中川貴史 
お気に入りに追加
元来、セキュリティエンジニアという仕事は、ネットワーク領域での技術対策のみを指すような、やや限定的な業務でした。
しかし近年はサイバー攻撃の手法が多様化しており、あらゆる場面でセキュリティインシデントのリスクがあります。
特に最近では海外由来のサイバー攻撃が増加しており、攻撃者・攻撃手段も多様化しているという状況です。
こういった状況下では、従来のようなネットワークの対策のみでは対応しきれず、アプリケーション領域の知識や法令対応など、セキュリティ領域に求められる対応範囲が広がっています。
本記事では、話題となっている「セキュリティエンジニア」の年収/待遇/キャリアパス/業務内容について、どこよりも詳しく解説しております。
セキュリティエンジニアの仕事内容
まずはセキュリティエンジニアの実際の仕事について、中心的な業務をご紹介します。
セキュリティ戦略立案
前述した通り、現在は様々な領域にセキュリティ関連業務が広がっております。
特に最近だと、コンサルティングファーム・一定以上のセキュリティ予算を持つ大企業を中心に、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)やCRO(Chief Risk Officer:最高リスク責任者)といった職種が設置されるようになってきています。
これらの職種に就く方々を中心として、「どういう予算で、どのように自社のセキュリティを強化していくか」「全社戦略から、どうセキュリティ戦略にブレイクダウンするか」「いつまでに、どんなセキュリティの実行施策を行うか」といった全社的な戦略が必要になっており、それらを担うのがセキュリティ戦略担当の方の主な業務です。
その他にも、各種プロジェクト補佐や社内セキュリティの仕組みづくり(人材育成、啓発、社内外の会議運営等)、各種セキュリティガイドラインの全体統括など、より現場に近いところでのプロジェクト進行も重要な業務となります。
ソリューション企画・導入
最近の企業のIT環境においては、SaaSなどの既にパッケージ化された外部ソリューションを導入し、各パッケージごとに規定された仕様や要件に合わせる形で業務を設計するケースが増えています。
企業が、最新のセキュリティ事例を追いながら、自社業務を常にチューニングし続けるということには大変な労力がかかります。そこで、有力な外部ツールに業務フローも合わせることによって、常に最新かつ高いセキュリティレベルを維持しようとする動きが見られます。
そういった中でニーズが高まっているのが、「ソリューション企画・導入」の業務です。
セキュリティに関係するソリューションということで言えば、ID管理やパブリッククラウド(AWSやAzure等)に関するガバナンスを提供するソリューションや、ネットワーク領域を中心にリアルタイムにログを収集・分析するサービスも多く出てきています。
それらのソリューションに関して、何を/いつまでに/どう導入・運用していくのかを企画・進行するのがソリューション企画・導入の業務内容となります。
(特にセキュリティ予算の大きい金融機関などでは、セキュリティに関係するソリューション企画・導入だけでチームを作っていることも少なくありません。)
なお、EDR・SIEM・IDaaS等、ここ数年で取り沙汰されてきた新しい領域のセキュリティツールに関しては、様々なベンダーがソリューションをリリースしており「どれが良いのか分からない」という状況が続いてきました。
ただ、徐々に市場も整地されてきており、各領域ごとに、おおよそ「このツールが網羅的で有力」というメインプレイヤーが決まってきました。
こうした背景もあり、あらゆるソリューションの知識が豊富な方というよりは、世間に浸透しつつあるベストプラクティスや実事例をもとに、自社に最適な体制を考えられる人材が特に求められている傾向にあります。
CSIRT
CSIRT(Computer Security Incident Response Team)とは、サイバーセキュリティや情報セキュリティの事故対応を担当している専門チームのことです。
実際に事故が起きた際、インシデントの原因を取り除いて如何に素早く業務・システムを通常の状態に戻すかがミッションとなります。
