CCNAの合格点は? 試験改定後の傾向や勉強方法を解説
2022.04.27
セキュリティエンジニアを目指している人の中には「セキュリティエンジニアになるためにはどんな勉強をしたらいいのだろうか?」「どんな知識や技術を身につけたらなれるのか?」と疑問に思う人もいるのではないでしょうか。
この記事では、セキュリティエンジニアになるために必要な知識や技術を身につけるための効率的な勉強方法について紹介しています。セキュリティエンジニアを目指している人はぜひ参考にしてください。
目次
開く企業の特性や受講生の要望を汲み取り、企業にとっても受講生にとっても良いマッチングができるよう就職活動をサポートしています。「誠実」をモットーに受講生が安心して就活に専念できるよう尽力しています!前職の精神科で培った「傾聴力」を活かし何でも相談できる存在になれるよう日々求職者に寄り添っています!
これまでの営業経験やキャリアコンサルタントの国家資格を活かし、効果的なコミュニケーションと問題解決力を培い、個々のキャリアの成長支援に情熱を注いでいます。「初志貫徹」をモットーに、自分らしく輝くキャリアパスを見つけるお手伝いをします。常に相手の立場に立ち、親身なサポートを提供できるよう努めています。
あなたにはどれが向いてる? 今すぐエンジニア診断してみよう
「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
まずはセキュリティエンジニアの主な仕事内容について理解しておきましょう。セキュリティエンジニアの仕事は主に「システムのセキュリティ設計や実装」「情報セキュリティの運用や改善」「外部からの攻撃に対する対処」の3つに分けられます。
ここでは、セキュリティエンジニアの主な3つの仕事について紹介します。セキュリティエンジニアの仕事内容についてさらに詳しく知りたい人は下記の記事も参考にしてください。
関連記事:セキュリティエンジニアとは|仕事内容と年収から必須資格まとめ
システムを安定して動かし続けるためにはセキュリティの設計は必須です。「ネットワークであればどことどこを通信させるのか?」「サーバーやアプリケーションであればユーザーにどこまで使わせるのか?」などシステムの利用範囲を必要最低限に絞ってセキュリティを設計します。
部外者にシステムにアクセスされて情報漏洩すると大問題なので、適切な人にアクセス権限や利用権限を付与しなければいけません。システムの利用を必要最低限に留めてどれだけ可用性が実現できるかがセキュリティエンジニアの腕の見せ所になります。
構築ではさまざまなセキュリティ製品を使って実装し、場合によってはプログラミング作業も必要になります。
セキュリティエンジニアは情報セキュリティの扱いについて、Plan(計画)、Do(実行)、Check(評価)、Action(改善)のPDCAサイクルをまわして運用や改善をしていきます。
セキュリティは作ったら終わりではなくその後は管理、そして問題があれば改善も必要です。また、情報セキュリティを強固なものにするためには内部で使う人の教育や意識の改善も必要です。
適切な人にアクセス権限や利用権限を与えても、使う人にセキュリティの意識がなければ何も意味がありません。そのため情報セキュリティのルールが必要になり、利用にあたってどのように管理していくかが大事です。
外部から攻撃を受けてシステムがダウンしたり、情報漏洩などのセキュリティ事故が発生した場合は原因の調査と改善が必要です。
セキュリティ事故は場合によっては社会的に大きな信頼を失い会社の経営が傾くこともあるので、解決のためには適切で早急な分析や改善をしなければなりません。システムのログを確認したり、場合によっては誰が何をしたか作業者の詳細な行動を調査することもあります。
そして、調査は技術とマネジメントの両方の観点からおこなって、今後の安定したシステム運用のためにセキュリティの見直しと改善をします。サイバーセキュリティは完全にはなくならないため、セキュリティを監視するためのSOC(セキュリティオペレーションセンター)に常駐して勤務することもあります。
自分の適性が分かる!今すぐエンジニア診断してみよう
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
エンジニア診断ツールの特徴
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
セキュリティエンジニアになるためのITセキュリティの勉強方法は大きく分けて「書籍で勉強する」「サイトで勉強する」「勉強会に参加する」「スクールに通う」の4つあります。ここでは、それぞれの勉強方法の特徴について紹介します。
