未経験からセキュリティエンジニアになるには?求人・転職状況から学習方法まで解説|サイバーセキュリティ.com

未経験からセキュリティエンジニアになるには?求人・転職状況から学習方法まで解説



近年、マルウェアや不正アクセスなどインターネット上の脅威が問題になる中、セキュリティエンジニアをはじめとするセキュリティ専門家へのニーズが高まっています。

一方で、セキュリティエンジニアは、インフラやネットワークなどIT関連の幅広い知識が要求される難易度の高い職種です。

職種未経験からでも、セキュリティエンジニアになれるのでしょうか。

本記事では、未経験からセキュリティエンジニアになる方法を、昨今の求人・転職状況を踏まえながら解説します。

セキュリティエンジニアとは

セキュリティエンジニアは、ネットワークやシステムをサイバー攻撃から守るエンジニアです。

これまで、サイバー攻撃などに対処する業務は、サーバやネットワークを管理するインフラエンジニアや、企業内でシステム開発を行う社内SEが、本来の仕事の付帯業務として担うことが大半でした。

一方、近年は、インターネット上の脅威がさらに悪質なものに変化し、その手口も巧妙化しています。このため、セキュリティに関して、より専門的で高度な知識を持った専任技術者が求められるようになっています。

このような背景から、セキュリティ関連業務を担当するセキュリティエンジニアという仕事が生まれました。

職種未経験!非エンジニアでもセキュリティエンジニアになれる?

ITセキュリティの専門家「セキュリティエンジニア」は、インフラやネットワークなど、さまざまなIT分野に精通している人材です。

インフラエンジニアなどとして、IT業界で一定の経験を積んだエンジニアであれば、これらの知識は少なからず持っているはずです。

しかし、エンジニアとして未経験の状態では、IT分野に関する知識や経験に欠けるため、他のエンジニアからセキュリティエンジニアに転職する場合と比べ、スタートが著しく出遅れていることは肝に銘じるべきです。

ただ、相応の準備を経て、職種未経験から、セキュリティエンジニアに転職した人は少なくありません。憧れのセキュリティエンジニアの肩書を手に入れるためには、後述する準備方法に従って、着々と計画を進めるしか道はありません。

セキュリティエンジニアは何してる?主な仕事内容

ネットワークやシステムをサイバー攻撃から守る「セキュリティエンジニア」。

その仕事内容を列挙すると、次の通り、非常に守備範囲が広い職種であることが分かります。

  • サイバー攻撃に強いネットワークやサーバを設計・構築する
  • ネットワークやシステムに存在する脆弱性やセキュリティ上の弱点を特定する
  • 安定的に情報システムを運用する
  • セキュリティ事故発生時に適切な対応を行う
  • 情報セキュリティポリシーを策定する
  • 企業のセキュリティ戦略立案のサポート

セキュリティエンジニアの仕事のうち、最も比重が高いのは、ネットワークやシステムの設計と構築です。

セキュリティエンジニアの仕事の肝「システム設計・構築」業務に注目

セキュリティエンジニアの仕事の肝と言われる、セキュリティに強いネットワーク・システム作りについて、詳しく解説します。

1.企画・提案

まず、企業および企業内で使用するシステムにとって、どのようなセキュリティ対策が有効なのか、また適切なのかを調査します。調査に基づき、ネットワークやシステムのあるべき姿を企画し、提案します。

2.設計

企画・提案した内容に基づいて、セキュリティレベルを高めるシステムを設計していきます。設計の段階には、導入する機器やソフトウェアの選定も含まれます。

3.実装

設計書に基づき、実際に機器やソフトウェアを導入して、設定作業を行います。

4.テスト

導入・設定した後は、システムが意図した通りに動作するか確認します。さらに、構築したシステムに対し、擬似的なサイバー攻撃を仕掛けて、脆弱性がないか確認することもあります。

5.運用・保守

構築したシステムは、高いセキュリティを維持したまま安定的に運用する必要があります。そのため、定期的に保守を行うと同時に、ソフトウェアや機器の更新が必要なときは、更新や購入の業務をします。

セキュリティエンジニアの年収

一般社団法人コンピュータソフトウェア協会が公開している、「IT関連企業の処遇について」では、主なIT関連業務の平均年収を紹介しています。

この資料によると、指導を受けることなく業務が遂行できる中堅レベル、または部下を指導するチームリーダーレベルのセキュリティエンジニアの場合、平均年収は758.2万円です。

同じく中堅レベルの、IT運用・管理者の平均年収が、608.6万円、SE・プログラマーの平均年収が568.5万円であり、セキュリティエンジニアは、他のIT関連の仕事と比較し、やや年収が高い傾向にあることが分かります。

