セキュリティエンジニアとは、サーバーに関連する業務や情報セキュリティを専門に担当するエンジニアのことです。ITのインフラの中で、サーバーの構築や運用・保守を専門とし、セキュリティに配慮したシステム設計・運用、未然にサイバー攻撃を防ぐための調査や対策などを行います。
スマートフォン等の端末の普及やクラウド環境の活用など、ネットワーク環境や利用場面が多岐にわたるようになり、サイバー攻撃も高度化しています。攻撃側は対象を自由に選べますが、守備側はどこからどのような攻撃を受けるか分かりません。現代は、ITシステムが発達して便利になったからこそ、セキュリティの強化も求められる時代といえるでしょう。
セキュリティエンジニアとは
- セキュリティエンジニアとは、さまざまなサイバー攻撃や社員の過失などによる情報漏洩を防ぐために、業務システムやネットワークなどの社内システムへのセキュリティ対策の立案から実装、運用、保守、セキュリティポリシーの設定、社員教育など非常に幅広い業務担当します。
- 幅広い技術領域のセキュリティスキルが要求されるだけでなく、最新の法令や他社のインシデント事例に関する知識も求められることから、エンジニア職の中でも難易度が高い職種と言われています。
- セキュリティエンジニアを以下の2種類の領域に区分できます。
- コンサルタント領域に特化したセキュリティエンジニア
- 企業のセキュリティポリシーの策定やシステムのセキュリティ対策から運用方法の診断、改善提案、運用定着化支援などを担当します。
- セキュリティ相談
企業の経営層から、新規事業やセキュリティ対策に懸念がある既存事業に対する改善策の相談や情報システムにおけるセキュリティ対策の相談を受け、施策などの情報を提言します。あくまで提言レベルであり、アウトプットはない場合がほとんどです。
- 情報セキュリティマネジメントの企画立案
セキュリティ相談の発展的な仕事で、要件を詳しくヒアリングし、企画書を作り具体的なセキュリティ対策方法を提案します。
- 情報セキュリティマネジメントの設計
企画提案が受け入れられた場合、より詳細にその会社に最適な情報セキュリティマネジメントを設計します。具体的には、セキュリティ範囲の明確化や、組織体制や業務ルールの考案、情報システムの各レイヤーおよび一般業務フロー内におけるチェック項目の設定、情報システムや業務ルールの運用方法の設計などを行います。
- セキュリティ評価、改善指導
現在運用されている情報システムにおけるセキュリティの状況を評価し、改善のための指導や提案を行います。
- セキュリティ教育
最新法令の紹介やセキュリティ教育を行い、セキュリティ意識の啓発やリテラシーの向上に貢献します。
- 技術領域に特化したセキュリティエンジニア
- システム導入時のセキュリティ設計やセキュリティ製品の導入、設定、運用、監視などを担当します。サイバー攻撃を受けた際は、直ちに対策なども行います。
- 要件定義
システム構築に必要なセキュリティ要件を洗い出し、要件定義書に落とし込みます。 具体的には、OSやファイヤーウォール、認証などのレイヤー別に要件を整理します。
- セキュリティ設計
要件定義書をより具体的な設計書に落とし込みます。具体的には、ネットワークやサーバーなどを分析した上で、ファイヤーウォールなどレイヤー別にどのようなセキュリティ対策を実装するか設計書に落とし込みます。
- セキュリティ対策の実装
設計書に従って、ネットワークやサーバー、OS、アプリケーションなど各レイヤーにおいてセキュリティ対策を実装します。他エンジニアと協力しながら、機器のマウンティングやコンフィグ作業、暗号や認証の設定、アクセス権設定、セキュアプログラミングなどを行います。
- ペネトレーションテスト(侵入テスト)
完成したシステムやアプリケーションを対象に、脆弱性の有無を確認するためのテストを行います。脆弱性が発見された場合、設計・実装工程に戻って対応策を検討します。
- セキュリティシステムの運用、保守
システムの完成後は、セキュリティインシデントが発生しないように運用・保守を担当します。アプリケーションやOSのアップデート、通信データの監視、アクセス権の管理、ログファイルのチェックや保存などを行い、セキュリティ性を維持します。
セキュリティエンジニアは担当する工程によって役割を分けることができます。企業によって異なりますが、ネットワークに特化したセキュリティエンジニアやサーバーに特化したセキュリティエンジニアなど、技術領域別に分業されている企業もあります。
セキュリティエンジニアに関連する資格
- コンサルタント領域に特化したセキュリティエンジニアには、情報セキュリティマネジメントやセキュリティ技術に関する知識、セキュリティ製品の知識などが求められます。
- 情報処理安全確保支援士試験
情報セキュリティの専門家を認定するための国家資格で、情報セキュリティに関するネットワークやハードウェア、アプリケーション、法令まで幅広い知識を証明します。ITスキル標準のレベル4以上であり、難易度の高い資格です。