セキュリティエンジニアになろうと考えている人は、まず最初は自分の環境にあった勉強方法を見つけるところから始めてみましょう。
空いた時間を使って自分のペースでITセキュリティの知識をたくさん増やしたい人向けの勉強方法です。通勤中の電車の中や、土日や勤務中のお昼休みなど隙間時間を使って知識を増やしていけるのがメリットです。
ただ、書籍は場合によっては記載されている用語を理解するために基本的な知識が必要になることもあるので、自分の知識にあった書籍を選ぶ必要があります。購入しても用語や技術内容が難しすぎて最後まで読み切れないということがないように慎重に選ばなければなりません。
初めてITセキュリティを勉強する人は高度な知識が習得できるものよりは、図や表などを用いてわかりやすく解説されているものを選びましょう。
無料で手軽にITセキュリティの知識を増やしたいと考えている人向けの勉強方法です。ただし、インターネット上にはITセキュリティを学べる優良なサイトもあれば、個人ブログなど少し記載されている内容に信頼性が低いものなどさまざまあります。
最初はIPAのセキュリティ技術のサイトや、総務省の情報セキュリティに関するサイトなど専門の組織や企業が開設しているサイトから知識を増やしていくのが良いでしょう。そのほか、セキュリティ製品を開発しているメーカーのサイトなどもオススメです。
インターネットではたくさんの情報を手軽に拾うことができるため、個人ブログなどを閲覧する場合は、間違った知識を習得しないようにサイトに記載されている情報を自分で考察する必要もあります。
そのほかにも、幅広く知識を習得するために海外サイトもチェックしましょう。海外サイトを読むためには英語のスキルも必要ですが、英語が苦手な方はGoogle翻訳などの翻訳サイトも併用すると良いでしょう。
企業が主催しているセキュリティのセミナーに参加したり、エンジニア同士で勉強会をするのも有力な勉強方法です。
特に、企業主催のセミナーはメーカーのエンジニアと直接話ができるのが良いところです。質疑応答の時間が設けられている場合は、ITセキュリティに関する知識以外にもセキュリティ関連の業界の情報取得もできます。企業が主催するセキュリティのセミナーは有料であることが多いですが、無料で参加できるセミナーがあれば積極的に参加しましょう。
エンジニア同士で勉強会をする場合も、企業が主催するセミナーと同様に知識取得だけでなく情報取得という形でほかのエンジニアから業界情報を得られる機会です。自分から周囲のエンジニアに呼びかけて積極的に勉強会を主催してみましょう。
ITセキュリティ未経験者向けの勉強方法です。知識も技術もセットで身につくのが大きなメリットです。また、問題点などわからないことがあれば、講師に質問ができて効率的にスキルアップできます。
ただし、スクールは有料です。直接通わなければいけない場合は交通費も必要になり、自分の費用と相談しなければなりません。さらに、対面授業やリアルタイムで講義に出なければいけない場合はスクールや講師のスケジュールに合わせて自分のスケジュールを組まなければいけません。
スクールを利用する場合は、今の自分の余裕や都合も踏まえ、お金をかけてスクールに通い、きちんと満足できる効果が得られるのかを事前に考えましょう。
時間がうまく取れない人は、自分の好きな時にインターネットで講義動画を受講できるようなスクールを選択するのも一つの方法です。
30秒で結果がわかる! エンジニア診断を無料で受けよう
「エンジニア診断ツール」を使うと、12の質問に答えるだけで、8種類のエンジニアの中から一番自分に向いているエンジニアがわかります。
さらに、「エンジニア診断」は無料で受けられて、診断結果には向いているエンジニアの仕事内容が記載されているので、自分の適性をその場で理解することが可能です。
「エンジニア診断」を活用して、エンジニア就職に一歩近づきましょう。
セキュリティエンジニアとして業務をするためにはITセキュリティの知識は必須です。また、必要とされるITセキュリティの知識は広さも深さも必要です。得られた知識はただ覚えているだけでなく、どうやって業務に活かしていくかも問われます。
ITセキュリティは奥が深いため、すべてを紹介することは難しいですが、ここではセキュリティエンジニアとして基本になる必要最低限の知識を紹介します。
最初にITセキュリティの知識を習得する前に、ネットワークやサーバーなどのITインフラの幅広い知識は前提として必要です。
