サイバー攻撃で仮想通貨が盗まれた!
IT分野で起こる事件や犯罪をニュースで知ることが増えています。情報の「機密性」や「完全性」、「可用性」が求められる今、インターネット上で繰り広げられるサイバー攻撃からシステムを守ることが、セキュリティエンジニアの任務なのです。
この記事の目次
セキュリティエンジニアとは
プログラマーやシステムエンジニア、Webエンジニアなど、IT系エンジニアの職種にはさまざまなものがあり、セキュリティエンジニアもその1つです。
セキュリティを専門にするセキュリティエンジニアは、情報化が進む現代社会に欠かせない重要な役割を担っています。
セキュリティの重要性
サイバー攻撃による個人情報漏洩は、企業の信頼の失墜につながります。また、ウィルスの侵入と感染によるシステムの不具合の発生、機密データの破損や漏洩は、企業活動に多大な被害と影響を及ぼします。
これらの脅威から身を守るため、企業は情報セキュリティを重要視し、保守運用に力を注いでいるのです。
セキュリティエンジニアの主な仕事内容5つ
ここでは、セキュリティエンジニアがどのような仕事をしているのかを紹介します。企業の中でどういった役割を担っているのか、どのように仕事を進めていくのかを理解しましょう。
1.企画・提案
システムのコンサルティングを元に要件の集積や分析を行い、どのようなセキュリティが必要なのかを企画・提案します。
2.設計
セキュリティに配慮したシステムの設計を行います。ネットワーク、サーバー機器などのハードウェア、アプリケーション、システムの運用まで、すべてを網羅し設計します。
3.実装
セキュリティに配慮したシステムの実装を行います。ネットワーク機器やOSの設定に加え、プログラミングもします。
設計と同様に作業範囲が広いうえ、セキュリティに関する専門的な知識が必要です。
4.テスト
脆弱性診断、脆弱性検査とも呼ばれ、実装したシステムの脆弱性を発見するためのテストの実施と対策をします。ソースコードのチェックや、潜在的な脆弱性を見つけるための擬似的なサイバー攻撃などを行います。
5.保守・運用
導入したシステムを安全に運用するため、保守業務を行います。常に最新の情報を入手し、OSやアプリケーションのアップデートを実施します。
サイバー攻撃があったときの事故対応や、システム障害などに対処できるスキルが必要です。
セキュリティエンジニアに必要な知識5つ
サーバーやOS といったエンジニアに必須の知識はもちろん、ネットワークやIT関連の法律、セキュリティやシステムの保守、IT関連の知識や情報もセキュリティエンジニアには求められます。ここでは、セキュリティエンジニアに必要な5つの知識についてまとめました。
1.サーバー
インターネットを通じてやりとりするときの、「サービスを提供する側のコンピュータ」のことを指します。ファイルの保管、情報処理、コンテンツの提供を行います。
ネットショッピングやホームページの閲覧、メールのやり取りなど、インターネットを介してできることの全てを、サーバーが提供しています。たくさんの処理を行う中心的なサーバーは、サイバー攻撃の標的になりがちです。
2.OS
Operating Systemの略で、パソコンのハードとソフトを管理し、ユーザーにとって使いやすい環境を作り出すシステムソフトウェアです。パソコンやスマートフォンは、OSをインストールして初めて使えるようになります。WindowsやmacOS、AndroidやiOSが主な代表例です。
パソコン同様、企業のサーバーにもOSが組み込まれており、OSには脆弱性が発生する可能性があります。セキュリティエンジニアはOSがサイバー攻撃を受けないよう保守します。
3.セキュリティ関連
セキュリティ関連の知識は、セキュリティエンジニアに必須です。とはいえその守備範囲は幅広く、OSの脆弱性に関する情報やアップデート、アプリケーションの更新、ウィルスやサイバー攻撃の情報など、関連するあらゆる知識や情報をチェックし、新たな知識を吸収し続けなければなりません。
4.ネットワーク