- 情報セキュリティマネジメント試験
情報セキュリティマネジメント試験は、情報処理の促進に関する法律第29条第1項の規定に基づき経済産業大臣が行う国家試験である情報処理技術者試験の一区分です。情報セキュリティマネジメントの企画や運用を通して、企業や団体の情報セキュリティに貢献しながら、ウイルスなどの外敵から団体を守るための基本的な知識や技術を図る試験です。
- CompTIA
CompTIAはグローバルで評価されている資格で、国内でも高い知名度があります。セキュリティ、ネットワーク、サーバーなど複数の資格があり、さらにそれぞれ3~4つのレベルに試験が分かれています。セキュリティの最高レベルの試験であるCASP+は、公式サイトでIT全般の管理者として10年以上の経験、そのうち5年以上をセキュリティに関連する実務に携わるエンジニアの方を対象として設計されています。
- CISCO技術者認定
ネットワーク製品大手のシスコシステムズの認定する資格で、ネットワークに関する知識やCISCO製品を扱うスキルを証明します。エントリー、アソシエイト、プロフェッショナル、エキスパートの4つのレベルに分かれており、アソシエイト以上の試験ではCloudやWireless、Securityなど技術領域別にさらに詳細化されています。ネットワークセキュリティを学ぶ際に最適な資格と言われています。
- LinuC
サーバーOSとして高いシェアを持つLinuxの技術力を証明する資格です。レベル1~3に分かれており、それぞれITスキル標準のレベル1~3に相当し、比較的難易度が高い資格です。サーバーセキュリティも出題されるため、知識の補填に役立ちます。
その他、公的資格(国家資格と民間(ベンダー)資格の中間に位置付けられる資格)で、民間団体や公益法人が実施し文部科学省や経済産業省などの官庁や大臣が認定する資格のことで、以下の資格があります。
SPREAD情報セキュリティサポーター能力検定/SPREAD情報セキュリティマイスター能力検定/ネットワーク情報セキュリティマネージャー(NISM)/個人情報保護士認定試験/情報セキュリティ管理士/情報セキュリティ監査人認定講習会/CompTIA
Security+/公認情報セキュリティマネージャー(CISM)
セキュリティエンジニアが求められる分野
- コンサル系
企業の経営戦略などに対してサポートを行うコンサルの仕事は、企業の機密情報に触れることもありますし、多くの企業の顧客情報を抱えています。これらが流出・漏えいしないようにするために、セキュリティの需要は非常に高くなっています。
- メーカー系
メーカーでは、製造管理システムなどITを使ったシステムも多くなっており、不正アクセスなどの被害に遭うと生産が停止するリスクがあります。また、研究資産など外部に漏えいすると大きな損失につながる高度な機密情報もあります。これらをサーバー攻撃の脅威から保護するために、適切なセキュリティ対策の需要は非常に高くなっています。
- インフラ系
電力やガスなどのインフラは、ネットワーク接続されたスマートメータの利用が進んでいます。ネットワーク接続されているので、一旦サイバー攻撃を受けると、最悪でインフラが停止するリスクもあり、高度なセキュリティ対策が不可欠となっています。
- 商社系
取引先の情報や商品の情報、価格情報など多くの機密情報を扱う商社にとって、もしサイバー攻撃などで情報が流出してしまうと、経営の存続に関わる大きな問題となってしまいます。したがって、セキュリティ対策は非常に重要です。
- 金融系
金融機関は、銀行の口座番号やクレジットカードの番号など多くの個人情報を扱っています。これらが流出して悪用される事例も多く発生しており、金融機関にとってセキュリティ対策は非常に重要な課題となっています。
- その他
他にも、マイナンバーを扱う業務、病院などの医療機関、保険会社など高度なセキュリティ対策を必要とする分野にはさまざまなものがあります。高度な個人情報などを扱う分野は、非常に多く、それらの業務では適切なセキュリティ対策が不可欠です。
セキュリティに限らずIT業界全体的に人材の不足が懸念されており、特にセキュリティに強いエンジニアは今後需要が高まると予想されています。
セキュリティエンジニアに求められるスキル
- 情報セキュリティマネージメントスキル
コンピューターウィルスは当初は愉快犯的な目的で作られたものが多かったのですが、近年は個人や企業の個人情報・内部情報の搾取を目的としたものが多く、これらからシステムを守る為の知識が必要となります。コンピューターウィルスに対する知識とその対策手法を身に付けていることが必要です。コンピューターウイルスの種類は常に増え続けており、これらに対応するには常に最新の知識を身に付けなければなりません。
- ネットワークインフラセキュリティスキル