たとえば、ネットワークへのアクセスを特定の人に絞って許可しても、アクセスした人すべてがサーバーで読み書きが実行できればセキュリティを担保できません。そのため、ITセキュリティのためにはネットワークのセキュリティもサーバーのセキュリティもセットで考えなければなりません。
ネットワークエンジニアやサーバーエンジニアなど特定の技術分野で業務をしてきた人でセキュリティエンジニアを目指そうと考えている方は、まずはITインフラ全般の知識習得を目指しましょう。
今では通信しないアプリケーションはほとんどありません。そのためITセキュリティの知識習得のためには前提としてアプリケーションの通信フローを理解しておく必要があります。
特にサイバーセキュリティなどの外部からの攻撃は、インターネット経由で何かのアプリケーションの通信を使っておこなわれます。攻撃者がどんなアプリケーションの通信を使ったのかを理解して調査するためにも、アプリケーションの通信フローは理解しておく必要があります。
アプリケーションの通信は無数にありますが、最初は「DNS」「メール」「FTP」「HTTP/HTTPS」など、多くの人や場面によく使われる通信のフローを確実に理解するところから始めましょう。
第三者への情報漏洩を防ぐための認証技術や暗号技術の理解は、ITセキュリティの知識を深めるためには必須です。
「情報へのアクセス権限や利用権限を与えるためにどんな認証をするのか?」「どんな暗号技術を使ったら情報漏洩を防げるのか?」など、情報資産の保護のためには認証と暗号のフローは理解しておかなければなりません。
また、認証技術や暗号技術はそのときは安全でも誰かによって脆弱性が発見されたり暗号が解読されたりすると、セキュリティとしての機能が果たせない陳腐化した技術になってしまいます。ITセキュリティ実現のためには、常に最新の認証や暗号を理解しておかなければなりません。
システムにセキュリティを実装するためにはソフトやハードなどのセキュリティ製品について深く理解しておく必要があります。セキュリティ製品に関する知識がないとセキュリティの構築業務そのものができません。
たとえば、FWやUTM(ユーティーエム)を使ってセキュリティを実装するためには「通信の制御をするためにはどんな方法があるのか?」「製品特有のセキュリティ技術はどんなものがあるか?」など製品の特性を理解しておかなければなりません。
ITセキュリティの知識を活かして、それを形にするためにもセキュリティ製品に関する知識を増やして設定ができるようになっておきましょう。
システムのセキュリティ維持をするのもセキュリティエンジニアの業務の一つです。セキュリティ事故が起これば改善や解決策を考えなければなりません。サイバー攻撃を受けると最悪の場合業務が停止してしまい、企業は大きな損失を出す可能性もあります。
特に、世界的に流行しているサイバー攻撃については、いつ自分達のシステムが攻撃されるかわからないため、外部からの攻撃手法を理解してどうやって防ぐか常に最新の知識を持っておかなければいけません。
また未知のサイバー攻撃はたくさんあります。いつどんな状況でサイバー攻撃が起こるかわからないため、いろいろアンテナを張り巡らせIPAなどのサイトで最新情報を取得するようにしましょう。
情報セキュリティを管理するためには適切な情報の取り扱いが必要になります。特に情報セキュリティマネジメントの運用には、企業の情報資産をどうやって守りながら使っていくかを決めるために法律の知識が必要になってきます。
たとえば、「取得した個人情報はどこまで使用ができるのか?」「どんな用途で?」「どこまで開示できるのか?」など法律や社内の規定に合わせて管理していかなければなりません。
情報セキュリティに関する法律はたくさんありますが、総務省のサイトで「情報セキュリティ関連の法律ガイドライン」という項目でまとめられているものがあります。最初はこちらのサイトで勉強するのもよいでしょう。
セキュリティエンジニアに必要な技術知識を身につけるためには、一番最初にネットワークの知識を身につけることをおすすめします。
今日では通信をしないアプリケーションは存在せず、業務をおこなうにしてもどこかのサーバーにアクセスするためにネットワークが必ず必要になります。外部からのサイバー攻撃は何かしらのネットワークを使っておこなわれるからです。
ネットワークの知識を身につけた後に、ITインフラの知識、アプリケーションの通信フローの知識の順で少しずつ知識の幅を広げて身につけていくと良いでしょう。
また、サイバー攻撃やセキュリティ事故に関する最新知識は、技術の知識を習得しながらニュースを読むような感覚で常に情報収集をするという意識で知識の習得に心掛けましょう。
エンジニア診断を受けて最初の1歩を踏み出そう!
