高まるITセキュリティのニーズと転職市場
セキュリティ関連の社会の関心の高まり
ITセキュリティが求められる時代
国民の大多数がスマホによってインターネット上のデータに毎日アクセスし、IoT(モノのインターネット)によりあらゆる家電や機器がネットワークに接続され、企業の管理するデータの肥大化の進展、クラウドを利用した社外ネットワークでの情報管理への移行など、IT社会の急速な発展は、情報セキュリティへの対策と備えに対する社会的関心を強く喚起しており、企業にその対策を否が応なく迫っています。
ITセキュリティと企業リスク
ITセキュリティが不十分な場合、企業のリスクは非常に大きくなる傾向にあります。万一「情報漏洩」が発生し、従業員や顧客の情報などが外部に漏洩してしまった場合、企業の社会的信頼が大きく揺らぎ、甚大な金銭的・社会的損害を受ける場合があるためです。 さらに、個人情報に関しては、近年非常に厳格な管理を求められるようになっています。個人情報を流出させてしまった場合、損害賠償や行政指導などの問題に発展し、ここでも企業は大きなリスクに晒されることになります。
ITセキュリティに関連した多くの重大事件発生
こうした傾向に加えて、最近大きなセキュリティ関連の事件が多く発生しました。マカフィーが2019年12月17日に発表したところによれば、2018年11月から2019年11月までに報道されたセキュリティ事件に対する、国内在住のビジネスパーソン1,552人の認知度(複数回答)をインターネット調査した結果を基にランク付けしたところ、社会を揺るがした次の重大事件が注目を浴びたとしてピックアップされました。
1位 スマホ決済サービスアプリの不正チャージ・利用問題
2019年7月1日にサービスを開始したコンビニ決済アプリが、スタート直後から不正チャージや利用が相次ぎ、多くの不正利用被害が確認された。サービスは9月30日に終了。2要素認証などに関する認知が広がる。
2位 運輸会社のWebサイトへの不正ログイン
パスワードリスト型攻撃が行われ、3,467件のアカウントがハッキングされる。金銭の絡むサービスでのID・パスワードの使いまわしの危険が認識された。
3位 中国の大手通信機器メーカーが安全保障上の理由で5G対応機器から除外
米中貿易摩擦の余波で、中国の大手通信機器メーカーの5Gネットワーク機器が安保上の理由から締め出された。国や企業が関わる現実世界の経済活動に影響が出た事例。
不足するITセキュリティ技術者
このような時代の変化の中で、企業ではITセキュリティの専門家がますます強く求められています。ところが、情報セキュリティの技術者は非常に不足しているのが現状で、2020年には、不足数が19.3万人にも達すると見込まれています。このような量的な不足の理由としては、本業の忙しさが多く挙げられており、 また質的な不足の理由としては、特に中小企業などで教育やトレーニングを行う余裕がないことが多く挙げられています。
さらに細かく見ていくと具体的には ・業務繁忙のため人材の増強が追い付いていない ・募集をしても必要な経験やスキルを有する応募者が少ない ・本業が忙しく、情報セキュリティにまで人材が割けない ・社内に情報セキュリティ業務の適任者が少ない ・将来的にも現在並みの業務量が確保できるとは限らないので増強できない ・人材の流動が大きい などが挙げられています。
このような状況の元、今後就職や転職の場面でもITセキュリティ技術者へのニーズは益々高まっていくことが予想されます。
転職や就職でセキュリティ関連のIT資格を持つことのメリット
こうした背景の元で、エンジニアやエンジニア志望の人が、セキュリティ関連のIT資格を持っているとどんなメリットがあるのでしょうか。
(1)就職や転職時に有利
何と言っても、就職や転職で有利になることが、第1のメリットでしょう。他のエンジニア系資格にも共通するところですが、情報セキュリティの仕事についてどれだけの専門知識を持っているかについて、客観的に証明できるところは資格保持者が転職に臨む際の最大の強みと言えます。特にITセキュリティ関連の専門知識は、高度な技能と経験が要求されます。資格と経験を持っていれば就職・転職などで面接でも強く自己アピールをすることができるので、断然他のライバルに差をつけることができます。
(2)就職後や独立・次の転職にも有利
情報セキュリティ関連の資格を持っていると、転職や就職後にも社内の昇進や昇格で有利につながります。ITセキュリティに限らず、エンジニアが資格を持っているかどうかを重視している会社は多いので、補助金や特別な手当が出る会社も多くあります。また、高度なITセキュリティの知識は、なかなか社内経験だけでは取得が難しいケースもあります。そのため、専門的な技術や知識を持っている情報セキュリティの専門家として認められれば、社内で研修講師などをすることにより活躍の場が広がることも考えられます。 情報セキュリティの業務は外部に委託している企業も多いので、セキュリティベンダーとの折衝担当にもセキュリティ資格の保持者は歓迎されるでしょう。 将来、さらなる転職や独立して働くことを考えているとすれば、ここでも資格を持っていることは有利につながります。
主なセキュリティ関連のIT資格
では就職や転職、昇進で役に立つと思われるセキュリティ関連のIT資格にはどのようなものがあるのでしょうか。ここで主なものについて触れてみたいと思います。