CSIRT組織を機能させるためには、事前にインシデント発生時の対応策(事故が発生した際にどのような流れで復旧に向けて動いていくか、どういう報告経路でいつまでに誰に対して対応を求めるか等)を決めておく必要があります。
こういった事前準備もCSIRT部隊の業務内容に含まれます。
最近は対応しなくてはならないインシデントが激増していることもあり、どこの会社においてもCSIRTが設置されている場合がほとんどです。
今後、よりセキュリティに関連する仕事の一端を担う重要な役割を担っていくものと思われます。
SOC
SOC(Security Operation Center)は、24時間365日、ネットワークを中心に監視をし続け、リアルタイムで不正アクセスやセキュリティ攻撃に関する監視・分析するチームのことです。
元々はセキュリティベンダーやコンサルティングファームがMSS(Managed Security Service)という呼称で定常的なサービスとして提供するケースが多かったものの、ここ最近は高いセキュリティレベルが求められる金融機関を中心に、SOC部隊を内製化する動きも出てきています。
SOC内製化の動きが増加している背景としては、各企業の攻めのDX(自社事業として新しいデジタルサービスを企画・提供するなど、事業の売上が増えるようなデジタル施策)の台頭があります。
新規デジタルサービスの中には、利用者の様々な個人情報をシステムに入れて利活用していくサービスも少なくなく、デジタルサービスに関わる仕様変更など一つ一つを毎回ベンダーに依頼していると、期間・費用がかさんでいってしまうという課題があります。
そこで、SOCの専門チームを自社内に構築することで、これまで以上に迅速且つ快適にサービスを提供しようとするのが各企業の目的となります。
脆弱性診断/ペネトレーションテスト
脆弱性診断ないしペネトレーションテストは、以前からセキュリティ業務として広く知られている業務で、セキュリティのアセスメント等に使われる基本的な技術です。
脆弱性診断とは、脆弱性(システムのセキュリティホール等:システムが老朽化したり新たな攻撃手法の誕生によって生まれたセキュリティ上の欠陥)を見える化することです。
ネットワークやOS、ミドルウェア、Webアプリケーションなど、最近では様々なシステムや周辺機器へと診断対象が広がっています。
次にペネトレーションテストとは、悪意ある攻撃者を想定した実際的な対策のための支援です。
セキュリティホールを早期に見つけて改善することで、情報漏洩やサイバー攻撃等に起因する重大なインシデントの防止に繋がります。
現在これらの業務も非常に幅が広がっており、特にペネトレーションテストは攻撃手法の多様化に伴って対象範囲が急激に拡大しています。
最近だと、SOCの範囲からOffensive Security・Red Teamへとさらに個別特化させた部隊が構築されるケースも増加しています。
Red Teamとは、悪意ある攻撃者を想定し実際にシステムを攻撃することで、企業が抱えているセキュリティホールをあぶり出す役割を担うチームです。
組織から独立した立場で、事前に知らせることなく突然行われるのが特徴です。
また、最近では有事対応だけではなく、受け手側が能動的に攻撃側の情報収集を行うケースも増えています。よりセキュリティ投資に積極的な企業になってくると、専門のホワイトハッカーチームを自社に有するケースまで出てきています。
これらの事例からも、セキュリティエンジニアの対応範囲と求められている役割が急激に広がっていることが分かります。
脅威インテリジェンスアナリスト
脅威インテリジェンスアナリストは、グローバルネットワークを活用してCI(サイバーインテリジェンス:脅威アクターやマルウェア、攻撃者の情報(攻撃者の位置や攻撃手法)等)を集めることで、事前に攻撃に備えるという役割を担っています。
この業務内容専任で求人が出ているのは、大手のコンサルティングファームやセキュリティに大きな予算を採る金融機関が中心ではあるものの、一方で最近ではグローバルネットワークが拡充したことにより、一般的な企業でもCIに安価にアクセスできるようになったため、一般企業でもCIの導入事例が増えてきています。