エンジニアになるかどうか悩んでいる人は、まず「エンジニア診断ツール」を活用するのがおすすめです。
「エンジニア診断」を使うと、どのエンジニアに自分が向いているのか、簡単に理解することができます。約30秒で診断できるので、気軽に利用してみてください。
エンジニア診断ツールでわかること
セキュリティエンジニアには幅広いITセキュリティの知識が求められます。どのエンジニアであっても基本的な知識が身に付いてないと業務が始められません。効率的な勉強方法を身につけてセキュリティエンジニアに必要な知識をどんどん増やしていきましょう。
ここではセキュリティエンジニアに必要な知識を効率的に増やすための勉強方法について紹介します。
知識を増やすための一番早い方法は資格取得を目指すことです。資格の勉強をすることで技術用語を理解してたくさんの知識取得できるので、知識を得て合格することで今後のエンジニア業務に対して自信にもなります。
さらに資格を取得することで転職にも有利になります。セキュリティエンジニアとしてスキルアップを考えてる方は積極的に資格取得を目指しましょう。
また、ネットワークエンジニアとして業務をしてきた人の中にはネットワークの知識はあるけれどもサーバーの知識は足りないという人や、サーバーエンジニアとして業務をしてきた人の中にはその逆でネットワークの知識が足りない方もいるでしょう。
自分の足りない知識を増やすためにもCCNAやLPICを取得して、まずはITインフラの知識を増やしましょう。
関連記事:CCNAとは|試験の難易度から合格するための勉強方法まで紹介
LPICとは|取得で身につくスキルとメリットから勉強方法まで解説
セキュリティエンジニアにはもちろんセキュリティに関する資格が必要ですが、セキュリティを実現するためにはネットワークやサーバーなど、セキュリティを実装する技術分野の知識が前提として必要です。
そのため、ネットワークの基本的な知識を習得できるCCNAや、Linuxサーバーの知識を習得できるLPICなどは、セキュリティの資格を取得する前に取得しておいたほうが、セキュリティを勉強するときに理解が早くなります。
そのほか、サイバー攻撃は何かのWebアプリケーションを使っておこなわれることが多いため、Webのセキュリティ知識を身につける前に、Web全般の知識が習得できる「HTML5 Level-1」もオススメです。
ITセキュリティの知識を増やすために専門書を読むのも一つの方法です。ITセキュリティの知識習得には背景になる技術を理解しておく必要があるため、専門書の選択は人それぞれですが、まずは自分の持っている技術スキルをベースにセキュリティの知識を増やすとよいでしょう。
たとえば、ネットワークエンジニアであればネットワークのセキュリティの勉強から始め、サーバーエンジニアであればサーバーのセキュリティから勉強を始めるのが良いですね。
専門書を購入する場合は口コミや値段だけで判断せず、自分が納得するものを本屋さんでしっかりと確認して買いましょう。
セキュリティエンジニアにとってセキュリティ製品の知識を深めることも大事です。そのためにはセキュリティベンダーのサイトをこまめにチェックしましょう。
セキュリティベンダーのサイトには製品に関する技術だけでなく、最新のサイバー攻撃やシステムの脆弱性に関する情報も拾えます。ITセキュリティの技術は誰かに攻撃パターンや脆弱性を見つけられると使われなくなるため、常に最新の情報を取得するように心掛けなければなりません。
また、セキュリティベンダーが主催する製品のプレゼンやセミナーもサイトで告知されるので、知識を増やす機会を積極的に作ってみましょう。
サイバー攻撃はいつ起こるかわかりません。システムを安定して管理するためには攻撃をいかに防ぐかが重要なので、最新のIT技術やサイバー攻撃に関する情報を日頃から仕入れておいてシステムが攻撃をされたときのために備えておくことも必要です。
また、システムはネットワークを使って動いているものがほとんどであり、システムが使えなくなった原因が他社のシステム障害ということもあります。その場合でも冷静に状況を判断して対応するためにもITに関するニュースを仕入れておくことも必要です。
システム障害の原因はさまざまです。必ずしもサイバー攻撃や自社のシステムの不具合で障害が起こるとは限りません。通信キャリアなど自社が使っている他社のネットワークの障害ということもあります。障害時に冷静に判断するためにも広く情報を仕入れておきましょう。
ITセキュリティの知識を増やすためにエンジニア同士で勉強会を開くのも一つの方法です。勉強会と聞いて何か堅苦しいイメージがある人は、情報交換の場という形でエンジニア同士でコミュニケーションを取るのも良いでしょう。
特に、一人で勉強しているとわからないことも出てきたり、そういうときに気心の知れたエンジニアがいれば問題解決も早くなり新しい知識を得る機会にもなります。
そのほか、エンジニア同士の情報交換の場で人間関係が広がって、仕事を紹介されて業務の幅が広がるということもあるので、知識の取得だけでなく自分自身のキャリアパスの形成の手段としても使えます。
