情報セキュリティに関する専門業務を行うエンジニアが、「セキュリティエンジニア」です。
セキュリティエンジニアは、インターネットの一般化やサイバー攻撃の複雑化を背景に生まれた、比較的新しい職種ですが、システムエンジニアとはどのように違うのでしょうか?
本記事では、セキュリティエンジニアの仕事内容や1日の様子などを紹介しながら、システムエンジニアとの違いも解説します。
セキュリティエンジニアの仕事内容は?
セキュリティエンジニアは、ネットワークやシステムをサイバー攻撃から守るエンジニアです。
ネットワークやシステムに存在する脆弱性、セキュリティ上の弱点を発見すると同時に、その問題を解決するための施策やシステムを提案・提供します。
その業務は多岐にわたり、代表的なものは次のとおりです。
セキュリティ診断やアセスメント
企業が保有している既存のシステムや新規に開発するシステムに対して、セキュリティ診断やアセスメントを実施します。
ソースコードや設計書をセキュリティの観点で評価し、脆弱性の有無や、リスクとなりえるシステム構成などを洗い出し、報告書としてまとめます。
また、ITシステムに疑似的なサイバー攻撃を仕掛け、セキュリティ上の弱点を探し出す、ペネトレーションテストを実施するのもセキュリティエンジニアの仕事です。
新しい脅威に関する調査と対策の検討
1日に200万個の脅威が誕生していると言われています。セキュリティエンジニアであれば、新しい攻撃手法や技術に関する調査や世界中で発生しているインシデントに関する調査は避けられません。また、脅威に関する調査だけでなく、その脅威への対策方法の検討も含めて実施します。
セキュリティ教育
社内外でセキュリティ教育を行い、セキュリティトレーニングにおいては、講師などを務めます。
一般社員に対し、最新法令を紹介したり、サイバー犯罪の手口などを解説・周知することで、セキュリティ意識やリテラシーの向上を図ります。
セキュリティマネジメント/コンサルティング
一般社員に対するセキュリティ教育の他、企業の経営層などに対し、企業のセキュリティ管理体制について、評価や改善指導を行います。状況を調査した上で、セキュリティ上の問題点の報告および施策の提言をします。
セキュリティ設計・運用・保守
システムエンジニアと連携し、システム開発プロジェクトにおいて、セキュリティ部分の設計を行うこともあります。また、システムの完成後も、セキュリティ機能の運用・保守を担当します。
具体的には、アプリケーションやOSのアップデート・通信の監視・アクセス権の管理・ログファイルの管理などを行い、セキュリティを担保します。
2種類のセキュリティエンジニア
セキュリティエンジニアの業務について紹介しましたが、実際は、すべての業務に携わることはまれです。セキュリティエンジニアには大きく2種類存在し、所属する企業により業務内容が異なります。
1つ目のパターンが、企業内で自社のセキュリティ課題を解決するセキュリティエンジニアの場合です。企業内のIT・セキュリティ部門に所属し、セキュリティエンジニアとして勤務します。この場合、業務内容はインフラエンジニアの一端を担ったり、システムエンジニアと連携して製品やサービスの設計に関与することが多くなります。
2つ目のパターンは、ITセキュリティに関する調査や対策・助言を行うことを専門とする企業で、セキュリティエンジニアとして勤務する場合です。
この場合、顧客企業からの依頼に基づき、顧客企業のセキュリティ課題を解決する社外担当者として働くことになります。
セキュリティエンジニアのとある一日
セキュリティエンジニアの平均的な1日の様子を紹介します。
10:00:出社
メールやチャットを確認し、対応する。
10:15:情報収集と調査
新たに発生したインシデントや脆弱性情報を確認する。
10:30:案件タスク業務・新技術調査・コーディング・資料作成など
12:30:昼食
14:00:社内ミーティング
15:00:顧客訪問
定例会や提案など
16:30:案件タスク実施・報告書作成など
17:30:調査や自己研鑽・勉強
