セキュリティエンジニアのキャリアパスは?昇級のタイミングや年収について|サイバーセキュリティ.com

セキュリティエンジニアのキャリアパスは?昇級のタイミングや年収について



マルウェアや不正アクセスなど、インターネット上の脅威が年々増す中、セキュリティの専門家であるセキュリティエンジニアのニーズが非常に高まっています。それに伴って、職業としてのセキュリティエンジニアを選択する人も増えています。

職業としてセキュリティエンジニアを選ぶ際に、気になることの一つにキャリアパスがあるのではないでしょうか。将来、どういったステップアップの方向があるのか。今回は、セキュリティエンジニアのキャリアパスについて解説します。

セキュリティエンジニアのキャリアパスは

セキュリティエンジニアには将来どういったキャリアパスがあるのでしょうか。一般のITエンジニアでも専門職や管理職などキャリアパスにはいくつかの種類がありますが、セキュリティエンジニアにもそれらは当てはまります。

1. エンジニア

より高いレベルのセキュリティエンジニアとして高度な知識と技術を積み重ねて仕事をしていくという選択肢です。

2. マネージャー

セキュリティエンジニアとしての経験を踏まえ、若手エンジニアを統率し、リーダーシップをもって業務を遂行していくマネジメントの立場です。

3. 責任者(エグゼクティブ)

セキュリティに関して全社的な責任を負う立場です。企業としての全社的なセキュリティ対策の方針や、戦略についても企画検討します。

セキュリティエンジニアとは

ここで、改めてセキュリティエンジニアとはどういった仕事であるのかということに触れておきます。セキュリティ関連業務を専門的に担当するエンジニアであることは、だいたい皆さんもイメージされていると思いますが、具体的にどういったエンジニアなのでしょうか。

ビジネス用語集でセキュリティエンジニアの定義とは、「情報セキュリティを考慮したネットワークの設計・運用・管理を行う職業」とされています。

従来、サーバやネットワークを担当するインフラエンジニアや、企業内のIT業務を担当する社内SEが他の仕事と兼務で、セキュリティ関連業務を担当していました。しかし、年々悪質化かつ巧妙化する脅威に対して、セキュリティの専門家が対処する必要が出てきた結果、こうした職種が出てきたのです。

セキュリティエンジニアの仕事内容

「ウィルス対策」「サイバー攻撃から情報システムを守る」など、皆さんもセキュリティエンジニアの仕事にはさまざまなイメージを抱いているのではないでしょうか。セキュリティ関連の仕事を専門的に行うセキュリティエンジニアの仕事は、大きく以下の3つに分けられます。

  1. サイバー攻撃に強いネットワークやサーバーなどの環境の設計・構築
  2. 日常の運用の中で、サイバー攻撃から情報システムを防御する
  3. セキュリティ事故発生時に適切かつ迅速な対応を行う

また、さらに高いレベルのエンジニアになると、「情報セキュリティポリシーの策定」や、経営陣に対する「企業のセキュリティ戦略」への提案といったことにも関わるケースも増えてきます。

1. 企画・提案

特定の企業や、システムにとって、有効かつ適切なセキュリティ対策を企画・提案する

2. 設計

企画・提案したセキュリティ方針に基づいて、脅威に強いシステムの設計を行う。これには機器やソフトウェアの選定も含まれる

3. 実装

設計した内容に基づいて実際にサーバやネットワークなど各種機器やソフトウェアの導入・設定作業を行う

4. テスト

導入・設定したシステムが意図した通りに正常に動作するかを確認する。意図的にサイバー攻撃を仕掛けて脆弱性の有無を確認することもある

5. 運用・保守

サイバー攻撃を防ぐことができるように、システムを安全かつ高度なセキュリティを維持した状態で運用する。また、ソフトウェアや機器の更新時には設計や機器導入などの対応を行う。

セキュリティエンジニアの年収

経済産業省が平成29年に公表した「IT関連産業の給与等に関する実態調査結果」によると、一般的なITエンジニアに分類される「IT運用・管理(顧客向け情報システムの運用)」の平均年収は608.6万円「IT保守(顧客向け情報システムの保守・サポート)の平均年収592.2万円となっています。これに対して、IT技術スペシャリストに分類されるセキュリティエンジニアの平均年収は758.2万円となっており、年収が高い傾向にあることがわかります。

このように、セキュリティエンジニアは他の一般のITエンジニアと比べても年収が高くなる傾向があります。

セキュリティエンジニアの需要

重要な顧客情報や個人情報、企業として守るべき技術情報などが社外に流出してしまうと企業としては大きな問題です。信用の失墜や企業イメージの低下、特許情報の流出など、場合によっては巨額の損害賠償の支払いが必要になることもあり、経営の存続をおびやかすことにもなりかねません。

そのため、こうしたサイバー攻撃から企業情報を守ることが大変重要な課題となっており、専門的に担当するセキュリティエンジニアの需要が非常に高くなっています。

セキュリティエンジニアの求人状況(実際のデータなど)

