セキュリティエンジニアの仕事・年収・キャリアパス|求人例も紹介!
セキュリティエンジニアとは、業務システムやインターネットサービスなどで欠かせない、情報セキュリティに関連する仕事を担当するITエンジニアです。企業コンプライアンスが重要視される現代では、あらゆる業界で情報セキュリティへの関心が高まっており、それを担うセキュリティエンジニアは引く手あまたの状況です。注目の高まるセキュリティエンジニアへ関心を持っている方も多いのではないでしょうか?
しかし、セキュリティエンジニアがどんな仕事をしているのか?具体的にイメージできる方はそれほど多くないかもしれません。そこで本記事では、具体的な仕事内容、年収相場、キャリアパスなどに基づいたセキュリティエンジニアの実態を、求人例も交えながら紹介していきます。
増大する情報漏えい・サイバー攻撃のリスク
セキュリティエンジニアへのニーズが高まっているのは、2003年に施行された「個人情報の保護に関する法律」によるコンプライアンス遵守のほか、インターネット社会の進展に伴ったサイバー攻撃リスクに、あらゆる企業が対処を迫られているからに他なりません。
ECサイトでの商品購入、Webサイトでの会員登録などで収集した個人情報は、他者への情報漏えいが起こらないように厳重に管理されなければなりませんが、事故原因の大半は管理者の人的ミスだといわれています。また、ホームページ改ざんやウイルス混入など、高度化・複雑化するサイバー攻撃を未然に防止し、万一の感染時に適切な対策を講じる必要もあります。増大する情報漏えい・サイバー攻撃のリスクからシステム・サービスを守るため、セキュリティエンジニアの重要性が増しているのです。
セキュリティエンジニアの仕事
それでは、セキュリティエンジニアは具体的にどのような仕事をしているのでしょうか?セキュリティエンジニアの仕事は多岐に渡りますが、主にコンサルティング領域、技術領域の2つに分類でき、フェーズによって担当するエンジニアが明確に異なる場合もあります。以下からは、広い意味でのセキュリティエンジニアの仕事をフェーズごとに簡単に紹介していきます。
情報セキュリティの企画・提案
対象となるITシステム・サービスの全体像を把握し、安全に運用していくうえで必要とされる情報セキュリティシステムを企画・提案するフェーズです。新規に構築するシステムに限らず、セキュリティに懸念のある既存システムも対象であり、企画・提案が通れば要件定義書への落とし込みも行います。このフェーズを担当するエンジニアを「セキュリティコンサルタント」と呼ぶこともあり、ISMSやプライバシーマーク取得を支援するのも仕事です。
情報セキュリティの設計・実装
要件定義書をもとに、情報セキュリティシステムを設計し、実際のシステムにセキュリティ対策を実装していくフェーズです。ネットワーク・セキュリティ機器のラッキングやコンフィグ・アクセス権を含めた各種設定、プログラミングもこの段階で行いますが、このフェーズを担当するエンジニアを、特に「セキュリティエンジニア」と呼ぶことが多いようです。サーバ・OS・アプリケーション・ネットワークなど、幅広いレイヤーに対応するセキュリティの知識・スキルが求められます。
ペネトレーションテスト・脆弱性診断
設計通りのセキュリティ要件が満たされているか?情報セキュリティシステムの実装されたサービスに対し、ペネトレーションテスト・脆弱性診断などを実施して確認するフェーズです。侵入・貫通といった意味のあるペネトレーションテストでは、実際にシステムへの侵入を試みることもあり、潜在的なセキュリティホールや脆弱性を検査する脆弱性診断と合わせて実施されます。このフェーズで問題が見つかれば、設計・実装工程に戻る必要があるため、セキュリティエンジニアの仕事である場合がほとんどです。
情報セキュリティの運用・保守
サービスインしたシステムにセキュリティインシデントが発生しないように、発生した場合は迅速に対応できるように運用・保守していくフェーズです。最新のセキュリティ情報を収集しながら、OS・アプリケーションのアップデートを実施するほか、通信データの監視・アクセス権の管理、ログファイルのチェックなどが具体的な仕事内容になります。このフェーズでは、運用・監視の定型業務を担当するセキュリティオペレーター、保守を担当するリーダー、管理者で運用・保守チームを組むケースが多くなります。
セキュリティエンジニアの正社員求人例
具体的な仕事内容が把握できたところで、セキュリティエンジニアに興味を抱いている方が転職のイメージを描きやすいように、正社員の求人情報をいくつか紹介しておきましょう。ある転職エージェントでのセキュリティエンジニア正社員求人は、検索時点で100件ありました。
脆弱性診断・セキュリティ対策のセキュリティエンジニア求人 ・必須要件:Webシステム開発経験2年以上、セキュリティエンジニア志望の方 ・歓迎要件:自主性を持って業務を進められる方 ・待遇:正社員、年収400〜800万円
セキュリティ監視・インシデント対応のCISOエンジニア求人 ・必須要件:CISOとして脆弱性対応管理、インシデント対応システム開発経験がある方 ・歓迎要件:ペネトレーションテストの経験 ・待遇:正社員、年収600〜800万円
Webアプリ・IoTデバイス脆弱性診断のセキュリティエンジニア求人 ・必須要件:脆弱性診断の経験4年以上、Webアプリ・IoTの診断業務経験 ・歓迎要件:ホワイトハッカーとしての実務経験 ・待遇:正社員、年収1,000〜1,200万円
セキュリティエンジニアのフリーランス案件例
セキュリティエンジニアとしてのスキルを磨けば、フリーランスとしての独立も可能なのか?自由な働き方を視野に入れる方がイメージを描きやすいように、フリーランス案件情報もいくつか紹介しておきましょう。あるフリーランスエージェントでのセキュリティエンジニア求人は、検索時点で81件ありました。