情報セキュリティマネジメント試験
国家試験である情報処理技術者試験の1区分。対象者像は、「情報システムの利用部門にあって、情報セキュリティリーダとして、部門の業務遂行に必要な情報セキュリティ対策や組織が定めた情報セキュリティ諸規程(情報セキュリティポリシを含む組織内諸規程)の目的・内容を適切に理解し、情報及び情報システムを安全に活用するために、情報セキュリティが確保された状況を実現し、維持・改善する者」とされています。 合格率は50%台程度で、難易度は5段階で表した場合の3段階程度とされます。
情報処理安全確保支援士試験
経済産業大臣が認定する国家資格。対象者像は、「サイバーセキュリティに関する専門的な知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分析・評価を行い、その結果に基づき必要な指導・助言を行う者」とされており、合格率は約16%。 試験の難易度は、5段階で表した場合の4段階程度で、難しい資格といえます。
CompTIA Security+
ベンダーニュートラルの認定資格。基本的なITセキュリティのスキルと知識を評価される国際的に認められた認定試験で、世界中の企業およびセキュリティプロフェッショナルに活用されています。 対象者像は、アプリケーション、ネットワーク、デバイスのセキュリティを確保するために必要なシステムのインストールと設定、プラットフォームへの脅威を分析して適切な手法で緩和する対応、関連するポリシーや法規制を正しく認識した運用を行うために必要な知識とスキルを持つことを証明します。また、これらのタスクを、機密性、完全性、可用性の三大要件を維持して実行が可能なスキルを証明します。 試験の難易度は5段階評定の2段階程度。比較的チャレンジしやすい資格といえます。
シスコ技術者認定「CCNA(Cisco Certified Network Associate)」
世界最大手のネットワーク関連機器メーカー、シスコシステムズ社が実施。ネットワークエンジニアの技能を認定する試験です。ベンダー資格ですが、世界的に見ても広く認められている国際資格で、同社の主力商品に関する技術力の証明となるだけでなく、基礎的なネットワーク技術を持つことの証明にもなります。 非常に多くの認定試験がありますが、セキュリティ関連では以下があります。
アソシエイトレベル:CCNA Security(Cisco Certified Network Professional Security)
セキュリティインフラの開発知識、ネットワークの脅威や脆弱性に関する知識、セキュリティ上の脅威の低減などに関するスキルが必要とされます。
プロフェッショナルレベル:CCNP Security(Cisco Certified Network Professional Security )
ルータをはじめとするネットワーキングデバイスや、アプライアンスのセキュリティなど、幅広いネットワークの知識が必要とされます。難易度は5段階評価中の4段階程度で、難しい資格といえます。
エキスパートレベル:CCIE Security(Cisco Certified Internetwork Expert Security)
システムと環境、現在のセキュリティ リスク、脅威、脆弱性をすべて理解し、最新のベストプラクティスを活用して、ソリューションを構築できるだけの知識とスキルが問われます。難易度としては「もっとも難しい資格」のひとつとされています。
Cisco Certified DevNet Professional
コア試験とソフトウェア開発者向けのコンセントレーション試験(選択式)の2つから構成されています。認定の取得には2つの試験に合格することが必要です。 コア試験は、ソフトウェア開発およびデザインの知識が主な出題範囲です。セキュリティ、インフラストラクチャおよび自動化なども含まれます。コア試験に合格した段階でスペシャリスト認定を取得できますので、最終合格は未達成の段階でも、学習の成果は一部認定されることになります。 コンセントレーション試験は、最新のテーマと業界固有のテーマが重点的に出題されます。エンタープライズに関する自動化、セキュリティに関する自動化、DevOps に関する自動化、IoT、クラウドなどを含みます。戦略的なテクノロジー分野に関する高度な専門知識が求められ、非常に難しい試験であると言えます。
※シスコの技術認定試験にはエントリーレベルのCCENT (Cisco Certified Entry Networking Technician)がありましたが、2020年2月24日にCCNA(200-301)試験に統一されました。
まとめ
IoTやビッグデータの活用、企業のクラウド導入が進捗する中で、ITセキュリティ技術者は非常にニーズが高いジャンルですが、まだまだ不足している現状ですので、ITセキュリティの専門技術を身につけているエンジニアは、転職市場でも歓迎される傾向があり、また転職後にも責任あるポジションを任される可能性があります。こうしたITセキュリティのスキルを身につけていることを証明するには、ITセキュリティ関連の資格を取得することをお薦めします。本稿では代表的なITセキュリティ関連の資格を紹介してきました。