セキュリティエンジニアの需要

NPO日本ネットワークセキュリティ協会が公開した、「2018年情報セキュリティインシデントに関する調査結果」によると、サイバー攻撃を受けて情報漏洩事件を発生させてしまった場合、事件一件当たりの平均想定損害賠償額は、6億3,767万円です。

セキュリティ事故は、一旦発生すると企業にとって信用の失墜など経営の存続に関わる大きな問題につながります。

13.2万人不足!求められるセキュリティエンジニア

このため、サイバー攻撃に強い組織を構築し、全社的なセキュリティ対策を行うために、セキュリティエンジニアには大きな期待がかかっています。

総務省が公開した資料、「我が国のサイバーセキュリティ人材の現状について」によると、2016年の時点で、情報セキュリティ人材が13.2万人不足。不足数は今後も拡大すると見込んでいます。

さらに、様々な業界でIoTを推進していますが、インターネットに繋がる機器が増えることにより、セキュリティリスクも拡大することが懸念されています。

このような背景から、セキュリティエンジニアという職種は、今後も高需要が続くと見て間違いないでしょう。

参考2018年情報セキュリティインシデントに関する調査結果/JNSA

参考我が国のサイバーセキュリティ人材の現状について/総務省

データで見る!セキュリティエンジニアの転職・求人状況

外資系人材紹介会社ヘイズ・スペシャリスト・リクルートメント・ジャパンが、転職コンサルタントへの調査および転職実績動向を分析し、2021年の国内転職市場における10大トレンドを発表。

IT関連職に絞ると、2021年以降に最も需要が高まる職種として、セキュリティエンジニアが第1位にランクインしています。

理由として、サイバー犯罪の急増や働き方の多様化を挙げています。

2021年以降に最も需要が高まるIT関連職種TOP5

第1位 サイバーセキュリティ
第2位 クラウドソリューション
第3位 データサイエンス
第4位 DevOps
第5位 ソフトウェア開発

さらには、サイバーセキュリティ関連の問題を解決するには、「世界規模だと1年間で約310万人のサイバーセキュリティ人材が必要」と、レポートを結んでいます。

セキュリティエンジニアの場合、求人数が少なく転職できないという悩みとは無縁のようです。

参考 JAPAN’S TOP TEN TALENT TRENDS FOR 2021

未経験者がセキュリティエンジニアになるには

エンジニアとしての勤務経験が全くない場合、どのような準備をすればセキュリティエンジニアになれるのでしょうか。

選択する道として、次のような方法があります。

大学や専門学校で学ぶ

セキュリティエンジニアには幅広いIT関連知識が要求されるため、大学や専門学校を活用して、体系的に学んでいくのも良い方法です。

例えば、日本工学院八王子専門学校では2年制のネットワークセキュリティ科を開講しており、卒業生は、ネットワーク関連企業やWeb関連会社への就職を実現しています。

サイトhttps://www.neec.ac.jp/hachioji/

独学で学ぶ

学校に通わなくても、参考書やWebサイトなどを活用しながら独学することもできます。ただし、資格取得を目指すなど明確な目標を定め、体系的に学べる工夫をすることが大切です。

他のエンジニア職として身につけた知識や経験を活かす

インフラエンジニアなど他のIT関連エンジニアとしての経験がある場合は、自らの知識に新しい知識を上乗せしながら学ぶ方法が効率的です。

セキュリティエンジニアに求められる技術的知識とスキル

セキュリティエンジニアには、サーバやネットワーク、OSに関する知識など、幅広い知見やスキルが求められます。

セキュリティエンジニアに求められる知識やスキルを俯瞰して見る目的なら、日本ネットワークセキュリティ協会(JNSA)が作成した、「IPA情報セキュリティスキルマップ」が参考にできます。

IPA情報セキュリティスキルマップは、セキュリティエンジニアに求められる技術・知識をまとめ、スキルの定量化・可視化を目指したものです。

そして、セキュリティエンジニアに求められる技術・知識を洗い出すと、次の16の大項目に分類できるとしています。

  1. 情報セキュリティマネジメント
  2. ネットワークインフラセキュリティ
  3. アプリケーションセキュリティ(Web・電子メール・DNS)
  4. OSセキュリティ(Unix・Windows・Trusted OS)
  5. ファイアウォール
  6. 侵入検知システム
  7. ウイルス
  8. セキュアプログラミング技法
  9. セキュリティ運用
  10. セキュリティプロトコル
  11. 認証
  12. PKI
  13. 暗号
  14. 電子署名
  15. 不正アクセス手法
  16. 法令・規格

ネットワークからアプリケーション、さらには法令や規格まで、そのスキルは多岐にわたっていますが、すべての知識・スキルを備えていなくても、セキュリティエンジニアにはなれます。