企業のセキュリティニーズが高まる中で、セキュリティの専門家であるセキュリティエンジニアの求人状況はどのようになっているのでしょうか。

大手人材紹介会社のDODAから2018年下半期のIT・通信業界の転職動向が公表されています。その中では、セキュリティエンジニアやデータサイエンティストのような新しい分野は需要の高さに見合うだけの人材が得られておらず、今後とも好調な状態であると予測されています。特にセキュリティエンジニアについては、自社でクラウドサービスを提供している企業のニーズが高くなっています。

セキュリティエンジニアの将来性

ガートナージャパンによると、2020年度末には実質30万人も不足するなどIT人材の慢性的な人材不足は今後も続くと言われています。また、経済産業省の2016年の調査でも、同様に2020年には36.9万人、2030年には78.9万人不足すると予想されています。

このように、AIやIoT、ビッグデータの利活用などIT利用が急速に拡大する中で、慢性的なIT人材の不足は今後とも続いていくことは間違いないでしょう。

また、パソコンやスマートフォンだけでなくさまざまな機器がインターネットにつながるIoTの推進は、これまで以上にサイバー攻撃に対するリスクが高まるということを示しています。こういったことから、セキュリティの専門家であるセキュリティエンジニアは将来にわたって需要が高い状態が続くと考えられます。

参考ガートナー、2017年以降のIT人材に関する展望を発表

セキュリティエンジニアが求められる分野

セキュリティエンジニアには、情報セキュリティの専門家として「高度なセキュリティが求められる分野」での仕事が求められます。これは、具体的にはどういった分野でしょうか。

コンサル系

コンサルの仕事では、企業の経営戦略などに対してサポートを行うといったものもあることから、企業の機密情報を得ることがあります。また、仕事の性質上、多くの企業の顧客情報を抱えています。これらの流出などを防ぐには確実なセキュリティ対策が必要です。

メーカー系

今の時代はITを活用した製造管理システムなどで製品を作ることも多く、サイバー攻撃などで被害を受けると生産が停止するリスクがあります。また、技術情報や特許関連など外部に漏れると大きな損失につながるものもあり、これらをサイバー攻撃の脅威から保護するために、適切なセキュリティ対策の需要は非常に高くなっています。

インフラ系

通信インフラはもちろんですが、IoTの推進によって電力やガスなどの公共インフラもネットワーク接続されたスマートメータの利用が拡大しています。こうしたものはサイバー攻撃によってネットワークが攻撃されると停止するリスクもあり、高いセキュリティレベルが要求されます。

商社系

商社は取引先の情報や商品の情報、価格情報など多くの情報を扱っています。もしサイバー攻撃などでこれらの情報が流出すると、信用の失墜など大きな問題となります。したがって、高いレベルのセキュリテイ対策を行うことが不可欠です。

金融系

金融機関は、口座番号やクレジットカードの番号など多くの個人情報を扱っています。これらが流出して悪用される事例や、不正送金が行われる事例など最近よく発生しており、まさにセキュリティエンジニアが必要な分野と言えます。

その他もろもろ

他にも、マイナンバーを扱う業務、病院などの医療機関、保険会社など高度なセキュリティ対策を必要とする分野にはさまざまなものがあります。これらの情報は流出すると大きな問題となるものであり、高度なセキュリティ対策を行う必要があります。

セキュリティエンジニアになるには

セキュリティエンジニアには、幅広いIT分野の知識と高度なセキュリティ関連の技術が要求されます。こういった知識や技術を習得して実際にセキュリティエンジニアになるためには、以下のような方法があります。

  • 大学や専門学校で学ぶ
  • インフラエンジニアから、知識を学んでレベルアップする
  • 独学で学ぶ

セキュリティエンジニアになるためには、幅広くIT分野の知識を学ぶ必要があるので、大学や専門学校などは体系的に技術や知識を学ぶというのはとても良い方法です。また、とりあえずインフラエンジニアとして業界でのキャリアをスタートした上で、セキュリティエンジニアへとステップアップしていくというのもキャリアプランとしては良い方法です。

また、セキュリティエンジニアにとって必要な知識を独学で学ぶこともできますが、広範囲にわたるので資格取得を活用するなど体系的かつ計画的に学ぶ工夫をすることが大切です。

セキュリティエンジニアが取るべき資格

セキュリティエンジニアとして仕事をするためには、インフラやネットワークなど非常に幅広い総合的なITの知識が必要となります。総合的かつ体系的に学ぶことができるということの他に、顧客に自分の技術や知識レベルを客観的に理解してもらうために資格は非常に有効です。では、セキュリティエンジニアはどういった資格を取得すれば良いのでしょうか。

1.シスコ技術者認定

シスコ技術者認定

主催企業シスコシステムズ
URLhttps://www.cisco.com/c/ja_jp/training-events/training-certifications/certifications.html
こちらはネットワーク機器ベンダーのシスコシステムズ社による国際資格の1つで、セキュリティエンジニアの技術レベルを認定する資格としてCCENT/CCNA Security/CCNP Security/CCIE Securityと、段階別に設けられています。世界的に見ても広く認められている資格になっておりますので、エンジニアの方は目指したい資格と言えるでしょう。
初心者向けのエントリー資格(CCENT)から、エキスパート向けのCCIEまで、各レベルに応じた技術者を認定できる資格となっております。これらは国際資格として世界で通用する内容となっています。

