セキュリティエンジニアになるには?おすすめの資格や勉強方法まで解説|サイバーセキュリティ.com

セキュリティエンジニアになるには?おすすめの資格や勉強方法まで解説



「セキュリティエンジニア」という仕事に興味があるけれど、何をどこから勉強すればよいのだろう・・。

資格は必要なのかな・・?

職種未経験で、これからセキュリティエンジニアとしての就職・転職を考えている人はもちろん、すでにエンジニアとして働いている人がセキュリティエンジニアを目指す場合でも、このような疑問を抱くでしょう。

本記事では、ますます需要が高まると予測されているセキュリティエンジニアの仕事内容や年収などを整理しつつ、セキュリティエンジニアになるために効果的な勉強方法やおすすめの資格を解説します。

セキュリティエンジニアとは?

セキュリティエンジニアは、ネットワークやシステムをサイバー攻撃から守るエンジニアです。

サイバー攻撃に伴う情報漏えいなどの問題を回避するため、対策を行います。

セキュリティエンジニアに求められる知識とスキル

セキュリティエンジニアには、IT関連知識の他、OSや法律まで幅広い知見やスキルが求められます。

それらセキュリティエンジニアに求められる知識やスキルを俯瞰して見る目的なら、日本ネットワークセキュリティ協会(JNSA)が作成した、「IPA情報セキュリティスキルマップ」が参考にできます。

情報セキュリティスキルマップでは、セキュリティエンジニアに求められる技術・知識を、次の16の大項目に分類しています。

  1. 情報セキュリティマネジメント
  2. ネットワークインフラセキュリティ
  3. アプリケーションセキュリティ(Web・電子メール・DNS)
  4. OSセキュリティ(Unix・Windows・Trusted OS)
  5. ファイアウォール
  6. 侵入検知システム
  7. ウイルス
  8. セキュアプログラミング技法
  9. セキュリティ運用
  10. セキュリティプロトコル
  11. 認証
  12. PKI
  13. 暗号
  14. 電子署名
  15. 不正アクセス手法
  16. 法令・規格

上記16の分類のうち、セキュリティエンジニアになりたい人が、特に身につけておきたい技術・知識について詳しく解説します。

ネットワークに関する知識

ネットワークに関する知識には、次のような分野を含みます。

  • ネットワークインフラセキュリティ:ネットワーク設計技術・ネットワークアクセスコントロール・VPN・無線LANなど
  • ファイアウォール:ファイアウォールの導入と運用・NAT・ネットワークアクセスコントロールなど
  • セキュリティプロトコル
  • DNSサーバセキュリティ対策と構成・DNS サーバの運用

暗号化や認証技術

暗号化や認証技術に関する知識には、次のような分野を含みます。

  • 認証技術:パスワード認証・バイオメトリック認証・認証デバイス・認証プロトコル・Web 認証・システム認証・シングルサインオンなど
  • 暗号化:公開鍵暗号・共通鍵暗号・ハッシュ関数・暗号用乱数・鍵管理・ゼロ知識証明・その他の暗号方式・暗号解読や強度評価など
  • 電子署名:電子署名の利用・電子署名の要素技術・電子署名の仕組み・電子署名の利点など

セキュリティマネジメントと運用に関する知識

セキュリティマネジメントと運用に関する知識には、次のような分野を含みます。

  • 情報セキュリティマネジメント:マネジメント技術・リスク分析技術・情報セキュリティポリシー・情報セキュリティ監査など
  • 運用:定常運用時のセキュリティ確保・異常時対応・運用関連情報

OSに関する知識

OSに関する知識には、次のような分野を含みます。

  • Unix:ログ管理・パッチ適用管理・サービスの管理・ファイルシステム管理・アカウント管理
  • Windows:構成/設定管理・パッチ適用管理・監査・ログ管理・プロセス管理・サービス管理・ファイルシステム管理・アカウント管理・ネットワーク保護

法律の知識

法律に関する知識には、次のような分野を含みます。

  • 法令・規格:基準・指針・ガイドライン等、法令、国際標準規格、国際ガイドライン

サイバー攻撃と防御手法に関する知識

サイバー攻撃と防御手法に関する知識には、次のような分野を含みます。

  • マルウェア:管理体制・感染後のポリシー・予防ポリシー・検出方法と駆除・感染・マルウェアの種類
  • 不正アクセス手法:遠隔不正侵入/操作・サービスの停止・盗聴行為・偵察行為・情報収集・古典的不正アクセス技法
  • 侵入検知:侵入検知システムの導入/運用・侵入検知システムの機能・検出アルゴリズム・検出方法・侵入検知システム

セキュリティエンジニアになるためにはどう勉強する?