ITセキュリティの知識だけでなくセキュリティの実装スキルも必要です。身につけたITセキュリティの知識をどうやって活かしていくかがエンジニアのキャリアパスに大きく影響します。
ここでは身につけたITセキュリティの知識を使って、セキュリティエンジニアが具体的にどんなことができなければならないのか、必要最低限身につけておくべき技術スキルを紹介します。
セキュリティエンジニアの業務ではさまざまなセキュリティ製品を使ってセキュリティの設計や構築をしていきます。セキュリティ製品はネットワークやサーバーの中に組み込まれるため、当然ITインフラの構築スキルは必要です。
たとえばファイアウォール(FW)をネットワークに組み込む場合はネットワークの構築スキルは必須のスキルです。Linuxサーバーの権限割り当てなどをする場合はLinuxコマンドを実行できるようになっておかなくてはいけません。
また、ウイルスやマルウェアをチェックする機能をもったセキュリティ製品は外部のサーバーと連携して、ウィルスやマルウェアをチェックするためのプログラムであるシグネチャーを定期的にダウンロードします。そのため、この場合もシステムにセキュリティを実装する場合はITインフラの構築スキルは必要になってきます。
ITインフラの構築スキルに加えてファイアウォール(FW)やUTMなどのセキュリティ製品の設計や構築のスキルは当然必要です。
ファイアウォールであればどことどこを通信させるのか、UTM であればどんなアプリケーションの通信を制御するのかなど、それぞれのセキュリティ製品の仕様に合わせて設定していきます。
また、設定だけでなくセキュリティ製品の知識も必要になってきます。たとえば使用するためには、ライセンスの登録が必要だったり、機器にログインするためのデフォルトのパスワードが必要だったりするため、設定前には製品そのものの知識が前提として必要です。
システムが外部から攻撃された場合はいろんな機器のログを確認する必要があります。ログの分析から調査や改善まですべてセキュリティエンジニアの業務です。
事象が起こった時間帯からログに記載されたメッセージを確認して何が原因でどんな状況になったのか解析していかなければいけません。
また、ログの解析には決まった形はありませんが、できるだけ効率よく必要な箇所を確認するための方法は見つけておきましょう。たとえば、ツールやプログラミング言語などを使ってある程度自動化ができるような作業はログを調査するためにあらかじめ準備しておくと良いでしょう。
セキュリティエンジニアには調査や確認のためにプログラミングのスキルが必要になります。
たとえば、インターネット経由で攻撃を受けたり、悪意のあるファイルをダウンロードしてしまった場合は、原因となるサイトの調査やアクセスの過程でダウンロードしたHTMLファイルの確認が必要です。その場合、ファイルの確認のためにはHTMLやJavaScriptを理解しておかなければなりません。サイトを調査するためにWebスクレイピングをする場合はPythonを使えるようになっておくと良いでしょう。
そして、セキュリティ事故で誤ってダウンロードされる悪意のファイルはすべて何かのプログラムです。つまり調査や解析をするためにはプログラミングスキルは必須ということなのです。
セキュリティエンジニアは、インフラエンジニアや開発エンジニアと違い、習得した技術で何かを作るのでなく、習得した技術を理解してシステムを攻撃からいかに守るかというのがポイントになってきます。
そのため、技術を身につける過程において、堅牢なシステムを作るためにどのようにしたら攻撃から守れるのか、安定したシステム運用をするためにはどんなセキュリティを実現するべきかを注視しながら習得しましょう。
たとえば、ITインフラの構築スキルを身につける場合は、ネットワークがつながりサーバーが通信できるということを理解するだけでなく、ネットワークやサーバーを攻撃から守ってセキュリティを実現するために、アクセス制御やシステムの利用制限の実装が必要です。
そのほか、プログラミングスキルは開発のためでなく、効率よくログ分析をおこなったり、どんな処理フローで攻撃を受けたかなどコードを読んで深く調査をするために必要です。習得した技術を使って、どのようにセキュリティを守るのかをを意識して勉強しましょう。
システムをサイバー攻撃から守り、安定した運用を続けるためにはセキュリティの実装スキルを身につけなければなりません。
セキュリティの実装スキルを身につけるためにはITセキュリティの知識を増やすための勉強に加えて、機器の設定やプログラミングの練習など日々の自己研鑽が必要です。
ここではセキュリティエンジニアとしてセキュリティの実装スキルを身につけるための効率的な勉強方法を紹介します。
ファイアウォール(FW)の設定はセキュリティエンジニアとしては一番最初に身につけておきたい技術スキルです。ただ、実務でファイアウォール(FW)を触る機会がない人もいるでしょう。そういう場合は、FWを購入して自分で設定してみるのもいいでしょう。