ネットワークとは、複数のコンピュータやサーバーをつないだ通信網のことです。サーバーは基本的にいつでもネットワークに繋がっており非常に便利ですが、ネットワークにつながっていないスタンドアローンでの使用よりも、サイバー攻撃やウィルス侵攻の可能性が上がります。
設計や保守を行うセキュリティエンジニアにとって、サーバーを繋ぐネットワークについての基礎知識は必須です。
5.IT関連の法律
IT関連の代表的な法律は「不正アクセス行為の禁止等に関する法律」や「個人情報の保護に関する法律」などが挙げられます。セキュリティエンジニアの仕事は、IT関連の法律を遵守しなければなりません。
法律に改正はつきものです。最新情報をチェックして日々更新し、現状にマッチしたセキュリティシステムを作っていくことも大切な業務です。
セキュリティエンジニアに有利な資格5つ
セキュリティに関する資格の中から、セキュリティエンジニアにとって有利な資格を5つ紹介します。セキュリティやサーバー保守に関する資格は、セキュリティエンジニアとしての実力を推し量る目安になります。ステップアップしたいなら取得しておきたい資格を、5つ紹介します。
1.シスコ技術者認定
シスコ社が行う「シスコ技術者認定」の中に、セキュリティ分野における認定資格制度があります。受験するにあたっての前提条件は特にありませんが、資格レベルに合わせてある程度の実務経験があることが望ましいです。
- CCT…基礎レベルの資格 IT分野の基本的な知識を認定
- CCNA …セキュリティエンジニアなど、IT分野で働くための基礎レベルの資格
- CCNP Security…セキュリティエンジニアの上位レベルの資格
- CCIE Security…国際的に通用する最高難易度の資格
一流のセキュリティスペシャリストとして評価される
2.CompTIA Security+
CompTIAが実施する資格試験です。国際的に認知されており、技術者としてのスキルの高さを証明するのに十分な資格です。
- ネットワークセキュリティ
- コンプライアンスと運用セキュリティ
- 脅威と脆弱性
- データ、アプリケーション、ホスティングセキュリティ
- アクセスコントロール
- 認証マネジメント
- 暗号化
などの分野から出題されます。受験するためには、セキュリティ関連における2年以上の業務経験などが必要です。
3.NISM(ネットワーク情報セキュリティマネージャー)
セキュリティ専門家の育成を目的に、攻撃者による不正なアクセスなどの危険性に対処するため創設されたベンダーフリーの資格です。下記4つの項目から成り立ちます。
- ネットワークセキュリティの基礎
- ネットワークセキュリティ実践
- サーバーセキュリティ実践
- セキュリティ実践管理
NISM推進協議会が実施する資格認定講習を受講し、認定試験に合格するとNISMとして認定されます。(ただし、2021年3月末をもって廃止となります。)
参考/ネットワーク情報セキュリティ|一般社団法人 電気通信事業者協会
4.CISM(公認情報セキュリティマネージャー)
国際団体ISACAが認定を行う国際的な資格です。セキュリティマネージャーやセキュリティコンサルタントなどが必要とする知識や技術、経験を認定します。セキュリティプログラムのマネジメントや設計、監督などを行う情報システム監査人を対象としています。
CISMとして認定されるには、試験合格のほかに、5年以上の業務経験(うち3年以上は情報セキュリティ管理に関する業務経験)が必要です。
5.情報処理安全確保支援士試験
国家試験である情報処理技術者試験の中の1つです。セキュリティプログラミングやネットワークに関する幅広い知識が求められ、日本国内で実施されるセキュリティに関する資格の中では最難関です。
システムの脆弱性を分析しネットワークやサーバーを守る、セキュリティのエキスパートを目指せます。
参考/情報処理安全確保支援士試験-情報処理技術者試験-IPA
セキュリティエンジニアのやりがいと年収