上述のようなセキュリティエンジニアに求められる知識とスキルを身につけるためには、どのように勉強すれば良いのでしょうか?

学校に通う

セキュリティエンジニアには幅広いIT関連知識が要求されるため、大学や専門学校を活用して、体系的に学んでいくのも良い方法です。

例えば、日本工学院八王子専門学校では2年制のネットワークセキュリティ科を開講しており、卒業生は、ネットワーク関連企業やWeb関連会社への就職を実現しています。

https://www.neec.ac.jp/hachioji/

勉強会に参加する

日本全国でサイバー攻撃やITセキュリティに関するセミナーや勉強会が開催されています。有料の勉強会から、有志が企画した無料のセミナーまで様々あり、多くの場合、申し込みさえすれば誰でも参加できます。

現役のセキュリティエンジニアから全くの未経験者まで、学びたい意欲がある人が集っているため、知識を手に入れるだけでなく、他の参加者から刺激を受けて、モチベーションを高める場としても活用できます。

オンラインで学ぶ

ITセキュリティについては、学校に通わずに独学することもできます。

参考書やWebサイトなどを活用する他、オンラインで多くのセミナーや授業が公開されているため、勉強の機会には事欠きません。

ただし、自宅などからオンラインで学ぶ場合、目標を見失わないよう、資格取得などを活用して体系的に学べる工夫をすることが大切です。

資格を取得する

セキュリティエンジニアになるための勉強のひとつとして、関連資格を取得することもおすすめです。資格取得のための勉強を通して、体系的に知識やスキルが身につきます。また、独学する場合も、習熟度を測るためのツールとして資格が活用できるでしょう。

セキュリティエンジニアに資格は必要?

セキュリティエンジニアとして働くために資格取得は不要です。

ただし、資格はセキュリティエンジニアとしての高い技術力と知識をアピールする材料として活用できます。

実際、ITセキュリティ技術に関する民間資格や国家資格が多数存在します。

未経験者として就職活動をするときにも役に立つため、次に紹介するような資格は取得を目指しておいて損はありません。

おすすめ資格一覧 セキュリティエンジニアになりたい人向け

セキュリティエンジニアに資格は不要ですが、知名度が高くかつ勉強にも役立つ、おすすめのサイバーセキュリティ関連資格を紹介します。

シスコ技術者認定(セキュリティ)

主催企業シスコシステムズ

URLhttps://www.cisco.com/c/ja_jp/training-events/training-certifications/certifications.html

ネットワーク機器ベンダーのシスコシステムズ社は、セキュリティエンジニアの技術レベルを認定する試験として、次のような資格試験を実施しています。

  • CyberOps Associate
  • CyberOps Professional
  • CCNP Security(Cisco Certified Network Professional Security)
  • CCIE Security(Cisco Certified Internetwork Expert)

そして、シスコシステムズ社の技術者認定試験は、世界中で広く認められている国際資格の1つとなっています。

認知度が高い資格なので、セキュリティエンジニアを目指したい未経験者も取得を目指して損はありません。

CyberOps Associate

セキュリティオペレーションセンター内における、初中級レベルのサイバーセキュリティアナリストとしての技術力を認定する試験です。サイバーセキュリティの基本原則や基礎知識、オペレーションに欠かせない技術的スキルについての理解度が試されます。

難易度★★☆☆☆

CyberOps Professional

CyberOps Associate の上位資格です。サイバーセキュリティの基礎・技術・プロセス・自動化などを含むコア試験と、インシデント対応やデジタルフォレンジックの知識が重点的に出題されるコンセントレーション試験の2つの試験に合格する必要があります。

難易度★★★★☆

CCNP Security

CCNP Securityはセキュリティソリューションのスキルを認定する試験です。

セキュリティインフラストラクチャの知識が主な出題範囲となるコア試験と、最新のテーマと業界固有のテーマが重点的に出題されるコンセントレーション試験の2つの試験に合格する必要があります。