現役のセキュリティエンジニアでも、実務で担当しているのは、これら16分類の一部の分野だからです。

ただ、幅広い知識を身につけておいて損はないため、得意な分野から順に習得すれば良いでしょう。

セキュリティエンジニアには人間的スキルも欠かせない

セキュリティエンジニアに求められるのは、技術的な知識・スキルだけではありません。企業や組織における、セキュリティ課題についてヒアリングを行い、解決策を提案するセキュリティエンジニアには、次のような人間的スキルも非常に重要です。

コミュニケーションスキル

企業内セキュリティエンジニアなら自社内の課題や要望を、セキュリティ専門企業に所属するセキュリティエンジニアなら、顧客の課題や要望に対処することが求められます。

どちらの場合でも重要となるのが、技術課題や要望を洗い出す、ヒアリングや調査です。

このため、セキュリティエンジニアにとって、人と円滑なコミュニケーションが取れる能力は非常に重要です。

継続力や勤勉さ

次々と新しい脅威が誕生しており、セキュリティ対策には終わりがありません。最新脅威に関する調査や情報収集・自己研鑽が苦痛という人は、そもそもセキュリティエンジニアには向いていません。

セキュリティエンジニアには、調査や勉強をし続けることに喜びを感じられるという素質が非常に重要です。

未経験でもアピールになる!セキュリティ関連資格3つ

セキュリティエンジニアになるために必要な資格はありません。ただし、上述の技術的知識やスキルを身につけるためのひとつの手法として、資格取得があります。

また、資格を持っていることは、実際の求人に応募する際にも、勤勉さや意欲を具体的にアピールする材料になるでしょう。

ここでは、セキュリティエンジニアを目指す、職種未経験者がまず取りたい資格を紹介します。

シスコ技術者認定

主催企業シスコシステムズ

サイトhttps://www.cisco.com/c/ja_jp/training-events/training-certifications/certifications.html

ネットワーク機器ベンダーのシスコシステムズ社は、セキュリティエンジニアの技術レベルを認定する試験として、次のような資格試験を実施しています。

  • CyberOps Associate
  • CyberOps Professional
  • CCNP Security(Cisco Certified Network Professional Security)
  • CCIE Security(Cisco Certified Internetwork Expert)

そして、シスコシステムズ社の技術者認定試験は、世界中で広く認められている国際資格の1つとなっています。

認知度が高い資格なので、セキュリティエンジニアを目指したい未経験者も取得を目指して損はありません。

CyberOps Associate

セキュリティオペレーションセンター内における、初中級レベルのサイバーセキュリティアナリストとしての技術力を認定する試験です。サイバーセキュリティの基本原則や基礎知識、オペレーションに欠かせない技術的スキルについての理解度が試されます。

難易度★★☆☆☆

CyberOps Professional

CyberOps Associate の上位資格です。サイバーセキュリティの基礎・技術・プロセス・自動化などを含むコア試験と、インシデント対応やデジタルフォレンジックの知識が重点的に出題されるコンセントレーション試験の2つの試験に合格する必要があります。

難易度★★★★☆

CCNP Security

CCNP Securityはセキュリティソリューションのスキルを認定する試験です。

セキュリティインフラストラクチャの知識が主な出題範囲となるコア試験と、最新のテーマと業界固有のテーマが重点的に出題されるコンセントレーション試験の2つの試験に合格する必要があります。

難易度★★★★☆

CCIE Security

CCIE Securityは、複雑なセキュリティソリューションのスキルを証明する試験です。認定を取得するためには、クオリファイ試験とラボ試験の2つの試験に合格する必要があります。ラボ試験は、8時間のハンズオン形式で行われ、設計から導入・運用・最適化まで、複雑なセキュリティソリューションやテクノロジーのライフサイクル全般に関する課題に取り組みます。

難易度★★★★★

シスコ技術者認定は国際資格である点が大きな特徴です。また、受験条件として実務経験年数を設けていないため、セキュリティ業界の職種未経験者であっても、意欲さえあれば受験可能です。

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 33,600円(税込)〜

情報処理安全確保支援士試験

主催団体独立行政法人情報処理推進機構(IPA)

サイトhttps://www.ipa.go.jp/siensi/

情報処理安全確保支援士」は、独立行政法人 情報処理推進機構(IPA)が実施する情報処理技術者試験の一つです。

2016年の情報処理の促進に関する法律改正に伴い、新設された国家資格となっています。目的は、情報セキュリティの専門家として、企業や組織のセキュリティ対策・管理において、主導的な役割を果たせる人材を認定することにあります。

