人気急上昇中のセキュリティエンジニアになる方法とセキュリティエンジニアの仕事内容

はじめに

みなさん、こんにちは。今回は人気が急上昇しているセキュリティエンジニアを取り上げていきます。この記事は、セキュリティエンジニアの人気が上昇している背景から、セキュリティエンジニアになるための方法、実際の仕事内容について、という流れで簡単に書いていきます。最後までご覧頂けると幸いです。

セキュリティエンジニア人気上昇の背景

それでは、セキュリティエンジニアとはどんな仕事かということをお伝えする前に、そもそもなぜ人気が急上昇しているのかを考えていきましょう。その背景を知ることで、政府や企業だけでなく、個人に対しても需要があることがわかります。みなさんも下記の事例のどれかは耳にしたことがあるのではないでしょうか。

【サイバー攻撃の具体例】

  • ランサムウェアという身代金ウィルスに感染し、重要なシステムが利用不能になった
  • 標的型攻撃メールによって企業の個人情報が流出した
  • DosやDDos攻撃によって、サーバーやサイトに負荷がかかり異常が発生した

◆ ランサムウェア

簡単に説明すると、保存されているデータや情報を別の暗号に変換され、開けない状態にされてしまう攻撃です。それを開くために多額のお金を要求されるという手口です。また、ウィルスの一種とされており、画面に暗号を解除するための要求を表示させたりもしてきます。ランサム=身代金、ウェア=ソフトウェアと考えるとわかりやすいです。

◆ 標的型攻撃

簡単に説明すると、主にターゲットとしている組織の機密情報を知ることが目的の攻撃です。そのために組織内の特定の人間に連絡をします。偽装メールと異常を起こさせるプログラムがセットになっていて、メールに添付されているサイトにアクセスしてしまうとそこで情報が取られたりします。

◆ Dos / DDos攻撃

簡単に説明すると、標的を決め、そのサーバーやネットワークに大量のデーターを送る攻撃のことです。膨大過ぎるデーターは処理仕切れないため、異常が発生してしまいます。公開されているWebサイトは全て標的になる可能性があります。IT技術を切り離せない現代のあらゆる組織は対策を考えていかなければなりません。

上記は数あるサイバー攻撃のほんの一部に過ぎません。また、IT技術ととも新たなサイバー攻撃の手法も日々増えています。北朝鮮がサイバー攻撃を行っているなどの噂も流れ、今やサイバー攻撃は国際問題にまで発展しています。このような中で、政府や企業では、サイバー攻撃から守るセキュリティエンジニアの求人が急増するのは必然ですよね。また、セキュリティエンジニアの需要が急増したため、セキュリティエンジニアの人材育成が今後の課題となっているのです。

現代社会において、セキュリティエンジニアがどれだけ必要であるかをご理解頂けたのではないでしょうか。前置きが長くなりましたが、ここから本題について書かせていただきます。そこまで重要視されているセキュリティエンジニアとは、どんな仕事なのかみていきましょう。

セキュリティエンジニアとは

セキュリティエンジニアの仕事とは、企業や政府などのITシステムに対して、サイバー攻撃に繋がる※1セキュリティホールなどの脆弱性が無いかどうか常にチェックすることです。政府や企業の中で情報セキュリティを確保するための業務を行ったり、セキュリティ専門企業などでお客さま企業のITシステムの安全を守っています。現代のIT社会全体の安心・安全な利用のためにセキュリティを確保するスペシャリストです。

※1セキュリティホールとは
セキュリティホールとは、安全性の欠陥のことです。原因は、ソフトやOS上でのプログラムの不具合や設計ミスです。こういった欠陥があると、そこからバッファーオーバーフロー攻撃等のサーバー攻撃を仕掛けられる可能性があります。

セキュリティエンジニアになるには

セキュリティエンジニアには誰でもなれます。セキュリティエンジニアになるために特別必要な資格や学歴はありません。ですので、企業にそういう形で入社すれば、あなたはもうセキュリティエンジニアというわけです。ネットで未経験からセキュリティエンジニアへなろうという求人も社会背景から増えていますが、その前に少し考えてみましょう。なぜなら、先ほど述べたセキュリティエンジニアとできるセキュリティエンジニアには雲泥の差があるからです。