難易度★★★★☆

CCIE Security

CCIE Securityは、複雑なセキュリティソリューションのスキルを証明する試験です。認定を取得するためには、クオリファイ試験とラボ試験の2つの試験に合格する必要があります。ラボ試験は、8時間のハンズオン形式で行われ、設計から導入・運用・最適化まで、複雑なセキュリティソリューションやテクノロジーのライフサイクル全般に関する課題に取り組みます。

難易度★★★★★

シスコ技術者認定は国際資格である点が大きな特徴です。また、受験条件として実務経験年数を設けていないため、セキュリティ業界の職種未経験者であっても、意欲さえあれば受験可能です。

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 33,600円(税込)〜

CompTIA Security+

主催企業CompTIA

URLhttps://www.comptia.jp/certif/core/comptia_security/

世界的に実施されているベンダーニュートラルの認定資格です。セキュリティの大原則となる、セキュアなネットワークの維持とリスク管理について出題されます。

米国国防総省の情報保証を担う人材は取得必須となっている資格でもあり、世界的に認知度が高く、また信頼されている資格です。

CompTIA Security+では、次の分野に関するスキルを評価します。

  • ネットワークセキュリティ
  • コンプライアンスと運用セキュリティ
  • 脅威と脆弱性
  • アプリケーション、データ、ホスティングセキュリティ
  • アクセスコントロール、認証マネジメント
  • 暗号化

また、CompTIA Security+はセキュリティの概念に対して、「知っている・理解している」だけでなく、「どのように対処するか」を理解することに重点が置かれています。

なお、対象受験者として、サイバーセキュリティ関連業務における最低2年間の業務経験を挙げていますが、あくまでも推奨条件であるため、受験は誰でもできます。

難易度 合格率 受験料
★★☆☆☆ 非公開 47,816円(税込)

CISM(Certified Information Security Manager)

主催企業ISACA(情報システムコントロール協会)

URLhttp://www.isaca.gr.jp/

「CISM(Certified Information Security Manager)、日本語名称:公認情報セキュリティマネージャー」は、情報セキュリティ管理の知識と経験を認定する国際的な専門資格です。

情報セキュリティマネージャーを対象とした試験で、認定には情報セキュリティ管理に関する5年以上の実務経験が必要です。ただし、実務経験を要するのは、CISM合格後に認定を申請する場合で、受験には実務経験は必要ありません。

難易度 合格率 受験料
★★★☆☆ 非公開 US$760(約8万7,000円)

情報処理安全確保支援士

主催団体独立行政法人情報処理推進機構(IPA)

URLhttps://www.ipa.go.jp/siensi/

情報処理安全確保支援士」は、独立行政法人 情報処理推進機構(IPA)が実施する情報処理技術者試験の一つです。

2016年の情報処理の促進に関する法律改正に伴い、新設された国家資格となっています。目的は、情報セキュリティの専門家として、企業や組織のセキュリティ対策・管理において、主導的な役割を果たせる人材を認定することにあります。

よって、サイバーセキュリティに関する相談や情報提供、助言、状況調査や分析など、企業における情報セキュリティを支援する人材や、セキュリティエンジニア・情報システム管理者などが取得すると望ましい資格です。

2021年度春期試験では、受験者1万869人のうち、合格者が2306人。合格率は21.2%でした。

5人に4人が不合格となっており、難易度が高い資格試験と言えそうですが、試験対策をしっかりと練れば合格は可能。是非チャレンジしたい資格試験です。

難易度 合格率 受験料
★★★★☆ 21.2%(2021年度) 7,500円(2021年度)

(ISC)2資格

主催企業(ISC)2

URLhttps://japan.isc2.org/

(ISC)2は、「アイエスシー・スクエア」と読みます。

(ISC)2資格は、セキュリティ分野での世界的な共通知識やベストプラクティスを元にしたセキュリティ資格であり、世界的にも評価されています。

日本語でも受験できますが、日本人の合格者は多くありません。

(ISC)2資格には次の4種類があります。

CISSP(Certified Information Systems Security Professional)

セキュリティに関する8つのドメインを3つの大きな分野「概念と設計、計画」「実装と技術」「運営と評価」に分類しています。

受験するためには、セキュリティに関する4年以上の業務経験が必要です。また、3年おきに再認定を受ける必要がある他、資格維持費として年会費125ドルを支払う必要があります。

SSCP(Systems Security Certified Practitioner)

