IT仕事内容

セキュリティエンジニアとは|仕事内容と年収から必須資格まとめ

「セキュリティエンジニアって何をしているの」「セキュリティエンジニアになるためにはどうすればいい」などという疑問を持っている人は多いのではないでしょうか。

IoTや5Gなど、日常のネットワーク化が加速していく中、今まで以上にセキュリティエンジニアの需要が高まっています。この記事では、セキュリティエンジニアの仕事内容や年収、セキュリティエンジニアになるために必要なスキル・資格について説明していきます。

セキュリティエンジニアとは|ITの安全性を守るプロ

セキュリティエンジニアは、情報技術(IT)のセキュリティに特化したエンジニアです。セキュリティに配慮したシステム設計や構築を行ったり、構築したシステムのシステム運用・保守も行います。また、サイバー攻撃を未然に防ぐための調査や改善のコンサルティングも含め、さまざまな対策を考え実行する仕事です。

ありとあらゆるモノがインターネットにつながるIoT時代において、個人情報の取り扱いやデータ流出に対するセキュリティの需要はますます増えている一方で、セキュリティエンジニアの数は少ないのが現状です。そのため、セキュリティの知識をつけたエンジニアになることができれば、将来性のあるエンジニアになることができるでしょう。

あなたにはどのエンジニアが向いてる?
今すぐエンジニア診断してみよう

「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。

・診断できるのは8種類のエンジニア。
・たった30秒で完了

「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。

エンジニア診断CTAボタン

セキュリティエンジニアの仕事内容の全体像を把握しよう

セキュリティエンジニアの仕事内容について紹介していきます。セキュリティエンジニアの仕事内容は「調査・企画・提案」「設計」「実装」「テスト」「運用・保守」の5つに分類されます。より専門的な知識や経験が必要とされる調査・企画・提案、設計、実装を「上流工程」、比較的未経験者でも入りやすいテスト、運用・保守を「下流工程」と呼びます。

セキュリティエンジニアの5つの仕事内容

お客様からヒアリングする「調査・企画・提案」

お客様から受けた依頼の要件をまとめて、どのようなセキュリティシステムが必要なのか分析・提案する仕事です。既存のシステムや業務についてヒアリングを行い、セキュリティ上のリスクを把握します。その上で、それらのセキュリティ事故を軽減するようなシステムを企画していくことになります。

コンサルティングとしてネットワークシステムの脆弱性がないか調査だけする仕事もあり、このような業務を行うエンジニアのことは、セキュリティコンサルタントと呼びます。最近では情報資産のセキュリティを確保するために「情報セキュリティマネジメントシステム(ISMS)」や「プライバシーマーク」の取得を目指す企業が増えているので、このようなセキュリティコンサルタントの需要はますます高まっています。

リスクがないように設計する「設計業務」

脆弱性が無くセキュリティ上のリスクが低くなるように、安全なネットワークシステムの設計を行う仕事です。

扱う分野は様々で、アクセス制御や運用といったネットワークの設計がメインとなりますが、侵入検知システムなどの導入も設計します。ネットワークの構成や使用している機器まで把握したうえで設計を行う必要があるので、幅広い知識が求められます。

セキュリティを考慮した設計では、攻撃や侵入をできるだけ困難にする必要があります。また、侵入された場合も被害を最小限にとどめるような仕組みが必要です。

さらに、侵入について監視、検知ができることや運用・管理が容易であることなども考慮して、被害にあった場合でも調査や復旧が容易にできることなどに注意した設計をします。

実際にセキュリティシステムを作る「実装業務」

セキュリティ設計をもとに、実際にセキュリティシステムを構築して実装する仕事です。

ここではセキュリティシステムが動くかの確認はもちろん、セキュリティシステムを入れたことによって、他のすべてのシステムに影響が出ないかも確認する必要があります。そのため、場合によってはシステムやプログラミングの知識など様々なスキルも求められます。特に近年はクラウドでデータ管理する企業も増えているため、クラウドの知識も必要とされます。

いままではシステムエンジニアやインフラエンジニアがセキュリティに配慮して実装作業を行っていましたが、セキュリティ品質向上のために、これからは専任のセキュリティエンジニアが実装することが増えると予想されます。