よって、サイバーセキュリティに関する相談や情報提供、助言、状況調査や分析など、企業における情報セキュリティを支援する人材や、セキュリティエンジニア・情報システム管理者などが取得すると望ましい資格です。

2021年度春期試験では、受験者1万869人のうち、合格者が2306人。合格率は21.2%でした。

5人に4人が不合格となっており、難易度が高い資格試験と言えそうですが、未経験者でも試験対策をしっかりと練れば合格は可能。是非チャレンジしたい資格試験です。

難易度 合格率 受験料
★★★★☆ 21.2%(2021年度) 7,500円(2021年度)

情報セキュリティマネジメント試験

主催団体 独立行政法人情報処理推進機構(IPA)

サイトhttps://www.jitec.ipa.go.jp/sg/

IPAが実施する国家資格の中でも、上述の「情報処理安全確保支援士」は難易度の高い試験です。

一方、情報セキュリティ分野の国家資格のうち、入門編と位置付けられているのが、「情報セキュリティマネジメント試験」です。

情報セキュリティマネジメント試験の内容は、セキュリティ対策に関する基本的な知識や、トラブル発生時の対応となっており、具体的には、情報システムの企画・開発・運用におけるセキュリティ確保に関する知識が問われています。

セキュリティエンジニアを目指す人以外に、個人情報を取り扱うような業務に携わる人が広く受験する資格試験ですが、他の難易度の高い資格試験に挑む前の腕試しとして活用できるでしょう。

2020年度の試験では、受験者数9,121名に対し、合格者数は6,071名でした。合格率は66.5%と半数強が合格します。合格すれば自信につながり、今後の勉強への意欲が高められそうです。

難易度 合格率 受験料
★★☆☆☆ 66.5%(2020年度) 5,700円(2021年度)

セキュリティエンジニアが求められる分野

セキュリティエンジニアが活躍できる分野は様々です。このため、キャリアパスが豊富で、セキュリティエンジニアになった後も、進むべき道の選択に迷うことはないでしょう。

セキュリティエンジニアが目指せるキャリアの例を紹介します。

セキュリティコンサルタント

企業や経営者に対し、セキュリティの観点から助言や提案を行います。

企業や組織を狙った攻撃による情報流出・漏えい事件が相次いでいます。このため、セキュリティ問題はIT部門だけが対応するものではなく、経営責任として会社全体で取り組むものになっています。企業の経営戦略などに対してサポートを行うセキュリティコンサルタントは、顧客情報を抱える多くの企業が非常に頼りにしている存在です。

メーカー系セキュリティエンジニア

家電からおもちゃまで、あらゆる物がインターネットにつながる時代です。それらを製造するメーカーは、顧客や商品をサイバー犯罪から守るという使命も負わざるを得ません。また、製造段階においても、製造管理システムなどITを使ったシステムも多くなっており、一度不正アクセスなどの被害に遭うと、生産が停止するリスクがあります。セキュリティエンジニアはメーカーにおいても、顧客や商品、社内の製造システムの保護という重要な役割を担っているのです。

インフラ系セキュリティエンジニア

電力やガスなどのインフラ保守において、スマートメータの利用が進んでいます。スマートメータ同士はネットワーク接続されているため、サイバー攻撃を受けると、最悪の場合、インフラの供給が停止するリスクもあります。

そのような事態を防ぐためインフラ系のセキュリティエンジニアが、日々管理を行っています。

金融系セキュリティエンジニア

金融機関は、銀行の口座番号やクレジットカード番号など多くの個人情報を扱っています。これらが流出して悪用される事例も多く発生しており、金融機関にとってセキュリティ対策は非常に重要な課題となっています。

セキュリティアナリスト・ホワイトハッカー

具体的な防御策を講じるのではなく、主にサイバー攻撃手法の分析を行うのがセキュリティアナリストです。セキュリティアナリストは、セキュリティエンジニアの中でも、特に高度な技術や知識を持つ人材でもあります。

また、サイバー攻撃手法の分析を担う人材として、セキュリティに関する知識や技術を善良な目的のために活用するホワイトハッカーという職種もあります。

まとめ

総務省が公開した資料、「我が国のサイバーセキュリティ人材の現状について」によると、2016年の時点で、情報セキュリティ人材が13.2万人不足。不足数は今後も拡大すると見込んでいます。

そのような状況から、職種未経験であっても、通学や資格取得などを通して勉強すればセキュリティエンジニアになれる可能性があります。

一方、セキュリティエンジニアを目指したいが、何をすべきか分からないという個人の方にお勧めしたいのが、給料を得ながらセキュリティエンジニアになるための研修を受けられるサービス、「ネクステエンジニア」です。問い合わせは無料なので、気軽に連絡してみてください。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。