無料メルマガ登録でプレゼント！書籍「セキュリティ対策の基礎知識」

「セキュリティエンジニア」という仕事に興味があるけれど、何をどこから勉強すればよいのだろう・・。

資格は必要なのかな・・？

職種未経験で、これからセキュリティエンジニアとしての就職・転職を考えている人はもちろん、すでにエンジニアとして働いている人がセキュリティエンジニアを目指す場合でも、このような疑問を抱くでしょう。

本記事では、ますます需要が高まると予測されているセキュリティエンジニアの仕事内容や年収などを整理しつつ、セキュリティエンジニアになるために効果的な勉強方法やおすすめの資格を解説します。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

セキュリティエンジニアとは？

セキュリティエンジニアは、ネットワークやシステムをサイバー攻撃から守るエンジニアです。

サイバー攻撃に伴う情報漏えいなどの問題を回避するため、対策を行います。

セキュリティエンジニアに求められる知識とスキル

セキュリティエンジニアには、IT関連知識の他、OSや法律まで幅広い知見やスキルが求められます。

それらセキュリティエンジニアに求められる知識やスキルを俯瞰して見る目的なら、日本ネットワークセキュリティ協会（JNSA）が作成した、「IPA情報セキュリティスキルマップ」が参考にできます。

情報セキュリティスキルマップでは、セキュリティエンジニアに求められる技術・知識を、次の16の大項目に分類しています。

1. 情報セキュリティマネジメント
2. ネットワークインフラセキュリティ
3. アプリケーションセキュリティ（Web・電子メール・DNS）
4. OSセキュリティ（Unix・Windows・Trusted OS）
5. ファイアウォール
6. 侵入検知システム
7. ウイルス
8. セキュアプログラミング技法
9. セキュリティ運用
10. セキュリティプロトコル
11. 認証
12. PKI
13. 暗号
14. 電子署名
15. 不正アクセス手法
16. 法令・規格

上記16の分類のうち、セキュリティエンジニアになりたい人が、特に身につけておきたい技術・知識について詳しく解説します。

ネットワークに関する知識

ネットワークに関する知識には、次のような分野を含みます。

• ネットワークインフラセキュリティ：ネットワーク設計技術・ネットワークアクセスコントロール・VPN・無線LANなど
• ファイアウォール：ファイアウォールの導入と運用・NAT・ネットワークアクセスコントロールなど
• セキュリティプロトコル
• DNSサーバセキュリティ対策と構成・DNS サーバの運用

暗号化や認証技術

暗号化や認証技術に関する知識には、次のような分野を含みます。

• 認証技術：パスワード認証・バイオメトリック認証・認証デバイス・認証プロトコル・Web 認証・システム認証・シングルサインオンなど
• 暗号化：公開鍵暗号・共通鍵暗号・ハッシュ関数・暗号用乱数・鍵管理・ゼロ知識証明・その他の暗号方式・暗号解読や強度評価など
• 電子署名：電子署名の利用・電子署名の要素技術・電子署名の仕組み・電子署名の利点など

セキュリティマネジメントと運用に関する知識

セキュリティマネジメントと運用に関する知識には、次のような分野を含みます。

• 情報セキュリティマネジメント：マネジメント技術・リスク分析技術・情報セキュリティポリシー・情報セキュリティ監査など
• 運用：定常運用時のセキュリティ確保・異常時対応・運用関連情報

OSに関する知識

OSに関する知識には、次のような分野を含みます。

• Unix：ログ管理・パッチ適用管理・サービスの管理・ファイルシステム管理・アカウント管理
• Windows：構成/設定管理・パッチ適用管理・監査・ログ管理・プロセス管理・サービス管理・ファイルシステム管理・アカウント管理・ネットワーク保護

法律の知識

法律に関する知識には、次のような分野を含みます。

• 法令・規格：基準・指針・ガイドライン等、法令、国際標準規格、国際ガイドライン

サイバー攻撃と防御手法に関する知識

サイバー攻撃と防御手法に関する知識には、次のような分野を含みます。

• マルウェア：管理体制・感染後のポリシー・予防ポリシー・検出方法と駆除・感染・マルウェアの種類
• 不正アクセス手法：遠隔不正侵入/操作・サービスの停止・盗聴行為・偵察行為・情報収集・古典的不正アクセス技法
• 侵入検知：侵入検知システムの導入/運用・侵入検知システムの機能・検出アルゴリズム・検出方法・侵入検知システム