実務内容としても、リサーチャーやアナリスト等のような方々(ITの知見は薄いもののリサーチ能力が極めて高い人材)も活躍するケースが増えており、様々な業務にセキュリティが関係するようになっている象徴的な領域の一つと言えます。
セキュリティエンジニアの業務内容を熟知したコンサルタントへ相談する>
セキュリティエンジニアの年収
元々は一介の作業者というイメージが強かったセキュリティエンジニア職でしたが、近年は活躍のフィールドが急激に広がっていることもあって、高い年収を出して優秀な人材を採用しようとする企業が急増しています。
例えば、いわゆるセキュリティベンダーに在籍されているセキュリティエンジニアの年収相場は、以前までは「課長職に上がれば800万円〜」といったような企業も多かったのが実情です。
年収を上げるにはマネジメント職に就くしかなく、専門性・技術と年収を両立するのが難しいという悩みを持つ方も少なくありませんでした。
一方で、最近ではマネジメントラインとは別に、スペシャリストラインの拡充を進める企業も増えています。
必ずしも組織マネージャーというわけではなくとも、高い専門性があれば課長級の年収レンジを獲得できるようになってきました。
また、金融機関のように高いセキュリティレベルやガバナンスが求められる企業においては、セキュリティに大きな予算を割いている場合が多く、年収レンジも高いのが特徴です。
大手金融機関では、担当者クラスで年収1000万円を超える企業も多く、セキュリティ人材の採用にも力を入れているため、セキュリティエンジニア全体の平均年収が底上げされています。
過去に我々コトラがエージェントとして転職を支援したケースでは、元々年収800万円だった方が、転職を経て1300万円のオファーを掴み取ったケースもあります。
さらに、マネージャーポジションでの転職が実現すれば、年収レンジの高い企業であれば1,500〜2,000万円以上の年収レンジでのオファー実績も多数ございます。
ただ前述のように、その企業がどれだけセキュリティに力を入れているか(予算を割けるか)、どのくらいの年収レンジを持っているかなどが希望する待遇の実現にあたって大事になりますので、技術的な専門性/各企業の待遇情報の両面の目利きができる専門的なエージェントから話を聞くことが大切になってきます。
コトラでは、セキュリティエンジニア出身としてこの領域を担当しているエージェントが在籍しています。転職市場の情報に興味があれば、ぜひご相談ください。
www.kotora.jpセキュリティエンジニアに求められるスキル・知識
本章では、我々コトラがこれまでミドル〜ハイクラス層を中心に多くの方々の転職を支援してきた実績を基に、実際にレベルの高い候補者様が身につけていた能力についてご紹介します。
セキュリティ領域への転向をお考えの方はもちろん、現在セキュリティ領域にてご活躍の方もぜひご参考にしてください。
システム(アプリ・インフラ両面)に関する知識・経験
セキュリティエンジニアとして実績を積んでいくにあたって、基本的なスキルセットになってくるのが「システム(インフラもしくはアプリケーション)」に関する知識・経験です。
セキュリティ人材が不足している現在、セキュリティに関する直接的なご経験がなかったとしても、インフラ側/アプリケーション側のいずれかのご経験があれば、セキュリティエンジニアへの転職は可能です。
※これまでのセキュリティは主にネットワークに起因するものが中心でしたが、最近はアプリ系のセキュリティ対策を求める求人も増加傾向であるため、スコープが拡大している状況です。
ランサムウェアやサイバー攻撃に関する知識
昨今、脅威アクターや攻撃者の手法は急激に幅を広げており、最適な方法でシステムを守るために常に最新の情報を取得し続ける必要があります。
例えば、以前から社内システムに組み込まれていたネットワーク機器のうち、たった一つに脆弱性(セキュリティホール)があったにも関わらず、企業がそれに気付かず使用を続けてしまい、重大なインシデントが発生した事例もあります。
企業は「どういったものがセキュリティの脆弱性になるのか」「脅威アクターや攻撃者がどういった攻撃をしているのか」といった最新情報を常に収集し続ける必要があります。