脆弱性や問題がないか確かめる「テスト業務」

実装されたシステムに潜在的な問題がないか検査するために、セキュリティシステムに対して疑似的に攻撃を行ったり、ソースコードを解析する仕事です。自分でつくったシステムに対して自分でテストすることは難しいため、第3者であるセキュリティエンジニアがテストを行うことで試験の精度を高めます。

システムに対して外部から侵入できるか試すテストは「ペネトレーションテスト(侵入テスト)」、ソースコードなどを確認してセキュリティホールを探すテストは「脆弱性診断」と呼ばれます。

完成したシステムを管理する「運用・保守業務」

実際にセキュリティシステムが導入された後に、セキュリティ事故が起こらないようにシステム障害やサイバー攻撃を事前に防ぐための運用改善や、障害が起こってしまった場合の復旧対応を行う仕事です。セキュリティシステムが稼働した後も、隙があるとハッカーに狙われてしまうので、常にセキュリティを意識して見えない攻撃者から守り続ける必要があります。

具体的にはアクセス権の管理、OSやアプリケーションのアップデート、ログの監視などを行います。また、セキュリティ事故が起きた場合は、ログなどからどのような手段で実行されたのか調査を実施します。

利用者である社員はセキュリティについて高いスキルをもっているとは限らないため、セキュリティスキルのあるエンジニアによって管理することが求められます。利用者を常に監視し教育することでセキュリティ事故を防ぐ必要があります。

これらの運用・保守業務を行うセキュリティ保守チームは「SOC(Security Operation Center )」と呼ばれます。

平均年収はIT業界でもトップクラス

セキュリティエンジニアの平均年収は約550~600万円で、システムエンジニア(約450~550万円)やプログラマ(約350~450万円)と比べると高い傾向にあります。

DODA マイナビ転職 平均年収.jp 求人ボックス
セキュリティエンジニア 600万円 538万円
システムエンジニア 473万円 445万円 550万円 494万円
プログラマ 417万円 353万円 426万円 430万円
ネットワークエンジニア 455万円 439万円 655~800万円 533万円

平成29年に経済産業省が行った調査結果でも、セキュリティエンジニアの含まれるIT技術スペシャリストは平均758.2万円で、平均568.5万円のSE・プログラマよりも200万円近く高くなっています。

参考サイト: 経済産業省「平成29年 IT関連産業の給与等に関する実態調査結果」

ネットワークやサーバなどのITインフラから、ソフトウェア、アプリケーションなどのプログラミングまで幅広くITの知識が必要となるため、他の職種よりも平均年収が高くなります。

あなたにはどのエンジニアが向いてる?
今すぐエンジニア診断してみよう

「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。

・診断できるのは8種類のエンジニア。
・たった30秒で完了

「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。

エンジニア診断CTAボタン

キャリアパスはセキュリティコンサルタントかホワイトハッカー

セキュリティエンジニアとしてのキャリアパスには、コンサルティングスキルを今日かした「セキュリティコンサルタント」や「セキュリティアナリスト」、エンジニアスキルを強化した「ホワイトハッカー」などがあります。

セキュリティエンジニアのキャリアパス

セキュリティコンサルタント・セキュリティアナリスト

各企業のセキュリティ環境を調査して、評価や改善点を共有するプロです。コンサルティング要素が強くコミュニケーションスキルが重視されます。企業の代表者などと直接やりとりすることが多いため、経営者の視点も必要になることがあります。コンサルタントよりもログ解析や分析に特化している場合は「セキュリティアナリスト」と呼ばれます。

ホワイトハッカー

セキュリティシステムの設計や実装の技術に特化したプロです。悪質なサイバー攻撃を仕掛けるユーザのことを「ブラックハッカー」と呼び、それに対して防御するエンジニアを「ホワイトハッカー」と呼びます。

IT技術は日進月歩で進化しているため、ブラックハッカーの攻撃手段も日々変わり続けます。それらの攻撃に対抗するために、事前に対策を考えて対処するのがホワイトハッカーになります。セキュリティに関する経験値だけでなく、最新技術に関する知識を常に学び続ける必要があります。