セキュリティエンジニアになるためにはどう勉強する？

上述のようなセキュリティエンジニアに求められる知識とスキルを身につけるためには、どのように勉強すれば良いのでしょうか？

学校に通う

セキュリティエンジニアには幅広いIT関連知識が要求されるため、大学や専門学校を活用して、体系的に学んでいくのも良い方法です。

例えば、日本工学院八王子専門学校では2年制のネットワークセキュリティ科を開講しており、卒業生は、ネットワーク関連企業やWeb関連会社への就職を実現しています。

https://www.neec.ac.jp/hachioji/

勉強会に参加する

日本全国でサイバー攻撃やITセキュリティに関するセミナーや勉強会が開催されています。有料の勉強会から、有志が企画した無料のセミナーまで様々あり、多くの場合、申し込みさえすれば誰でも参加できます。

現役のセキュリティエンジニアから全くの未経験者まで、学びたい意欲がある人が集っているため、知識を手に入れるだけでなく、他の参加者から刺激を受けて、モチベーションを高める場としても活用できます。

オンラインで学ぶ

ITセキュリティについては、学校に通わずに独学することもできます。

参考書やWebサイトなどを活用する他、オンラインで多くのセミナーや授業が公開されているため、勉強の機会には事欠きません。

ただし、自宅などからオンラインで学ぶ場合、目標を見失わないよう、資格取得などを活用して体系的に学べる工夫をすることが大切です。

資格を取得する

セキュリティエンジニアになるための勉強のひとつとして、関連資格を取得することもおすすめです。資格取得のための勉強を通して、体系的に知識やスキルが身につきます。また、独学する場合も、習熟度を測るためのツールとして資格が活用できるでしょう。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから

セキュリティエンジニアに資格は必要？

セキュリティエンジニアとして働くために資格取得は不要です。

ただし、資格はセキュリティエンジニアとしての高い技術力と知識をアピールする材料として活用できます。

実際、ITセキュリティ技術に関する民間資格や国家資格が多数存在します。

未経験者として就職活動をするときにも役に立つため、次に紹介するような資格は取得を目指しておいて損はありません。

おすすめ資格一覧　セキュリティエンジニアになりたい人向け

セキュリティエンジニアに資格は不要ですが、知名度が高くかつ勉強にも役立つ、おすすめのサイバーセキュリティ関連資格を紹介します。

最初に目指す資格はどれが良い？

前述のようにたくさんのセキュリティ関連資格がありますが、まだ資格を持っていないけど、セキュリティエンジニアの仕事に興味があるという人は、「情報セキュリティマネジメント試験」で適正を見るのがおすすめです。

「情報セキュリティマネジメント試験」は、入門編とも言える試験のため、まだセキュリティエンジニアを目指すと決めていない人が、自身の決意や適性を見極めるのに丁度よい試験です。

合格率が高く、受験料も安価なため、仮にセキュリティエンジニアにはならないという結論に至った場合でも、取得しておいて損にはなりません。

最終的に合格を目指したい資格

セキュリティエンジニアとして長期的な視点で取得を目指すなら、国家資格である「情報処理安全確保支援士」を取得するのが得策です。

• 国家資格であり認知度が高い。
• 受験するにあたって学歴や職歴などの条件が不要
• 受験料が安い（5,700円）。
• 1年に2回（4月と10月）に試験が開催される。
• 試験対策のための参考書が数多く販売されており対策しやすい。
• 合格に必要な知識と技術がセキュリティ関係の実務に活用できる。

このような理由から、国内でセキュリティエンジニアとして従事したい人には、特におすすめできます。

なお、情報処理安全確保支援士は試験に合格後、登録申請することで「情報処理安全確保支援士」という名称を使用できるようになります。

海外でセキュリティエンジニアとして活躍を目指す場合は、「シスコ技術者認定（セキュリティ）」や「(ISC)²」などを取得して、スキルアップ・キャリアアップを目指すのがおすすめです。

セキュリティエンジニアの仕事内容

ネットワークやシステムをサイバー攻撃から守る「セキュリティエンジニア」。

その仕事内容を列挙すると、次の通り、非常に守備範囲が広い職種であることが分かります。

• サイバー攻撃に強いネットワークやサーバを設計・構築する
• ネットワークやシステムに存在する脆弱性やセキュリティ上の弱点を特定する
• 安定的に情報システムを運用する
• セキュリティ事故発生時に適切な対応を行う
• 情報セキュリティポリシーを策定する
• 企業のセキュリティ戦略立案のサポート

