸収して、新しい技術がシステムに導入されたら、新しい技術に対してどのように攻撃からシステムを守るのかが問われます

ここでは上級のセキュリティエンジニアを目指す人のために取得したい資格を2つ紹介します。セキュリティエンジニアとしてさらに上のキャリアパスを考えている人はぜひ参考にしてください。

情報処理安全確保支援士試験

情報処理安全確保支援士試験は、経済産業省が定めるITスキル標準レベル4に位置づけられる国家資格最高峰のITセキュリティの資格です。毎年の合格率が10%から20%台とかなり難関の資格ですが、上級のセキュリティエンジニアを目指す人はぜひとも取得しておきたいところです。

また、毎年の合格者の最年少年齢は10代なので、セキュリティの実務を経験したことのない人でも合格できない資格ではありません。合格のためには、午前2回の試験と午後2回の試験の合計4回の試験に合格する必要があります。

午前の試験は知識レベルで回答ができますが、午後の試験になると実務に沿ったシナリオで問題が出題されるため、問題の難易度は上がります。午後の試験対策が合否のポイントといえるでしょう。

実務未経験でも取得は十分可能であり、未経験からセキュリティエンジニアを目指そうと考えている人は、受験勉強のつもりで挑戦してみるのも良いでしょう。

CISSP

CISSPはアメリカの国際情報システムセキュリティ認定協会が運営する世界標準のセキュリティ資格です。

コンピューター科学、情報技術に関する各種規定を策定するANSI(アメリカ国立規格協会)から認証を受けている資格であり、世界的な信頼度や希少価値も高いとされています

試験内容は、セキュリティに関する技術、マネジメント、運用の全般から出題され、幅広く高度な知識が必要になります。

また、2022時点では日本人の合格者は3300名ほどとなっているため、セキュリティエンジニアとして大きくステップアップしたい人は自身の市場価値を上げるために挑戦したい資格の1つです。

ここで紹介していない資格以外にも、セキュリティエンジニアに役立つ資格はたくさんあります。さらにセキュリティエンジニアに関連する資格について詳しく知りたい人は下記の記事も参考にしてください。

将来性豊かなセキュリティエンジニアのキャリアパスを実現しよう

IT技術の進歩にともないサイバー攻撃も巧妙になってきており、システムのセキュリティ強化のためにはセキュリティエンジニアが必要不可欠です。また、セキュリティを実装しないシステムは存在しないため、ITシステムがある限りセキュリティエンジニアは常に必要とされます。

IT業界への転職を考えている人は、社会から必要性が増して将来性豊かなセキュリティエンジニアになってキャリアパスを実現してみましょう。

あなたにはどれが向いてる? 今すぐエンジニア診断してみよう

転職に迷ったらやってみよう!【エンジニア診断】

「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」

そんな悩みを解決するのが、「エンジニア診断ツール」です。

  • 診断できるのは8種類のエンジニア
  • たった30秒で自分に合うエンジニアがわかる

「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。

診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。

記事の監修責任者

飯塚 寛也

エンジニアとして移行調整・NW更改作業・クラウドシステムの設計・構築等を手掛ける。 入社2年目でネットワーク最高資格であるCCIEの筆記試験に合格。 人材開発室にてCCNA/CCNPの勉強会を50回以上開催、100名以上の合格者を輩出し、スクール事業の礎となる。
監修責任者からのメッセージを読む
株式会社アプエンテ 職業紹介責任者(010-190717133-004) 情報処理技術者試験 ネットワークスペシャリスト試験(第NW-2021-04-00112号) Cisco認定試験 CCNP Enterprise 認定/CCNA

無料カウンセリング、
参加受付中!

IT業界やネットワークエンジニアのこと、
当校や入校に関する疑問、ご相談などお気軽におたずねください。

TOP
まずは無料カウンセリングへ!