そのため、大元となるランサムウェアやサイバー攻撃に関する知識はもちろん、常に最新の情報へとアップデートしていくことが何よりも求められる職種となります。
全社リスク・法律に関する知識
従来のセキュリティエンジニアの業務は、情報システム部門のごく一部という位置づけであり、ITエンジニアが業務の片手間に対応をしていれば十分といったものでした。
ところが近年は、DXの加速、グローバル環境への対応、個別法令・ガイドライン(個人情報保護など)回りの対応ニーズなどが多岐にわたっており、いわゆるITエンジニアが対応しきれないセキュリティニーズも急増しています。
特にプライバシー領域に関しては、2022年4月の個人情報保護法改正以降、企業に求められるプライバシー対応のレベルが上がっています。
また日本企業が海外進出するにあたって、日本の個人情報保護法等の基準のみならず、現地の法律や商習慣に習う必要も出てきています。
セキュリティ対策に法令対策や個人情報保護、グローバル等、様々な要因が複雑に絡み合って構成されている今、システムエンジニア以外の幅広い職種の方にも対象が広がっています。
セキュリティエンジニアに詳しいコンサルタントへ転職相談(無料)する>
セキュリティエンジニアになるには
本章では、実際にセキュリティエンジニアになるための入口についてご紹介します。
かなり広く門戸が開かれておりますので、ぜひご参照いただければと思います。
システムエンジニア(アプリ・インフラ)の経験を積む
前述の通り、アプリ若しくはインフラのいずれかの知識を有していれば、転職が可能となっています。
その理由として、今やあらゆる業界でセキュリティ人材が慢性的に不足しており、ポテンシャルとして活躍が見込める方であれば広く募集をかけているためです。
特に顕著なのは、コンサルティングファーム・SIer・セキュリティベンダーです。
ITコンサルティングやシステム構築、セキュリティサービスを提供している業界ですが、特にセキュリティに関するコンサルティングのニーズは増加の一途を辿っており、クライアント企業から相談が来てもリソースが足りず案件を断っている企業も少なくありません。
こういった企業においては、セキュリティ経験者の採用だけではクライアントからのニーズに応えられないため、未経験者でも採用して丁寧に育成するというフローを組んでいます。最も間口の広い転職先と言えます。
セキュリティの専門資格を取得する
セキュリティに関わる職種においては、資格の取得もかなり重要な戦略になってきます。
現職での社内異動の場合でも、セキュリティの高度資格を持っているだけで希望が通りやすくなりますし、セキュリティベンダーやSIerといった顧客向けの業態においては「セキュリティの資格を有している方がどのくらい在籍しているか」が案件の受注成否にも関わってきますので、セキュリティ関連の職種への転向や昇進に大きく影響します。
セキュリティ関連の資格といっても非常に多くの種類がございますが、本記事ではメジャーな資格をご紹介いたします。
| 主催機関 | 資格名 | 概要 |
| (ISC)2 | CISSP | 国際的な情報セキュリティの上級資格 |
| (ISC)2 | SSCP | ネットワークシステムの開発・運用を行う人向けのセキュリティ資格 |
| (ISC)2 | CCSP | セキュリティの中でも、クラウドセキュリティに関する高度資格 |
| 国家資格 | 情報処理安全確保支援士試験 | 国内のセキュリティ資格における最もメジャーな高度資格 |
| 国家資格 | 情報セキュリティマネジメント試験 | 比較的歴史の浅く、セキュリティの入門編として認知の広がってきている国内資格 |
| ISACA | 公認情報セキュリティマネージャ(CISM) | 情報セキュリティに特化した、マネジャー・役員向けの資格 |
| Cisco | シスコ技術者認定 | CCENT、CCNA Security、CCNP Security、CCIE Securityの順に高度となる、Ciscoが主催するネットワークエンジニア向けのインフラ/セキュリティ資格 |
| AWS | AWS認定セキュリティ | AWS運用者に向けたセキュリティ資格 |