高い専門スキルを武器に、企業やユーザーをサイバー攻撃やウィルスから守るのがセキュリティエンジニアのミッションです。
テストの段階でシステムの脆弱性をいち早く見つけられれば、事故を未然に防いだというやりがいが感じられるはずです。また、資格を取得することで、体系的な知識が身につき、スキルアップしている実感を味わえるのも魅力です。
セキュリティエンジニアの気になる年収ですが、経済産業省「IT関連産業の給与等に関する実態調査結果(平成29年8月21日)」によると、IT技術スペシャリスト(特定技能(DB・NW・セキュリティに関する)」の平均年収は758.2万円です。
IT関連の職業の中では比較的年収が高く、高度なスキルが要求される一方で、そのスキルが高い評価を得ていることがわかる結果になっています。
セキュリティエンジニアの動向
セキュリティエンジニアは、情報セキュリティに特化し、高い技術と豊富な経験を持つエンジニアです。「個人情報保護法」の施行により、ISMS取得やプライバシーマーク取得を目指す企業が増えたため、取得を力強くサポートしてくれるセキュリティエンジニアの需要も高まっています。
ところが、日本国内における人材不足はかなり深刻です。総務省による「我が国のサイバーセキュリティ人材の現状について(平成30年12月)」には、2016年の時点で情報セキュリティ人材が13.2万人不足と推計しており、2020年には19.3万人に達すると見込まれています。
中小企業の過半数で情報セキュリティ担当者が不在、いたとしても4割が他の業務と兼任しているという状況です。セキュリティ人材は慢性的に不足している状態が続いているのです。
セキュリティエンジニアを目指すには?
セキュリティエンジニアは、スキルや資格さえあればできる仕事ではありません。どんな人に向いている仕事なのか、確認してみましょう。
向いている人
【周囲と意思疎通を図るのが得意】
企画時には、クライアントはもちろん他部署との連携が必須です。設計時には、周囲と協力して進めていくため、コミュニケーションスキルが求められます。
【責任感やモラルがある】
企業の大切な情報に触れることに責任が持てる人、モラルある行動ができる人が好ましいです。甚大な被害が出ることを未然に防ぐ仕事はプレッシャーが大きいので、精神的にタフな人が向いているかもしれません。ホワイトハッカーとして活躍したい人にもピッタリな職業です。
【学ぶのが好き】
常に最新の知識を身につける必要があるので、勉強をして資格を取得していくことに楽しみを見出せる方におすすめです。
キャリアパス
アプリ開発やインフラ開発をしていたエンジニアが、セキュリティの重要性に気づいてセキュリティエンジニアへキャリアチェンジすることが多いようです。
その後は、監査法人のようなセキュリティコンサルタント、コンプライアンス部門の情報セキュリティ担当へキャリアアップしたり、プロジェクトマネージャーのようなマネジメント系へキャリアチェンジしていくケースもあります。
未経験から目指せる?
セキュリティエンジニアは不足しているうえ、さらにニーズが高まっていく職種です。未経験者を採用してイチから育てていく企業も少なくありません。
とはいえ、情報論理、計算機工学、OSやセキュリティ、プログラムはもちろん、セキュリティマネジメント、ネットワークセキュリティ、システムセキュリティ、サイバー攻撃に関する知識など、ありとあらゆる分野の技術知識が求められるので、まずはアプリやインフラの開発、ネットワーク構築というような周辺領域でスキルアップし、セキュリテイエンジニアにステップアップしていくのが現実的でしょう。
まとめ
ネットワークやサーバー、コンピュータの存在は、企業がスムーズに業務を進めていくために必要不可欠です。同様に、情報を守るセキュリティエンジニアの存在も欠かせないものなのです。
セキュリティエンジニアになるには、セキュリティ関連の最新情報のチェックはもちろん、OS、サーバー、IT関連のさまざまな知識が必要です。周辺領域での学びを大切に、有利な資格を取得して、確かな技術を持つ守護神として活躍していってください!