実務経験4年以上という厳しいCISSPの実務経験要件を満たせない人のために用意されたのが、SSCP(Systems Security Certified Practitioner)です。

ITセキュリティを専業としていないものの、ネットワーク・システム開発や運用などに従事している人材に対し、ITセキュリティの知見を技術としての観点だけではなく、「組織」という観点から理解し、ITセキュリティ専門家や経営陣とコミュニケーションを図れることを認証する資格です。

CCSP(Certified Cloud Security Professional)

クラウドサービスを安全に利用するために必要な知識を体系化した資格です。情報セキュリティの専門家として経験を有した人材が対象で、受験には、最低5年間ITに関する業務に従事した経験が必要なだけでなく、うち3年間は情報セキュリティ関連業務に従事していることに加え、最低1年のクラウドセキュリティ関連業務の経験が必要です。

CSSLP(Certified Secure Software Lifecycle Professional)

CSSLPは、ソフトウェアの脆弱性に起因するセキュリティインシデントの増加や、政府・重要インフラにおいてセキュアなソフトウェアへのニーズが高まったことを背景に、開発された資格です。

プログラマーだけではなく、プロジェクトマネージャー・QA担当者・ソフトウェア発注責任者など、幅広い層を対象にした資格です。

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 6万円前後

情報セキュリティマネジメント試験


主催団体独立行政法人情報処理推進機構(IPA)

URLhttps://www.jitec.ipa.go.jp/sg/

IPAが実施する国家資格の中でも、上述の「情報処理安全確保支援士」は難易度の高い試験です。

一方、情報セキュリティ分野の国家資格のうち、入門編と位置付けられているのが、「情報セキュリティマネジメント試験」です。

情報セキュリティマネジメント試験の内容は、セキュリティ対策に関する基本的な知識や、トラブル発生時の対応となっており、具体的には、情報システムの企画・開発・運用におけるセキュリティ確保に関する知識が問われています。

セキュリティエンジニアを目指す人以外に、個人情報を取り扱うような業務に携わる人が広く受験する資格試験ですが、他の難易度の高い資格試験に挑む前の腕試しとして活用できるでしょう。

2020年度の試験では、受験者数9,121名に対し、合格者数は6,071名でした。合格率は66.5%と半数強が合格します。合格すれば自信につながり、今後の勉強への意欲が高められそうです。

難易度 合格率 受験料
★★☆☆☆ 66.5%(2020年度) 5,700円(2021年度)

最初に目指す資格はどれが良い?

前述のようにたくさんのセキュリティ関連資格がありますが、まだ資格を持っていないけど、セキュリティエンジニアの仕事に興味があるという人は、「情報セキュリティマネジメント試験」で適正を見るのがおすすめです。

「情報セキュリティマネジメント試験」は、入門編とも言える試験のため、まだセキュリティエンジニアを目指すと決めていない人が、自身の決意や適性を見極めるのに丁度よい試験です。

合格率が高く、受験料も安価なため、仮にセキュリティエンジニアにはならないという結論に至った場合でも、取得しておいて損にはなりません。

最終的に合格を目指したい資格

セキュリティエンジニアとして長期的な視点で取得を目指すなら、国家資格である「情報処理安全確保支援士」を取得するのが得策です。

  • 国家資格であり認知度が高い。
  • 受験するにあたって学歴や職歴などの条件が不要
  • 受験料が安い(5,700円)。
  • 1年に2回(4月と10月)に試験が開催される。
  • 試験対策のための参考書が数多く販売されており対策しやすい。
  • 合格に必要な知識と技術がセキュリティ関係の実務に活用できる。

このような理由から、国内でセキュリティエンジニアとして従事したい人には、特におすすめできます。

なお、情報処理安全確保支援士は試験に合格後、登録申請することで「情報処理安全確保支援士」という名称を使用できるようになります。

海外でセキュリティエンジニアとして活躍を目指す場合は、「シスコ技術者認定(セキュリティ)」や「(ISC)2」などを取得して、スキルアップ・キャリアアップを目指すのがおすすめです。

セキュリティエンジニアの仕事内容

ネットワークやシステムをサイバー攻撃から守る「セキュリティエンジニア」。

その仕事内容を列挙すると、次の通り、非常に守備範囲が広い職種であることが分かります。

  • サイバー攻撃に強いネットワークやサーバを設計・構築する
  • ネットワークやシステムに存在する脆弱性やセキュリティ上の弱点を特定する
  • 安定的に情報システムを運用する
  • セキュリティ事故発生時に適切な対応を行う
  • 情報セキュリティポリシーを策定する
  • 企業のセキュリティ戦略立案のサポート