ではどういった経験や知識、スキルが必要なのでしょうか。もちろん経験と言えば、実際に企業のセキュリティ関係の部門でサイバーセキュリティや情報セキュリティに関する経験を積むことが非常に重要です。しかし、その現場に入るためには、セキュリティ以外の幅広い知識が必須になります。なぜなら、一流のセキュリティエンジニアには、問題が発生した時に被害を最小限にとどめるための迅速な対応と、そのプレッシャーに負けないメンタルが求められるからです。ではセキュリティエンジニアになるためには、具体的にどんなスキルが求められるのでしょうか。

【セキュリティエンジニアに必要なスキル】

  • コミュニケーション能力
  • 弁証力
  • リーダーシップ
  • 高徳であること

◆ コミュニケーション能力

具体的には、相手から話を聞き出す力です。業務上、トラブルや不具合に繋がる可能性のある箇所を事前に把握しておく必要があるためです。信頼関係が無い人になどには特に、できるだけ企業や組織の機密情報は話したくないですよね。こういったシビアな話を雑談を混えながら気楽にできると、企業からの信頼に繋がります。

◆ 弁証力

エンジニアやプログラマーは論理的な方が多いです。その考え方を利用して相手を説得しなければいけません。例えば、サイバー攻撃の恐れがある脆弱性のある部分を発見した場合には一旦システムをとめる必要があるかもしれません。ただ、企業の経営者は特に数日間もシステムを止めたくありません。そういう人たちを説得できないと取り返しのつかない問題に繋がる可能性があります。

◆ リーダーシップ

セキュリティエンジニアにとって、責任感を持ってリスク管理を徹底的に行うことは、何を置いても大切なことになります。実際に情報漏洩の8割以上が人的原因によって引き起こされています。問題が起きてしまった時の大きさを理解して、普段からのチェックを徹底する必要があります。いつどんなトラブルに遭遇するかわからないため、高い道徳を持って対処に望む必要があります。

◆ セキュリティに関する基礎知識

そして、最後に当たり前ですが基礎知識が必須です。普段から知っている知識も使い、自社の電子化された情報やその通信経路などを把握しておかなければなりません。また何かしらの問題が発生した時に、自身の知識の引き出しからその原因を探ったり、考える必要があります。セキュリティエンジニア自体がかなりの専門性を有する職になりますので、その知識を頭に入れておかなければいけないのは必然といえるでしょう。

実際に必要なスキルをみてみると意外と感じる方もいるのではないでしょうか。セキュリティエンジニアは、椅子に座ってパソコンを使用する、というだけでは務まりません。一流のセキュリティエンジニアを目指すのであれば、大学の専門学科で専門の講師から知識を学ぶのが早いのではないでしょうか。

未経験者にはなかなか難しいという現実でしたが、不可能というわけではありません。実際に現場で実務経験を積んで、セキュリティエンジニアになっている方もいます。そして、知識を積み上げることと企業からの採用に有効なのが、サイバーセキュリティ関係の資格を取得することです。

セキュリティエンジニアになるために必要な資格

セキュリティエンジニアになるために必ず資格が必要な訳ではありませんが、必要な知識を体系的に身につけるには資格取得が有効です。セキュリティエンジニアに有効な資格の幾つかをご紹介します。
【有効な資格】

  • 情報セキュリティマネジメント
  • 情報処理安全確保支援士
  • CISM(公認情報セキュリティマネージャー)
  • CISA(公認情報システム監査人)

情報セキュリティマネジメント

セキュリティ初心者がまず初めに取得してほしいのは、情報処理推進機構(IPA)の「情報セキュリティマネジメント」資格です。主な試験の内容は、ユーザ部門においてシステムセキュリティに関する各種対策やルール整備を行い、サイバー攻撃などの脅威から継続的に組織を守るということについてです。2016年度秋からスタートした新しい資格で、セキュリティエンジニアとって基本的な内容についての出題なので、初めにチャレンジすることをおすすめします。

情報処理安全確保支援士

「情報処理安全確保支援士」は、昨今のサイバー攻撃の巧妙化や増加を受けて、2017年度春から情報処理推進機構(IPA)が試験を運営している新しい国家資格です。この資格を国家資格にした理由は、昨今のサイバー攻撃の急増に対して国家を挙げて人材を育成する必要があるためです。「情報処理安全確保支援士試験(SC)」に合格するか、または、旧「情報セキュリティスペシャリスト試験」に合格して登録を受けることで「情報処理安全確保支援士」を名乗ることができます。
試験範囲は、それまであった「情報セキュリティスペシャリスト試験(SC)」の内容と基本的には同じです。非常に難易度の高い資格になっていますので、対策を十分に行う必要があります。日本のIT業界において、情報処理推進機構(IPA)の情報処理技術者の資格は非常に人気の高い定番資格です。その中で、「情報処理安全確保支援士」の国家資格は、非常に認知度が高く、セキュリティエンジニアになるために大変有利な資格です。難関資格であるため、「情報処理安全確保支援士」の資格保有者は、社内においてもセキュリティの専門家として一目置かれる存在になるのです。