関連記事:ネットワークエンジニアのキャリアパスとは|目標別の成功方法を解説

セキュリティエンジニアの需要と将来性

セキュリティエンジニアの需要は今後ますます増えると予想されて、とても将来性のあるエンジニアだといえます。架電や自動車などあらゆるものがインターネットとつながる「IoT」の技術により今後もネットワークは拡大を続けていく中で、ますます需要が高まるでしょう。

平成28年に経済産業省が発表した「IT人材の最新動向と将来推計に関する調査結果」では、今後の市場成長の鍵を握るIT人材として、ビッグデータやIoT、人工知能等のIT関連分野における専門的知識をもった「先端IT人材」と「情報セキュリティ人材」の二種類の人材が挙げられています。

情報セキュリティ人材の不足数推計

2016年ではIT業界全体の情報セキュリティ人材は約28.1万人となっており、約13.2万人不足していたのが、2020年には情報セキュリティ人材は約37.1万人で、不足数が約19.3万人にまで拡大するとされています。

このことからもセキュリティエンジニアは、時代の変化とともにますます需要が高まってきており、今後も需要が下がることがない市場価値の高い職業だということが分かります。

情報セキュリティの重要性

ハッキングやコンピュータウイルスなどによって機密情報や個人情報が盗まれたというニュースを耳にする機会が増えてきました。また情報漏えいだけでなく、「ランサムウェア型ウィルス(身代金要求型ウィルス)」という新しい手口も見られるようになりました。

日本には非常に価値のある技術情報、個人情報があるため常に世界中のハッカーから狙われていますが、しかし世界的にも安全な国である日本人のセキュリティ意識は低いと言われています。

企業においては、「セキュリティ強化にお金をかけても売上に直結しないためなかなか予算がとれない」という現状も背景にありますが、IT化社会がどんどん進む中で、今後企業にとってセキュリティの確保は組織の継続的な活動に大きく関わってきます。

セキュリティ事故の被害が大きく取りざたされている昨今、広く一般企業にもセキュリティの重要性は認知されてきています。そのため、都心部から地方までどこでも、幅広くセキュリティ技術の高いエンジニアに仕事の依頼がくるようになっていくでしょう。

セキュリティエンジニアに向いている人の3つの特徴

セキュリティエンジニアに向いているとしては、「責任感のある人」「アイディアが豊富な人」「好奇心旺盛な人」の3つが上げれらます。具体的に見ていきましょう。

セキュリティエンジニアに向いている人の特徴

①正義感や責任感の強い人

企業や国家の安全を守るセキュリティエンジニアは、非常に責任のある仕事であるため、責任感の高い人が向いています。

セキュリティ事故による信用失墜や、情報漏洩による損害賠償など多くのリスクがあるため、セキュリティには手厚い対応が求められていますし、とても責任が重い仕事です。

②柔軟な発想力でアイディアが豊富な人

セキュリティシステムの設計や実装には、システムエンジニアやネットワークエンジニアと同様にロジカルシンキングやひらめきが必要になります。サイバー攻撃は見えない外部からの攻撃に対抗することが多いため、攻撃箇所や攻撃手段などを特定するためにも想像力が重要です。

また、サイバー攻撃を未然に防ぐためにも、柔軟な想像力や発想力で未知の攻撃手段などを思いつくことができるようなアイディアが豊富な人が向いています。

③新しいことが好きな好奇心旺盛な人

IT技術は日進月歩で進化し続けているため、常に新しい技術やサービスに対する知識を得ることが好きな好奇心旺盛な人が向いているといえます。

未経験からセキュリティエンジニアになるには|必要な4つのスキル

セキュリティエンジニアは、ネットワーク、サーバ、データベース、プログラミングなどの幅広いIT分野の知識が必要となる職種です。そのため、未経験からいきなりセキュリティエンジニアになることは難しいでしょう。

ネットワークエンジニアやサーバエンジニアなどのインフラエンジニアからスタートして、知識をつけてからセキュリティエンジニアになることが一般的です。

セキュリティエンジニアになるために必要な4つのスキル

セキュリティエンジニアになるために必要なスキルはたくさんありますが、特に重要になるスキルとしては、「ITインフラスキル」「プログラミングスキル」「法的な知識」「コミュニケーション能力」の4つが挙げられます。