Googleで「ネットワーク機器 中古」と検索するとルーターやファイアウォール(FW)などのネットワーク機器を格安で販売しているお店がいくつか見つかります。検索して出てきたお店でファイアウォール(FW)を探してみると、比較的安価に入手できます。
実務で動くファイアウォール(FW)は高価ですが下位モデルのファイアウォール(FW)でも基本的な機能は変わらないので、最初は安価なものを買ってどんどん設定してみましょう。
セキュリティエンジニアとして身につけたいプログラミング言語はたくさんありますが、最初はPythonがおすすめです。ログの分析やサイト調査のためのWebスクレイピングなどはPythonを使えるようになると楽に作業ができます。
プログラミングのスキルを上げるためには、まずはシンプルなソースコードを何回も書き、それから少しずつ複雑なソースコードを書いて反復練習をするのが大事です。
また、初めてプログラミング言語を触る人にとっては何から始めたらいいかわからない人もいるでしょう。下記のページでプログラミング言語の勉強方法について書いているので参考にしてみてください。
関連記事:プログラミングを独学で身につける方法とは|効率的な勉強方法を解説
セキュリティ製品の設計や実装スキルを上げるためにセキュリティベンダーが主催するセミナーやトレーニングに積極的に参加しましょう。
セミナーに参加するとメーカーのエンジニアから設定方法を聞けるだけでなく、機器の持つ便利な使い方や機能などを詳細に教えてもらうことができます。セミナーで得た知識や技術を実務に活かしましょう。
また、セミナーは有料の場合もありますが、ハンズオンセミナーなどで初心者向けにファイヤーウォールの設定を体験するようなイベントもあります。「FW ハンズオン」で検索するとたくさんのイベントが確認できるのでこちらに参加するのも良いでしょう。
サイバーセキュリティを専門に学べる大学やスクールも存在します。スクールは講師に質問ができて問題点の解決も早く効率的に勉強ができるのがメリットですが、質問がメール対応のみで十分なサポートを受けられなかったり、場合によっては費用は高額になることもあります。
さらにITセキュリティは奥が深いので、スクールによって学べる内容はさまざまです。スクールによっては無料のお試し期間を設けている場合もあるので、お試し期間中にサポート体制や講義スケジュールなどを確認して、さらにはどんなITセキュリティが学べるか自分の描くセキュリティエンジニア像と比較してスクールを決めましょう。
独学でセキュリティ技術を身につける自信がある人であれば、「ファイアウォールを購入して設定をしてみる」勉強方法をおすすめします。
セキュリティエンジニアとして業務をおこなうためには、まずファイアウォールを含めたセキュリティ製品の設計から実装までができなければなりません。そのため、業務と直接結びつく技術スキルを身につけるためには実機を設定してみるのが一番です。
逆に、独学でセキュリティ技術を習得するのに自信がないのであれば、サイバーセキュリティを学べる大学やスクールに通うと良いでしょう。
セキュリティ技術はここまでやれば大丈夫というものはないため、常に新しい技術の知識を習得して勉強を続けなければなりません。そのため、セキュリティ技術を身につけるために、どんなことを軸に勉強を継続したら良いかわからなければ迷わずスクールを選択すると効率良く勉強することができますよ。
未経験からセキュリティエンジニアになるのは難しいので、何かのエンジニア経験を経てステップアップしてセキュリティエンジニアになるのが一般的です。
ここではセキュリティエンジニアになるためのロードマップを紹介します。未経験からセキュリティエンジニアになろうと考えている人は、ステップアップするための最初にどんなエンジニアからスタートするか決めましょう。
ネットワークエンジニアの経験を経てセキュリティエンジニアになるのが一番の近道です。
セキュリティエンジニアの業務ではファイアウォール(FW)やUTMを使ってセキュリティを実装しますが、ネットワークエンジニアがおこなうネットワークの構築業務においてもファイアウォール(FW)やUTMは頻繁に触ります。そのため、ネットワークの構築で培ったスキルでセキュリティエンジニアとしてステップアップできます。
また、セキュリティの実装にはアプリケーションの通信制御について理解しておかなければなりません。ネットワークエンジニアになったらアプリケーションの通信を制御するロードバランサー(LB)やUTMを設定できるようになりましょう。
関連記事:ネットワークエンジニアのキャリアパスとは|目標別の成功方法を解説
アプリケーション開発においてもセキュリティの実装業務があり、その経験を活かしてセキュリティエンジニアになることもできます。
たとえば、ブラウザのフォームタブに不正な文字を入力されたときに改ざんや不正アクセスが起こらないようにしたり、データベースを使った認証機能の実装など、アプリケーション開発でセキュリティのために実装することはたくさんあります。