CISM(公認情報セキュリティマネージャー)

CISMは、Certified Information Security Manager(公認情報セキュリティマネージャー)のことで、情報セキュリティに関する国際的な資格です。CISMの試験は、情報セキュリティガバナンス、情報リスクの管理、情報セキュリティプログラムの開発と管理、情報セキュリティのインシデントの管理からそれぞれ出題され、4時間で200問の四択問題に挑戦します。CISMは情報セキュリティに関するマネージメントレベル国際資格ですので、セキュリティ専門会社の多くの社員がこの資格を取得しています。

CISA(公認情報システム監査人)

CISAは、Certified Information Systems Auditor(公認情報システム監査人)のことで、情報システムの監査および、セキュリティ、コントロールに関する国際的な資格です。CISAの試験では、情報システム監査のプロセス、ITガバナンスとマネジメント、情報システムの取得・開発・導入、情報システムの運用・保守・サポート、情報資産の保護について出題されます。CISMとともに難易度が高い資格ですが、CISAの方が更に難しいとされています。

セキュリティエンジニアの仕事内容

セキュリティエンジニアの仕事内容とは、どのようなものでしょうか。実際のセキュリティエンジニアの仕事内容について説明します。
【仕事内容】

  • セキュリティマネジメント
  • セキュリティ企画・推進
  • セキュリティ技術者
  • インシデント対応

セキュリティマネジメント

企業や組織の情報システム部門にて、社内関係部や経営陣、社外の関係組織などとやりとりをします。ガバナンスやマネジメントの色合いが強い業務です。セキュリティ技術に加えて社内の規定ルールや組織にも精通していることが必要です。通常は、情報セキュリティ部門の部門長を補佐する形で業務にあたります。CSIRT(シーサート)※を構築している場合は、CSIRTへのメンバーへの連携、セキュリティ技術者やインシデント対応人材、セキュリティベンダーへの連携・指示、情報管理や危機管理を担当している部署への連携、JPCERTやIPAなどの社外の関係組織や関係省庁などへの連携が主な業務になります。企業のサイバーセキュリティに関する事項の全体を統括する業務になりますので、責任の重い業務です。
※CSIRTとは、Computer Security Incident Response Teamのことです。企業や組織内でのサイバーセキュリティを専門とする組織です。

セキュリティ企画・推進

サイバーセキュリティ対応に関する各種施策の企画立案をします。サイバーセキュリティ対応に関する年度計画や、対策の強化などを推進します。攻撃の状況や外部対策状況を考慮し、各企業にてサイバーセキュリティの対応を実施するのです。対策の実施には費用がかかることがあるため、年度の予算確保などの対応も行います。また、サイバーセキュリティに関する規定ルールの整備やCSIRT(シーサート)を構築している場合には、CSIRTメンバーと連携し、対策の実施を推進します。

セキュリティ技術者

脆弱性などの情報は、各種ニュースサイトや情報処理推進機構(IPA)などのWEBサイトで随時更新されますので、これらに関する情報収集をする仕事があります。脆弱性情報、脅威情報、セキュリティイベントなどの情報は、いつ公表されるのか分かりません。これらの情報を常に監視し、インシデントに速やかに対応する必要があります。このような方は企業システムのセキュリティ担当となっており、ネットワークの運営や監視などを行うことも仕事の一部です。

インシデント対応

実際にウィルス感染などの有事のインシデント対応にあたる仕事です。有事におけるイベントハンドリングの業務になります。有事の場合の対応は、非常に敏速に行うことが求められます。感染端末の特定のためログ解析・分析や、各種サーバー・ネットワーク機器のログ分析などのフォレンジック業務を行います。また、外部のセキュリティ専門業者と協力して、更に専門的な調査を行うこともあるのです。

まとめ

近年需要が急増しているセキュリティエンジニアについて色々な説明してきました。ここ数年はセキュリティエンジニアの需要は急増していますので、セキュリティエンジニアを目指す方も増えています。フリーランスのアプリケーションエンジニアにとってもセキュリティの知識は不可欠です。また日本にとっても、東京オリンピックに向けてセキュリティを強固なものにしていく必要があります。このようにセキュリティエンジニアは、安心安全なインターネットの利用に関して欠かせない職業なのです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です