①ネットワークやハードウェアなどのITインフラスキル

セキュリティのリスクが高いシステムの多くはネットワークに繋がっているため、ネットワークエンジニアとセキュリティエンジニアはスキルセットが重なる部分が多いです。

例えば、ネットワーク上のどこからでも便利に使いたいと同時にセキュリティも確保したいという相反するサービス要望を満たしたい場面などでセキュリティエンジニアのスキルが求められます。

そのため、ネットワークエンジニアからセキュリティエンジニアに転向することは非常に無駄の少ない転向といえます。

また、各OSの脆弱性をついた攻撃もあるので各OSの最新の情報について把握する必要があります。そのため、WindowsやLinuxなどOSやハードウェアについての深い知識も必要です。とくにWindowsの脆弱性についてはターゲットにされやすいOSなので必須といえます。

②ソフトウェアやアプリケーションなどのプログラミングスキル

悪意を持ったユーザーは、情報を盗んだり、システムがダウンするような負荷をかけるためにプログラムを利用することが多いため、それらに対抗できるプログラミングのスキルが求められます。

プログラミングスキルのあるエンジニアがセキュリティエンジニアに転向することも、有効なキャリアアップです。

③セキュリティ関連の法的な知識

セキュリティ事故に関する法的な知識も持っておく必要があります。個人情報保護法により施行された「情報セキュリティマネジメントシステム(ISMS)」や「プライバシーマーク」などを取得するためにセキュリティエンジニアがサポートできるように知識をつけておかなければなりません。

④コミュニケーション能力

専門性の高いエンジニア職のため、あまりイメージがないかもしれませんが、企画・提案でのヒアリング段階ではお客様とのやりとりがメインとなるためコミュニケーション力が重要になります。また設計や実装においても、開発チームやインフラチームと協力してシステムを構築していくので、わかりやすい報告や連絡ができる必要があります。

セキュリティエンジニアになるために取得すべき資格

セキュリティエンジニアになるために必須となるような資格はありませんが、セキュリティエンジニアになる場合は資格を取得しておきたいところです。実務経験で知識を身につけていくのが最も良いですが、実務の機会がない場合はセキュリティ関連の資格で知識を身につけると良いでしょう。

特にセキュリティエンジニアは、他のエンジニアと比べても会社の信用につながる重要な仕事であるため、保有している資格の数で評価される傾向にあります。

ITSS認定試験・資格マップ_SQ

セキュリティ関連の資格としては、国家資格の「情報処理安全確保支援士(SC)」、ベンダー資格の「シスコ技術者認定(セキュリティ)」、ベンダーニュートラル資格の「公認情報セキュリティマネージャー(CISM)」「情報セキュリティ プロフェッショナル(CISSP)」「CompTIA Security+」など数多く存在します。難易度も異なるためよく調べて自分に合った資格に挑戦すると良いでしょう。

資格名 ITスキル標準レベル 資格タイプ 運営元
Cisco技術者認定資格 レベル2~レベル4 ベンダ資格 Ciscoシステムズ
情報セキュリティマネジメント(SG) レベル2 国家資格 経済産業省
情報処理安全確保支援士(SC) レベル4
CompTIA Security+ レベル2 民間資格 CompTIA
公認情報セキュリティマネージャー(CISM) ITスキル標準外 ISACA
情報セキュリティプロフェッショナル(CISSP) ITスキル標準外 ISC

Cisco技術者認定資格

「Cisco技術者認定資格」は、Ciscoシステムズ社が認定する世界共通基準の人気があるベンダー資格です。ネットワーク技術の知識と能力を証明する資格がメインですが、その中でも「CCNA」「CCNP Security」と「CCIE Security」がセキュリティ関連の資格になります。

経済産業省が定めるITスキル標準(ITSS)による各資格の難易度では、「CCNA」が中級のレベル2、「CCNP Security」が上級のレベル3、「CCIE Security」が最難関のレベル4となっています。

国家資格と異なって3年間の有効期限があるため、資格を保有し続けるためには同一資格か上位資格に合格して更新する必要があります。

関連記事:Cisco技術者認定資格とは? 種類・難易度と受験方法を解説

情報セキュリティマネジメント(SG)