セキュリティエンジニアの仕事のうち、最も比重が高いのは、ネットワークやシステムの設計と構築です。

セキュリティエンジニアの仕事の肝「システム設計・構築」業務に注目

セキュリティエンジニアの仕事の肝と言われる、セキュリティに強いネットワーク・システム作りについて、詳しく解説します。

1.企画・提案

まず、企業および企業内で使用するシステムにとって、どのようなセキュリティ対策が有効なのか、また適切なのかを調査します。調査に基づき、ネットワークやシステムのあるべき姿を企画し、提案します。

2.設計

企画・提案した内容に基づいて、セキュリティレベルを高めるシステムを設計していきます。設計の段階には、導入する機器やソフトウェアの選定も含まれます。

3.実装

設計書に基づき、実際に機器やソフトウェアを導入して、設定作業を行います。

4.テスト

導入・設定した後は、システムが意図した通りに動作するか確認します。さらに、構築したシステムに対し、擬似的なサイバー攻撃を仕掛けて、脆弱性がないか確認することもあります。

5.運用・保守

構築したシステムは、高いセキュリティを維持したまま安定的に運用する必要があります。そのため、定期的に保守を行うと同時に、ソフトウェアや機器の更新が必要なときは、更新や購入の業務をします。

セキュリティエンジニアの年収

一般社団法人コンピュータソフトウェア協会が公開している、「IT関連企業の処遇について」では、主なIT関連業務の平均年収を紹介しています。

この資料によると、指導を受けることなく業務が遂行できる中堅レベル、または部下を指導するチームリーダーレベルのセキュリティエンジニアの場合、平均年収は758.2万円です。

同じく中堅レベルの、IT運用・管理者の平均年収が、608.6万円、SE・プログラマーの平均年収が568.5万円であり、セキュリティエンジニアは、他のIT関連の仕事と比較し、やや年収が高い傾向にあることが分かります。

セキュリティエンジニアの需要とキャリアパス

セキュリティエンジニアが活躍できる分野は様々です。このため、キャリアパスが豊富で、セキュリティエンジニアになった後も、進むべき道の選択に迷うことはないでしょう。

例えば、セキュリティエンジニアは次のようなキャリアを目指せます。

セキュリティコンサルタント

企業や経営者に対し、セキュリティの観点から助言や提案を行います。

メーカー系セキュリティエンジニア

家電からおもちゃまで、あらゆる物がインターネットにつながる時代です。セキュリティエンジニアはメーカーにおいても、顧客や商品、社内の製造システムの保護という重要な役割を担っています。

インフラ系セキュリティエンジニア

スマートメータ同士はネットワーク接続されているため、サイバー攻撃を受けると、最悪の場合、インフラの供給が停止するリスクもあります。

そのような事態を防ぐためインフラ系のセキュリティエンジニアが、日々管理を行っています。

金融系セキュリティエンジニア

金融機関は、銀行の口座番号やクレジットカード番号など多くの個人情報を扱っています。これらを守るのが金融系セキュリティエンジニアです。

セキュリティアナリスト・ホワイトハッカー

具体的な防御策を講じるのではなく、主にサイバー攻撃手法の分析を行うのがセキュリティアナリストです。

また、サイバー攻撃手法の分析を担う人材として、セキュリティに関する知識や技術を善良な目的のために活用するホワイトハッカーという職種もあります。

まとめ

セキュリティエンジニアになるための勉強方法や取得したい資格について解説してきました。

セキュリティエンジニアには、ITに関する幅広い知識が必要なだけでなく、常に新しいセキュリティ情報を収集し、技術力を高めるための絶え間ない努力が求められます。

セキュリティエンジニアになるための勉強方法は様々ですが、体系的に勉強していくために、資格試験を利用することもおすすめできる方法です。

一方、セキュリティエンジニアを目指したいが、何をすべきか分からないという個人の方にお勧めしたいのが、給料を得ながらセキュリティエンジニアになるための研修を受けられるサービス、「ネクステエンジニア」です。問い合わせは無料なので、気軽に連絡してみてください。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。