セキュリティエンジニアの仕事のうち、最も比重が高いのは、ネットワークやシステムの設計と構築です。

セキュリティエンジニアの仕事の肝「システム設計・構築」業務に注目

セキュリティエンジニアの仕事の肝と言われる、セキュリティに強いネットワーク・システム作りについて、詳しく解説します。

１．企画・提案

まず、企業および企業内で使用するシステムにとって、どのようなセキュリティ対策が有効なのか、また適切なのかを調査します。調査に基づき、ネットワークやシステムのあるべき姿を企画し、提案します。

２．設計

企画・提案した内容に基づいて、セキュリティレベルを高めるシステムを設計していきます。設計の段階には、導入する機器やソフトウェアの選定も含まれます。

３．実装

設計書に基づき、実際に機器やソフトウェアを導入して、設定作業を行います。

４．テスト

導入・設定した後は、システムが意図した通りに動作するか確認します。さらに、構築したシステムに対し、擬似的なサイバー攻撃を仕掛けて、脆弱性がないか確認することもあります。

５．運用・保守

構築したシステムは、高いセキュリティを維持したまま安定的に運用する必要があります。そのため、定期的に保守を行うと同時に、ソフトウェアや機器の更新が必要なときは、更新や購入の業務をします。

セキュリティエンジニアの年収

一般社団法人コンピュータソフトウェア協会が公開している、「IT関連企業の処遇について」では、主なIT関連業務の平均年収を紹介しています。

この資料によると、指導を受けることなく業務が遂行できる中堅レベル、または部下を指導するチームリーダーレベルのセキュリティエンジニアの場合、平均年収は758.2万円です。

同じく中堅レベルの、IT運用・管理者の平均年収が、608.6万円、SE・プログラマーの平均年収が568.5万円であり、セキュリティエンジニアは、他のIT関連の仕事と比較し、やや年収が高い傾向にあることが分かります。

セキュリティエンジニアの需要とキャリアパス

セキュリティエンジニアが活躍できる分野は様々です。このため、キャリアパスが豊富で、セキュリティエンジニアになった後も、進むべき道の選択に迷うことはないでしょう。

例えば、セキュリティエンジニアは次のようなキャリアを目指せます。

セキュリティコンサルタント

企業や経営者に対し、セキュリティの観点から助言や提案を行います。

メーカー系セキュリティエンジニア

家電からおもちゃまで、あらゆる物がインターネットにつながる時代です。セキュリティエンジニアはメーカーにおいても、顧客や商品、社内の製造システムの保護という重要な役割を担っています。

インフラ系セキュリティエンジニア

スマートメータ同士はネットワーク接続されているため、サイバー攻撃を受けると、最悪の場合、インフラの供給が停止するリスクもあります。

そのような事態を防ぐためインフラ系のセキュリティエンジニアが、日々管理を行っています。

金融系セキュリティエンジニア

金融機関は、銀行の口座番号やクレジットカード番号など多くの個人情報を扱っています。これらを守るのが金融系セキュリティエンジニアです。

セキュリティアナリスト・ホワイトハッカー

具体的な防御策を講じるのではなく、主にサイバー攻撃手法の分析を行うのがセキュリティアナリストです。

また、サイバー攻撃手法の分析を担う人材として、セキュリティに関する知識や技術を善良な目的のために活用するホワイトハッカーという職種もあります。

まとめ

セキュリティエンジニアになるための勉強方法や取得したい資格について解説してきました。

セキュリティエンジニアには、ITに関する幅広い知識が必要なだけでなく、常に新しいセキュリティ情報を収集し、技術力を高めるための絶え間ない努力が求められます。

セキュリティエンジニアになるための勉強方法は様々ですが、体系的に勉強していくために、資格試験を利用することもおすすめできる方法です。

一方、セキュリティエンジニアを目指したいが、何をすべきか分からないという個人の方にお勧めしたいのが、給料を得ながらセキュリティエンジニアになるための研修を受けられるサービス、「ネクステエンジニア」です。問い合わせは無料なので、気軽に連絡してみてください。

書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント！

セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見！

メルマガ登録・ダウンロードは
こちらから