「情報セキュリティマネジメント試験」は、ITの安全な利活用の基本的な知識に関する国家資格です。2016年4月より新設された試験で、情報処理技術者試験制度のスキルレベル2に相当します。2019年の合格率は49.4%となっており、初心者が一から勉強しても十分合格を目指せるレベルです。

これからセキュリティエンジニアとして活躍したい人にとっては注目の資格で、合格率も高く基本情報技術者試験よりも範囲も狭いので勉強しやすいと思います。

情報処理安全確保支援士(SC)

「情報処理安全確保支援士」は、セキュリティスキルを証明する国家資格の最高峰です。前述の「情報セキュリティマネジメント試験」とは異なり、2019年の合格率は19.1%と非常に難易度の高い資格です。以前は情報セキュリティスペシャリスト試験(セキスペ)と呼ばれていた資格が廃止され、平成29年度から新たに新設された資格になります。

情報セキュリティスペシャリスト試験と比べて変わったことは、定期的な「講習」が必要になった点と、国家資格「情報処理安全確保支援士」に登録する資格を得ることができるようになったという点にあります。

登録手数料や講習費用で十数万円必要になってしまうので個人への負担は増大しましたが、この試験に合格すれば「セキュリティのプロであること」を国から認定されたということになるため、セキュリティエンジニアとしてはどこにいっても重宝される人材となるでしょう。

CompTIA Security+

「CompTIA Security+」は、CompTIAが実施する世界的に有名なベンダーニュートラル資格です。ITスキル標準ではレベル2に該当しており、セキュリティ設定や分析など実務技術の証明ができます。

公認情報セキュリティマネージャー(CISM)

「CISM(Certified Information Security Manager)」は、マネージメントレベルの世界的なベンダーニュートラル資格です。受験の前提条件ではありませんが、合格後の申請の際に「情報セキュリティに関する5年以上の経験」と「その内、3年以上のセキュリティマネージメントの経験」が必要となるため、中~上級の資格であるといえます。

情報セキュリティプロフェッショナル(CISSP)

「CISSP(Certified Information Systems Security Professional)」は非営利団体(ISC)2 が実施する、セキュリティのプロフェッショナルのための世界的にも評価の高い資格です。CISSP認定保持者として認定されるためには、現役の(ISC)2認定資格保持者の方からの推薦状が必要になるなど、難易度の高い資格となっています。

同じく(ISC)2 が認定するクラウドセキュリティの資格として「CCSP:Certified Cloud Security Professional」があります。

ネットワーク情報セキュリティマネージャー(NISM)

「ネットワーク情報セキュリティマネージャー資格」は、2001年に創設されたセキュリティ資格でしたが、2021年3月末をもって廃止されました。

関連記事:エンジニアのキャリアアップを目指す方必見!IT資格と難易度

セキュリティエンジニアを目指すためにはネットワークエンジニアがおすすめ

セキュリティエンジニアの仕事内容や将来性、セキュリティエンジニアになるためのスキルや資格について説明してきました。「日本の貴重な機密情報を守る」ことのできる、セキュリティエンジニアは素敵な仕事です。

未経験からセキュリティエンジニアを目指すにはハードルが高いので、ネットワークエンジニアなどのそのほかのエンジニアから経験を積んでいき、徐々にステップアップできるようにしましょう。

転職に迷ったらやってみよう!【エンジニア診断】

記事の監修責任者

飯塚 寛也
エンジニアとして移行調整・NW更改作業・クラウドシステムの設計・構築等を手掛ける。 入社2年目でネットワーク最高資格であるCCIEの筆記試験に合格。 人材開発室にてCCNA/CCNPの勉強会を50回以上開催、100名以上の合格者を輩出し、スクール事業の礎となる。
株式会社アプエンテ 職業紹介責任者(010-190717133-004)
情報処理技術者試験 ネットワークスペシャリスト試験(第NW-2021-04-00112号)
Cisco認定試験 CCNP Enterprise 認定/CCNA
監修責任者からのメッセージを読む

無料カウンセリング、
参加受付中!

IT業界やネットワークエンジニアのこと、
当校や入校に関する疑問、ご相談などお気軽におたずねください。

TOP
まずは無料カウンセリングへ!