セキュリティ製品メーカーのサポートエンジニア求人 ・必須要件:セキュリティ製品のサポート経験、英語でのコミュニケーション能力 ・歓迎要件:WAFの経験、ネットワークの設計経験 ・待遇:セキュリティエンジニア、月/〜60万円
クラウドセキュリティ支援のエンジニア求人 ・必須要件:Windows / Linuxサーバ、クラウドの設計構築経験、テスト仕様書作成経験 ・歓迎要件:セキュリティ製品の経験、脆弱性診断ツールの経験 ・待遇:セキュリティエンジニア、月/〜65万円
インターネット向け要件定義支援のエンジニア求人 ・必須要件:業務要件定義の経験、Webサービスのプロジェクト経験 ・歓迎要件:コンサルタントとしての経験 ・待遇:セキュリティエンジニア、PMO、月/〜85万円
セキュリティエンジニアの需要
正社員求人、フリーランス案件がそれぞれ約8,600件、約1万1,000件あることを考えれば、セキュリティエンジニアの求人数はScala / Goなどの稀少言語と同等程度であり、現時点では決して需要が大きいとはいえないかもしれません。しかし、旺盛なITシステムの開発需要が続くなか、サイバー攻撃を含む外部脅威は日々高度化・複雑化しています。情報が最大の企業資産となる現代では、セキュリティエンジニアへの需要が増えることはあっても、仕事が減ることはないといってもいいでしょう。
セキュリティエンジニアの年収
求人例を見てもわかるように、セキュリティエンジニアの年収は幅広いのが特徴です。これは、担当する仕事のフェーズごとに求められる知識・スキルが大きく異なることが要因として挙げられます。設計・実装・テストを担当するセキュリティエンジニアであれば、30代で年収600万円程度が見込める一方、未経験者でも300万円程度からの就業が可能です。最高情報セキュリティ責任者(CISO)や、コンサルタントとして働ければ、年収1,000万円以上も可能でしょう。フリーランス案件を見ても、求められるスキルレベルに応じて報酬相場に幅があるのがわかります。
セキュリティエンジニアのキャリアパス
あらゆる業界で需要のあるセキュリティエンジニアは、教育制度によって社内SEを育成する企業も多く、未経験でも比較的チャレンジしやすいのが特徴です。その後のキャリアパスとしては、インフラエンジニアなどと同じようにスペシャリストを目指す、ゼネラリストを目指すという道が考えられます。簡単に解説していきましょう。
セキュリティアナリスト・CISO
まずは、情報セキュリティの管理・対処に関連するスペシャリストとして、セキュリティアナリスト、CISOを目指すという道があります。セキュリティアナリストとは、万一の場合のインシデントレスポンス(事後処理)や、デジタルデバイスに残されたコンピューター犯罪の痕跡を回収・調査するデジタル・フォレンジックなどを担当する、まさに情報セキュリティの対処に関するスペシャリストです。
一方のCISOは、最高情報セキュリティ責任者の名の通り、システム・ネットワークの安全管理から機密情報管理規程の策定などに幅広く携わり、企業戦略を踏まえたうえでセキュリティ施策の実行までを担う存在です。どちらもセキュリティに関する高度な知識が求められるのは同じですが、欧米で一般化しているCISOはまだまだ日本で馴染みが薄く、これから需要が高まってくる狙い目の職種といえるかもしれません。
セキュリティコンサルタント・ホワイトハッカー
情報セキュリティの企画・提案に関連するスペシャリストとして、セキュリティコンサルタント、ホワイトハッカーを目指すという道もあります。情報セキュリティの企画・提案を担当するという意味ではどちらも同じですが、ホワイトハッカーには、既存システムの脆弱性をチェックしてリスクを防止する、セキュリティエキスパートとしての側面を持つのが特徴です。上流工程を担当するためどちらも高額年収が期待できますが、特にホワイトハッカーはCISOと同様、今後の需要の高まりが期待される職種です。
プロジェクトマネージャー
情報セキュリティの設計・実装経験を積んだセキュリティエンジニアであれば、その知見を活かしたゼネラリストとして、プロジェクトマネージャーを目指す道もあります。サーバ・OS・アプリケーション・ネットワークなど、インフラを含めた各レイヤーに携わるセキュリティエンジニアであれば、開発案件を総合的に取りまとめるプロジェクトマネージャーとして活躍するのはそれほど難しくありません。
セキュリティエンジニアに有効な資格
セキュリティエンジニアになるために必要とされる資格はありませんが、求められる知識は情報セキュリティマネジメント、インフラ・アプリケーションセキュリティ、ファイアウォール、ウイルス、プロトコル、不正アクセス手法、各種法令など多岐に渡ります。転職を有利に進めるため、フリーランス案件を獲得しやすくするためにも、セキュリティエンジニアとしてのスキルをアピールできる資格を取得しておくのがおすすめです。以下に簡単に記述しておきます。
・シスコ技術者認定(CCNA Security / CCNP Security / CCIE Securityなど) ・情報セキュリティスペシャリスト ・ネットワーク情報セキュリティマネージャー(NISM)
まとめ
情報セキュリティをインフラエンジニアが担当することもある日本では、まだまだセキュリティエンジニアの存在感は薄いといえるかもしれません。しかし、欧米で確固たる地位を築いていることからもわかるように、セキュリティエンジニアの将来は有望です。インフラエンジニアからのキャリアアップもおすすめな、セキュリティエンジニアにチャレンジしてみてはいかがでしょうか?