セキュリティエンジニア

ここでは、情報システム部門におけるセキュリティエンジニア職の仕事内容ややりがい、メリット、向いている人の特徴やおすすめ資格についてご紹介します。

※ サンプリング抽出した社内SE求人情報の「（年収下限＋年収上限）÷2」で算出

セキュリティエンジニアの仕事内容

SIerやSESのセキュリティエンジニアと比較すると、事業会社のセキュリティエンジニア（社内SE）の仕事内容は多岐に渡ります。主に以下の業務に従事します。

セキュリティエンジニアの仕事内容
① セキュリティ関連規程・ルールの整備
② サーバやソフトウェアの脆弱性対応
③ 端末のセキュリティ対応
④ セキュリティ教育
⑤ セキュリティ診断やログ解析
⑥ セキュリティ事故対応

① セキュリティ関連規程・ルールの整備

自社のセキュリティポリシーやセキュリティ規程、ガイドラインを整備します。さらに、それらに沿ってセキュリティの運用ルールやマニュアルの整備を行います。

② サーバやソフトウェアの脆弱性対応

セキュリティエンジニアは自社の情報システム部門が導入するシステムやインフラに脆弱性がないか設計やソースをレビューします。

また、保守・運用フェーズに入ると、日々公開されるサーバやミドルウェアの脆弱性情報を収集し、自社で使用している製品・バージョンに脆弱性が見つかった場合はその情報を関連部署へ連携し、対策を支援します。

③ 端末のセキュリティ対応

従業員が使用するPCへのエンドポイントセキュリティソフトの導入からパターンファイルの更新、OSのセキュリティパッチの定期的な適用を行います。

さらに、昨今はセキュアなテレワーク環境を整備するためにVPNや仮想デスクトップを選定・導入する企業が増え、これらもセキュリティエンジニアが関与する場合があります。この場合、情報漏えいにつながる機器紛失に備えて、MDM（モバイル機器管理システム）を導入・運用するケースが一般的です。

④ セキュリティ教育

自社の従業員へのセキュリティ研修や攻撃メール訓練など、ソフト面の強化もセキュリティエンジニアの仕事の一部です。

例えば、セキュリティ研修コンテンツを選定してe-learning形式で従業員に提供したり、標的型攻撃メールを模倣した訓練メールサービスを利用して、避難訓練のようにインシデント発生時の報告経路や対応手順を確認します。

⑤ セキュリティ診断やログ解析

大手企業になると、SOC（セキュリティ・オペレーション・センター）で24時間365日セキュリティ監視を行います。

例えば、外部からサーバへの通信ログを解析・監視することで通信をブロックする、あるいは逆に内部ネットワークの通信傾向を監視し、不明なサーバへの通信をブロックするなどインシデントを未然に防止する活動もこれに含まれます。

自社社員で24時間365日運用することは困難なため、一般的にはSOCサービスを外部委託するケースが多く、情シスのセキュリティエンジニアはそのマネジメントをします。

⑥ セキュリティ事故対応

セキュリティルールを定め、脆弱性に対応し、社員教育を行っても、情報漏えい事故は必ず発生します。

セキュリティ事故が発生した場合、現状把握、初動対応、社内報告、恒久対応など一連の対応はセキュリティエンジニアが中心となって行う、あるいは支援します。

セキュリティエンジニアの具体的な求人例

セキュリティエンジニアのやりがい・メリット

セキュリティエンジニアは常に最新の脆弱性情報やセキュリティ製品・サービスの動向を注視する必要がありますが、その分高い専門性を武器にした業務であると言えます。

また、目に見えない「安全」を確保すること、情報漏えいを未然に防ぐこと、セキュリティ事故の事後対応を通じて、自社の安全を支えていると感じる機会が多くあります。

社内SEは自社独自の仕事に塩漬けにされて転職しにくいと揶揄されることもありますが、社内SEのなかでもセキュリティエンジニアはインフラエンジニアと同様に汎用的で他社においても通用するスキル/経験がほとんどであるため、転職に有利である点がメリットと言えます。

セキュリティエンジニアに向いている人

セキュリティエンジニアに向いている人の特徴
① 常に新しい情報を収集分析する仕事を楽しめる人
② アプリケーションからインフラまで幅広いIT知識がある人
③ セキュリティと利便性のバランス感覚がいい人

セキュリティエンジニアは機微情報や秘匿性の高い情報を扱う機会も多く、倫理観/道徳意識の高い人物であることが大前提です。

そのうえで、日々新しい脆弱性や攻撃が発生する分野において製品情報や脆弱性情報にアンテナを高く張りめぐらせている人が非常に多い印象です。

また、「セキュリティ」と一言で表現されますが、アプリからインフラ、OS、人の教育まで幅広い領域でセキュリティの確保が求められるため、それに応じて幅広いITのスキル/経験を有していると活躍の場も自ずと広がります。

セキュリティベンダーは「危機感を煽って製品を売る」と揶揄されることもありますが、情シスのセキュリティエンジニアはベンダーの売り文句をそのまま自社に持ち帰ってはいけません。セキュリティを確保すること＝利便性を損なうケースにおいては、慎重に選択する必要があり、バランス感覚や業務部門の実情を把握する力も求められます。

セキュリティエンジニアのおすすめ資格

セキュリティと一言で表現されますが、その内訳はネットワークやサーバ、OS、プログラミング、認証、暗号化技術、法律など多岐に渡ります。ここでご紹介するのは汎用的に活用できる資格です。

① CompTIA Security+

『CompTIA Security+』は、セキュリティに関わる知識を証明する国際的な資格でもっとも有名な資格の1つです。

『CompTIA Security+』は広い範囲から出題されますが、セキュリティ関連資格のなかでは初級レベルに位置づけられており、しっかりと対策をすれば比較的容易に合格することが可能です。

② 情報処理安全確保支援士

情報処理推進機構（IPA）の『情報処理安全確保支援士』はサイバーセキュリティ対策の責任者を確保・育成する目的で創設された資格です。

合格率は15-20%程度ですので、高度試験のなかでも若干合格率が高い試験と言えます。技術だけでなく運用、開発、経営、法律といった幅広い側面から出題されるため、総合力が求められる事業会社の情シスに在籍するセキュリティエンジニアにマッチした資格と言えます。

③ その他、高度な民間資格もあり

『CompTIA Security+』や『情報処理安全確保支援士』は汎用的な資格であるのに対して、より具体的なベンダー資格や民間資格もあります。

• CCNP Security
• CISSP（Certified Information Systems Security Professional
• CISM（Certified Information Security Manager）　など多数…

セキュリティ関連の資格は国家資格より国際資格の方が充実しており、国内においてもこれらの資格がしっかりと評価される傾向にあります。

セキュリティエンジニアの今後のキャリアパス

セキュリティ専業ベンダーへの転職はもちろんですが、SIerや総合コンサルティングファームもセキュリティサービス事業を有しており人材確保のための中途採用が活況です。

事業会社の情報システム部門への転職も求人が増加傾向にあり、優位に進められることが予想できます。事業会社内においてはセキュリティ部門の管理職、責任者、到達する人材は限られていますがCISOがキャリアパスのゴールと言えるでしょう。

情シスでセキュリティエンジニアを目指す人におすすめの転職エージェント

情報システム部門のセキュリティエンジニアは求人数が比較的多く、求人ポジションの年齢が比較的低めであるため、入社も他社への転職もハードルは低めです。

事業会社内ですでにセキュリティを担当した経験や、SIerやSESでインフラのセキュリティを担当した経験、SOCの経験を持っている方は転職エージェントに相談すると自分の市場価値を把握できます。