CCENT

シスコ技術者認定プログラムの初級編です。基本的なネットワーク セキュリティを含め、小規模なエンタープライズ ブランチ ネットワークの導入、運用、およびトラブルシューティングを行う知識と技能を認定します。
難易度★☆☆☆☆

CCNA Cyber Ops

セキュリティオペレーションセンター内でアソシエイトレベルのサイバーセキュリティアナリストとしてのキャリアを目指すための第一歩と言える認定です。サイバーセキュリティの基本原則、基礎知識、中心的スキルについての理解度が必要となります。
難易度★★☆☆☆

CCNA Security

CCENTの上位資格になります。CCNA Securityを取得するためには、セキュリティインフラの開発、ネットワークの脅威や脆弱性の認識、セキュリティ上の脅威の低減等に関するスキルを有していることが必要になります。
難易度★★★☆☆

CCNP Security

CCNAの上位資格になります。CCNP Securityを取得するためには、ルータ、スイッチ、ネットワーキング デバイス、およびアプライアンスのセキュリティと、ファイアウォールVPNIDS/IPS ソリューションの各自のネットワーク環境に対する選択、導入、サポート、トラブルシューティングを担当するためのスキルを有していることが必要になります。
難易度★★★★☆

CCIE Security

CCNPの上位資格になります。CCIE Securityは、エンジニアとしてかなり難しい資格になります。取得するためには、システムと環境を現在のセキュリティ リスク、脅威、脆弱性、要件から保護するために、最新の業界ベストプラクティスを活用してシスコの包括的なセキュリティテクノロジーおよびソリューションを構築、設計、導入し、トラブルシューティングとサポートを実施するための知識とスキルを備えたエキスパートであることが必要になります。
難易度★★★★★

シスコ技術者認定は世界的な試験となっており、それぞれのレベルによりますが取得することによりエンジニアとして高い評価を受けることが可能となります。
資格取得に実務経験年数などの前提資格は必要ありませんので、受けたいときに受けることが可能となります。

また、CCENT・CCNA Security・CCNP Security・CCNA Cyber Opsの試験は「日本語化」されています。(2018年6月12日修正)

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 19,800円(税込)〜

情報処理安全確保支援士試験

情報処理安全確保支援士試験

主催団体独立行政法人情報処理推進機構IPA
URLhttps://www.ipa.go.jp/siensi/

で、国家資格として情報セキュリティの専門家としてのレベルを認定するものです。情報セキュリティの専門家として、企業などのセキュリテイ対策や管理で主導的な役割を果たす人材であると認められるものとなっています。

情報処理安全確保支援士は、「情報処理の促進に関する法律」に基づいて経済産業大臣が認定する国家資格で、独立行政法人 情報処理推進機構(IPA)による情報処理技術者試験の一つです。サイバーセキュリティに関する相談や情報提供、助言、状況調査や分析などを通じて企業などでの情報セキュリティの確保を支援する人材の資格として情報システムや組織に対する脅威や脆弱性を評価し、技術面・管理面での有効な対策を遂行できるセキュリティエンジニアや情報システム管理者を目指す方に最適です。
情報セキュリティの重要性はますます高まっており、いま最も旬なエンジニア資格です。

試験の難易度としては、合格率が約16%と、半分以上の人が不合格になってしまう試験ですので、しっかり準備することが必要になります。試験対策を練ることが必要です。

難易度 合格率 受験料
★★★★☆ 16.7%(平成29年度) 5,700円(平成30年)

3.ネットワーク情報セキュリティマネージャー(NISM)

ネットワーク情報セキュリティマネージャー(NISM)

主催団体ネットワーク情報セキュリティマネージャー推進協議会
URLhttp://www.nism.jp/
ネットワーク情報セキュリティマネージャー(NISM)は、ハッカーやサイバー攻撃の脅威に対処するため、情報セキュリティのスペシャリストを育成・配置することを目的として創設された資格制度です。
取得することで、セキュリティエンジニアや情報セキュリティ管理者として活躍するための高度なスキルを身につけることができます。ネットワークを構築・運用する技術者の方や企業の情報システム担当者の方にとって、情報セキュリティのスキルを高め、キャリアアップにつなげられる資格で、資格取得には、2~3日間の講習会を受講いただき、最終日の認定試験に合格いただくことが必要になります。
特定のベンダーに縛られることのない、フリーな認定資格として高いレベルの情報セキュリティの専門家を育成することを目的として設けられている資格です。

難易度 合格率 受験料
★★☆☆☆ 非公表※1 64,800円(税込)〜

※1:2017年度の新規取得講習会では、受講者全員が取得(講義をしっかり受講すれば問題なく合格できる試験です)


SNSでもご購読できます。