| CompTIA | CompTIA Security+ | システムエンジニア向けのセキュリティ・リスクに関するグローバル資格 |
| 全日本情報学習振興協会 | 情報セキュリティ管理士認定試験 | 情報セキュリティに関する基本的な知識を問う資格 |
| 全日本情報学習振興協会 | 個人情報保護士認定試験 | 個人情報に関する基本的な知識を問う資格 |
| セキュリティ対策推進協議会 | SPREAD情報セキュリティサポーター能力検定 | 情報セキュリティに関する基本的なトピックを問う資格 |
特にセキュリティ業務への転向をご希望されている方にお勧めしているのが、「情報セキュリティマネジメント試験」「情報処理安全確保支援士(登録セキスペ)」「CISSP」です。
入門編としては「情報セキュリティマネジメント試験」がおすすめです。
前述いたしましたが、セキュリティ領域に関しては関連の資格を持っているだけでも評価されますので、比較的難易度が低いこの資格でもやる気のアピールには有効です。
また、ある程度IT・セキュリティ領域のご知見がある方には、「情報処理安全確保支援士(登録セキスペ)」をおすすめいたします。
一定レベル以上のセキュリティに関する技術や知見を問うもので難易度も高めではあるものの、国家資格で権威性も非常に高い資格です。
さらなる高度資格としては「CISSP」があげられます。セキュリティ関連の資格の中でも高難易度を誇る当該資格ですが、セキュリティ業界で有名な方はCISSPを取得されている方も多く、セキュリティの技術/知見をアピールしていく中で最も効果的な資格の一つです。
繰り返しにはなりますが、セキュリティ転職においては資格取得がかなり有効打になり得ます。
ご自身のセキュリティ領域への興味の度合いを測るためにも、まずは資格の勉強から入ってみるのも良いかもしれません。
セキュリティエンジニアのキャリアパス
前章では「セキュリティエンジニアになるにはどういう入口があるのか」ご説明いたしました。
本章では、実際にセキュリティエンジニアになった後、どういうキャリアパスが想定されるのかご紹介いたします。
セキュリティエンジニアの経験を積む
未経験者としてセキュリティエンジニアになった方は、まずは他職種と同様に実務経験を積み上げていくことになります。セキュリティは、未経験の方でも比較的挑戦しやすい領域ではありますが、キャリアアップという観点では、実務経験がどれだけあるかという指標が重要になってきます。
またキャリアを積んでいく中で、ご自身のセキュリティ領域における専門性を高めていくのはもちろん、自分自身の作業範囲だけではなくプロジェクト全体を見ていく(=影響範囲を広げる・マネジメント人数を増やす)ことも昇進や昇給といった評価に直結します。
特にSIerやセキュリティベンダー、コンサルティングファームにおいて顕著であり、ポジションが高まっていくにつれて求められる視座も高くなってきます。
逆に言えば、昇進していくことで社内にとどまらず社会課題にダイレクトに影響を持てるというやりがいが得られます。
特にハイクラスになればなるほど、年収や待遇といった条件面よりも、「どれだけ自分にとって魅力的なミッションを与えられているか」という軸でキャリアを選ぶ方が多くなります。
セキュリティコンサルタントに転職する
セキュリティコンサルタントというと、どういった業務内容を想像するでしょうか?恐らく、セキュリティの予算作成や、全社のセキュリティポリシー策定等をイメージする方が多いかと思います。
実際、いわゆる最上流工程で全社に関わる仕事をしている方々もいらっしゃいます。
ただ、セキュリティコンサルティングの現場においては、最上流の戦略フェーズだけをやっている方々の割合は少なく、それ以降の実装・実装フェーズの実務支援の方が、市場規模としては圧倒的に大きいのが実態です。
(なお、実行フェーズにおいては、あくまでセキュリティコンサルタントはPMO(Project Management Office:PM補佐)として全体の旗振りを支援する場合が多く、直接実装を行うことは極めて少ないです。ただしPMOとしての役割を果たすには、ベンダーマネジメントも含めて関係各所を動かしていく必要があり、その中でIT・セキュリティの実務知見が求められます)