現在はコンピューターウィルスも複雑化、多様化しており各種ウィルス対策ソフトやO/S側も対策を行っているもののそれだけでは不十分で、社内システムを構築する企画段階からセキュアプログラミングについて考慮します。セキュアプログラミングとは防御的プログラミングとも呼ばれ、プログラムレベルで外部からのアタックに強いプログラミング技法です。ネットワークインフラをコンピューターウィルスから守るにはセキュアプログラミングに関するスキルが必要です。
- アプリケーション・セキュリティスキル
WEBであればコンピューターウィルスがよく発見されるサイトは見れないようにしてしまう対策が挙げられます。他にも電子メールにセキュリティプロトコルを盛り込んだり、DNS認証を徹底させたり、社内のPCに余計なソフトウェアをインストールさせたりしないなど多岐に渡ります。各アプリケーションに対する情報セキュリティ技術です。
- OSセキュリティスキル
Windowsであれば内部情報の暗号化があり、UnixならPKIサービスユーティリティがあり、Trusted OSの様に情報セキュリティレベルの高いセキュアOSと呼ばれるものもあります。各OSが持っているセキュリティに関する知識です。
- ファイアウォールスキル
大きくソフトウェアタイプとハードウェアタイプに分かれます。WindowsOSにも装備されているので名前は聞いたことがある方も多いでしょう。ファイアウォールとはネットワーク上の主要な箇所に設置し不正なアクセスを抑止する仕組みの事で、この知識もセキュリティエンジニアには必要です。
- 侵入検知システムスキル
大きくDIS(不正侵入検知)とIPS(不正侵入防御)の機能があり、通常は複合的に用いられます。外部からのアタックにより情報が抜き取られる場合と、物理的な接触により情報が持ちだされる場合と両方の面から検討する必要があります。これら侵入検知システムに関する知識もセキュリティエンジニアには必要です。
セキュリティエンジニアの需要はこれからますます上がっていくことが考えられます。 現在はテレビやラジオよりもインターネットを利用する人が増え、普及率はどんどん上がっています。またIT企業だけではなくさまざまな企業、業種でIT技術が導入され活用されるようになっています。
そして実情として個人、企業問わずネット上でのセキュリティ被害が多発しています。個人情報や機密情報といった大切な情報を守るセキュリティエンジニアの需要は高く、将来性も高いのです。
セキュリティエンジニアの年収
- セキュリティエンジニアの年齢別年収推移
年齢 |
平均年収 |
20~24歳 |
313.5万円 |
25~29歳 |
340.5万円~390.5万円 |
30~34歳 |
329.0万円~429.0万円 |
35~39歳 |
385.5万円~489.5万円 |
40~44歳 |
429.0万円~550.0万円 |
45~49歳 |
494.0万円~616.0万円 |
50~54歳 |
550.0万円~660.0万円 |
55~59歳 |
544.5万円~654.5万円 |
60~65歳 |
345.5万円~654.5万円 |
(参照:平均年収.com 国税庁 年齢別階層年収)
- セキュリティエンジニアの職種別平均年収
保有資格 |
平均年収 |
CCIE保持者 |
750万円以上 |
CISM保持者 |
700万円以上 |
情報セキュリティスペシャリスト合格者 |
700万円以上 |
(参照:平均年収.com)
- セキュリティエンジニアの企業規模別平均年収
企業規模 |
平均年収 |
大企業 |
638.0万円 |
中企業 |
528.0万円 |
小企業 |
478.5万円 |
(参照:平均年収.com 厚生労働省 企業規模比率)
セキュリティエンジニアのデータ:平均年収、659万円。平均年齢、41.9歳。平均勤続年数、13.0年。平均従業員数910人となっています。
サーチファーム・ジャパンのサービス
サーチファーム・ジャパンでは、「セキュリティエンジニアエキスパート」エグゼクティブサーチ・ヘッドハンティング・採用支援において、確かな実績と支援体制がございます。
ご相談は、サーチファーム・ジャパン株式会社へ
- WEBフォーム
-
- メール
- order@search-firn.co.jp
- URL
- https://www.search-firm.co.jp/
- 所在地
サーチファーム・ジャパン株式会社
102-0083 東京都千代田区麹町1-7 相互半蔵門ビル
- 電話
- 03-3221-3481
参考・引用
・セキュリティエンジニアとは?仕事内容・年収からキャリアパス・なり方まで(manpowerjobnet.com)
・セキュリティエンジニアの仕事内容|スキルの習得・証明に役立つ資格も紹介(career.levtech.jp)
・未経験からセキュリティエンジニアになるためのポイント・資格を紹介(cybersecurity-jp.com)
・セキュリティエンジニアの仕事内容をチェック!(style.potepan.com)
・セセキュリティエンジニア 年収(heikinnenshu.jp)