セキュリティエンジニアの業務においてデータ改ざんや不正アクセスなどのサイバー攻撃が起こった場合は、調査や改善が求められます。攻撃が巧妙化してアプリケーションの調査まで必要になると、開発系エンジニアで培ったセキュリティの実装経験が役に立ちますよ。
セキュリティを実装するだけでなく情報セキュリティを管理するのもセキュリティエンジニアの業務です。
社内SEになり社内の情報セキュリティの運用ルールを決めて、マネジメントをすることでセキュリティエンジニアとしてステップアップすることもできます。情報セキュリティのマネジメントについては法律に関する知識が必要です。
また、情報セキュリティの運用はリスクの分類から始まり、評価や対応を決めて、問題があればまた評価に戻って改善をして対応するという終わりのない繰り返しの作業です。小さな問題点を見つけて、大きな問題にならないように地道に改善していく根気強さが必要です。
資格取得で得たITセキュリティの知識を実務に活かしてセキュリティエンジニアのスキルアップに役立てましょう。サイバー攻撃などはいつ起こるかわからないため、完璧なセキュリティはありません。しかし、攻撃が起こったときに冷静に判断して対処するためにも基本的な知識は必要です。
ここではセキュリティエンジニアにスキルアップするために役立つ資格を4つ紹介します。ITセキュリティの基礎知識を固めるために合格を目指しましょう。
ネットワークの基礎知識を固めるための資格です。ネットワークエンジニアの登竜門的な資格ですが、セキュリティエンジニアの業務でもファイアウォールで通信制御をおこなってセキュリティーを実装するためにはネットワークの知識が必要になります。セキュリティエンジニアを目指す人にとってもITセキュリティの知識を深めるためにネットワークの基礎知識をCCNAで固めましょう。
内容はCisco機器を使ったネットワークの構築に関することがメインですが、ネットワークの通信を制御するためのセキュリティについても学べます。
セキュリティエンジニアを目指している人の中でネットワークの知識に少し自信がない人は、まずはCCNAの合格を勝ち取ってステップアップのきっかけにしましょう。
関連記事:CCNAに合格できる勉強法とは|おすすめの参考書・サイトも紹介
情報セキュリティの運用マネジメントに関する知識が習得できる国家資格です。セキュリティエンジニアの業務でシステムを安定して運用させるために情報セキュリティの運用と改善は必須です。
特に社内SEで情報セキュリティを管理したい人や、SOC業務などシステムのセキュリティの運用にかかわっている人には最適な資格です。
内容はセキュリティの基本的な用語の知識に加えて、リスク管理、攻撃対策、法律に関する問題まで幅広くでますが、どれも基本的な知識があれば解答ができる問題ばかりです。ただ、長文を読んで解答する問題も出題されるので読解力が必要です。
また、ITスキル標準はレベル2で比較的易しい試験です。合格率は平成30年度秋の実績では46.3%となっており、試験方式はCCNAと同様にパソコン上でおこなうCBT方式が令和2年度より採用されています。
セキュリティエンジニアの国家資格の最高峰です。セキュリティエンジニアとして技術業務とマネージメント業務の両方のスペシャリストを目指す場合はぜひ取得しておきたい資格です。
IPA の制度上は高度情報処理技術者試験には含まれていませんが、ITスキル標準はレベル4となっており難易度は高度情報処理技術者試験と同等です。
試験は午前2回と午後2回の合計4回で、すべてのテストで合格ラインの60点を取らなければなりません。合格のためにはネットワークやWebの知識は必須、特に認証や暗号など詳細な原理まで理解しておく必要があります。
また午後の問題はネットワーク、データベースなど特定の技術分野に限った問題ではなく混合問題となっているためITインフラから開発までほぼすべての知識が必要です。
アメリカの規格協会認定(ANSI)から認証を受けたサイバーセキュリティの世界標準資格です。世界標準の資格なので外資系のIT企業やファイヤーウォールメーカーなどへ転職を考えている人には有効な資格です。
認定のためには試験の合格と5年の業務経験が必要ですが、未経験者でも試験を受けることがはできます。そのため、セキュリティエンジニアになるためにを目指している人は、試験に合格した後で資格を活かすために、会社に相談して実務経験を積める部署に異動願いを出すのも一つの方法でしょう。 勤務するとよいでしょう。
問題数は全部で250問で試験時間は6時間で少し体力も必要です。試験代が7万円から8万円ほどと少し割高です。
日本人の中では取得者は3300人ほどでセキュリティの業務経験者にとっては希少価値の高い資格です。セキュリティエンジニアとしてステップアップするためにはぜひ挑戦したい資格です。