そのため、現場を実際に経験したセキュリティエンジニアがセキュリティコンサルタントに転職するケースが多く、キャリアアップを実現させています。
キャリアの幅を広げるにあたって、より上位の意思決定者の立場・気持ちを理解する(意思決定レイヤーと肩を並べて仕事をする経験を積む)ということは極めて重要で、その観点で、より上位レイヤーの方々といきなり一緒に仕事ができるコンサルタント職は、キャリアアップに有効な職務の一つと言えます。
ユーザー側の企業に転職して自社向けのセキュリティ業務に就く
一定程度、セキュリティエンジニア/セキュリティコンサルタントの実務経験を積んだ方々の中には、ユーザー側の企業に転職して、自社のセキュリティ環境に対して手触り感を持ちながら仕事をしたいと考える方も少なくありません。
自社向けのセキュリティ業務の特徴としては、以下2点があげられます。
1.企画・導入だけでなく、それ以降の実行・運用フェーズまで末永く関われる
→長期間にわたって自社業務に関われる、ハンズオンとしての魅力
2.より意思決定者(経営層)に近い場所で仕事ができ、高い視座を持てる
→自分の遂行した業務が経営に直接フィードバックされるやりがいがある
特に一定程度経験を積んだ方々の中には、「より高いレベルのアウトプットが求められる環境で、より自分ごとで業務がしたい」というご志向を持たれる方もいらっしゃいます。
特に最近では、ユーザー企業側で「経営層としてセキュリティ人材を迎えたい」というニーズも増えており、キャリアの幅が広がっています。
下記記事にて、我々コトラが各企業からオーダーいただいているセキュリティ求人数の推移について解説しております。
求人数・年収レンジともに拡大の一途を辿っており、選択肢が急激に広がっていることが分かります。
外資系のセキュリティベンダーに転職する
求人数としてはやや少なめではありますが、外資系のセキュリティベンダーに転職するという選択肢もあります。その中でも外資系のセキュリティベンダーの求人は日本の転職エージェントにほとんど出回らず、Linkedinなどの媒体で直接スカウトを受けるケースが多いようです。
フリーランスのセキュリティエンジニアとして独立する
最近だと、フリーランスという働き方も増加傾向にあります。
セキュリティ経験者は市場にあまりいないため、コンサルティングファームやSIer、セキュリティベンダー等が持っているプロジェクトに、フリーランスとして参画するケースも増えています。
セキュリティ領域は特にニーズが逼迫しているため、60歳以降でも、フリーのセキュリティコンサルタント/エンジニアとして長く活躍している方々も少なくありません。
この点からも、セキュリティ領域は息の長いスキルセットだと言えます。
セキュリティエンジニアのキャリアパスについて更に詳しく聞いてみる>
セキュリティエンジニアの将来性
このように、現在セキュリティエンジニアの需要は非常に強まっています。
ここ数年のサイバー攻撃の急激な増加に伴って、セキュリティエンジニアのニーズは爆発的に拡大中であり、今後よりカバーすべき対象範囲が広がっていくと思われます。
それに伴ってセキュリティエンジニアのキャリアも選択肢が広がっており、セキュリティ領域の経験を積むことは、さらにその他の領域の専門性と掛け合わせた独自のスタイルを確立していくことにも繋がります。
また、まだまだ人材の供給が追いついていない領域でもあるため、転職活動時の交渉なども有利に進むというメリットもあります。
まとめ
今、転職市場を席巻している「セキュリティエンジニア」について徹底的に解説しましたが、いかがでしょうか。今後も転職エージェントの視点でセキュリティ領域に深く切り込んだコンテンツをご紹介していきますので、ぜひ引き続きご覧いただければと思います。
弊社コトラは、世の転職エージェントにしては珍しく、セキュリティ領域に特化したチームを有しております。
より専門的に候補者様のご転職をご支援できる体制が整っておりますので、ぜひお気軽にご連絡いただければ幸いです。
セキュリティエンジニアに詳しいコンサルタントへ転職相談(無料)する>