ITセキュリティの知識を増やすためにいろいろな書籍を読むのも一つの方法ですが、専門書になるとそれなりに値段も高くなります。内容が難しくて理解できないということがないように、自分の知識にあった本を選ぶのが大事です。
ここではセキュリティエンジニアに必要な知識を身につけるための入門書から高度な知識が身につけられる書籍まで紹介します。
「情報セキュリティの基礎知識」は、ITセキュリティ未経験者が最初に読んでおきたい一冊です。情報セキュリティの重要性について最初から説明しており、IT知識がない人が読んでも理解できるようになっています。
セキュリティ技術の書籍となると難しい用語がたくさん出て来て、前提として技術知識がないと読めないということがありますが、こちらの書籍はイラストや図がたくさんあって、まったくの知識ゼロから読んでも理解できるようになっているため、初心者でもイメージをつかみやすくなっています。
また、サイバー攻撃の仕組みについてもいくつか例を挙げてわかりやすく紹介されているのでエンジニアだけでなく一般ユーザーが読んでも役立つ内容になっています。
「マスタリングTCP/IP 情報セキュリティ編」は、ネットワークエンジニアからセキュリティエンジニアへステップアップするためには最初に読んでおきたい書籍です。
認証や暗号の技術に加えネットワークやWebのセキュリティについても記載されています。各種攻撃の原理やそれに対する対策についても記載されており、セキュリティエンジニアの業務に必須の基本的な知識が習得できます。
また、ネットワークの構築業務でよくおこなわれる「IPSec」や「SSLVPN」などのVPN の技術についても解説されているので、ネットワークエンジニアとして業務をされている方にも役立つ内容となっています。
「セキュリティエンジニアの教科書」はセキュリティエンジニアの業務をするためのノウハウがたくさんつまった模範的な書籍です。
業務内容や必要なスキルの紹介から始まり、理解しておくべきIT知識から、プログラミングや法律に関する内容まで、セキュリティエンジニアについて幅広く網羅されています。
さらにこちらの書籍はスキルに応じた教育や取得するべき資格などについても書かれており、それぞれのキャリアパスに応じたステップアップの方法についても記載されています。
セキュリティエンジニアとして業務を続けていくために常に鞄に入れておきたい書籍の1冊でしょう。
「暗号技術入門 第3版 秘密の国のアリス」は暗号技術に特化した書籍です。書籍のタイトルが入門と書かれていますが内容は暗号技術の詳細な原理まで解説されており、暗号技術を深く知りたい人向けの内容となっています。
暗号技術はデータの改ざん防止や盗み見防止のために使われる技術で奥が深いため、技術そのものが理解するのも大変ですが、基本的な内容から説明されているので、一つ一つ理解しながら読み進めていけば暗号についてあまり詳しくない人が読んでも理解できるようになっています。
暗号は一言で言えば「鍵を使ってアルゴリズムでデータを変える技術」ですが、なぜ鍵やアルゴリズムに分けて考えるのかという根本的な考え方の理由まで説明もされています。暗号技術を極めたい人はぜひ読んでおきたい一冊です。
サイバー攻撃はどんどん巧妙になっており、攻撃手法も日々新しいものが誕生しています。そのため、セキュリティエンジニアとして業務をするためにこれだけのセキュリティ技術を身につければ終わりということはないので、常に新しいセキュリティ技術を勉強し続けなければなりません。
まずは、新しい知識や技術を身につけるために、自分なりの効率的な勉強方法を身につけてセキュリティエンジニアとしてステップアップしていきましょう。
あなたにはどれが向いてる? 今すぐエンジニア診断してみよう
「エンジニアになってIT業界で働きたい」
「エンジニアに興味はあるけど、種類が多すぎて自分に向いてる職種がわからない」
そんな悩みを解決するのが、「エンジニア診断ツール」です。
「エンジニア診断」はたった12の質問に答えるだけで、あなたに向いているエンジニアを診断。
診断結果には仕事内容の概要も掲載しているので、自分に合ったエンジニアについて詳しく知って、エンジニア就職に一歩近づきましょう。
飯塚 寛也
2022.04.27
2022.01.24
2022.01.12
2020.09.09
2020.07.03
2020.06.19
2020.06.11
2020.06.04
ITシステムを狙ったサイバー攻撃は年々巧妙化しています。ランサムウェアなどのような被害を受けてしまうと企業は業務停止になったり、ビジネス機会を失って風評被害になったり、大きな損失が出ることもあります。
企業がビジネスを継続していくためにはシステムをどのように守っていけばいいのかが問われるので、これからもセキュリティエンジニアの必要性は増します。
また、セキュリティを実装しないITシステムは存在しないため、ITシステムを運用するためにセキュリティの運用が必須です。将来性豊かなITエンジニアを目指している人は、セキュリティのスキルを身につけてセキュリティエンジニアになることをおすすめします。