18:30退社
「パソコンの前でカチカチ・・」といったイメージとはかけ離れ、実際は、セキュリティエンジニアは、調査や勉強などに割く時間が非常に長い仕事であることが分かります。
セキュリティエンジニアに向いている人
企業内セキュリティエンジニアなら自社内の課題や要望を、セキュリティ専門企業に所属するセキュリティエンジニアなら、顧客の課題や要望を解決することが求められます。
どちらの場合でも、セキュリティエンジニアの仕事で重要となるのが、技術課題や要望を洗い出す、ヒアリングや調査です。
エンジニアというとPCに向かって黙々と作業をしているイメージを抱く人も多いはずですが、セキュリティエンジニアにおいては、人とのコミュニケーションが苦痛な人は、向いていないと言えそうです。
また、次々と新しい脅威が誕生しており、セキュリティ対策には終わりがありません。セキュリティエンジニアの1日でも紹介したとおり、最新脅威に関する調査や情報収集・自己研鑽を絶え間なく行うことが非常に重要になります。
調査や勉強をし続けることに喜びを感じられる人であれば、セキュリティエンジニアは天職と言えそうです。
システムエンジニアの仕事内容
システムエンジニアを一言で表せば、「これから作るシステムを計画・設計」する仕事です。
システム開発において、システムエンジニアは、設計から開発、テストまでを一貫して計画し、実行する役割を担います。
「システムエンジニア=プログラマー」と誤解されがちですが、システムエンジニアの仕事内容は、顧客が作りたいシステムについて要望を聞き出すところから、作り方を考え、設計書を作成するところまでです。設計書に基づき、プログラムを書くのがプログラマーであり、システムエンジニアがプログラムを書くことは多くありません。
システムエンジニアに向いている人
セキュリティエンジニアと同様、顧客の要望をヒアリングするなど、システムエンジニアにも高いコミュニケーション能力が求められます。
ITのトレンドは日々変化しており、継続的な調査や勉強ができる姿勢も求められます。
ただ、業務に明確なゴールがないセキュリティエンジニアに対し、製品の完成というゴールに向かって邁進するシステムエンジニアの場合、納期に追われながら仕事をすることも日常茶飯事です。プレッシャーに強く、精神的にタフな人は特にシステムエンジニアに向いていると言えそうです。
セキュリティエンジニアとシステムエンジニアの違い
システムエンジニアと比較すると、セキュリティエンジニアは比較的新しい職種です。
セキュリティエンジニアという職種が生まれる前、インフラエンジニアや社内SEと呼ばれるシステムエンジニアが、セキュリティ対策業務を兼務している状態が当たり前でした。
ところが、サイバー攻撃は日々複雑化・巧妙化しているため、昨今では、情報セキュリティに特化した高度な知識や技術なくして、強固なセキュリティ対策の実現などありえません。
そこで、セキュリティ対策を専門的に扱うセキュリティエンジニアという職種が生まれた背景があります。
セキュリティエンジニアとシステムエンジニアの違いを、表にまとめると次の通りです。
活用する技術は同じでも、根本的な考え方が異なる職種であることが分かるはずです。
セキュリティエンジニア | システムエンジニア | |
---|---|---|
活用する技術 | ITに関する技術 | ITに関する技術 |
前提とする考え方 | 悪意のある者がシステムを悪用する |
|
ゴールの有無 |
|
|
キャリアパス |
など |
など |
関連資格 |
など |
など |
まとめ
システムエンジニアとの違いや仕事内容を紹介しながら、セキュリティエンジニアとはどのような職種なのか説明してきました。
セキュリティエンジニアは比較的新しい職種であることから、エンジニアを目指す個人は、セキュリティエンジニアになるための方法を手探りで探している状態です。
また、セキュリティに関する技術は特殊であるため、セキュリティエンジニアを育成したい企業も、これまでの人材育成ノウハウが全く活かせず苦慮しています。
そんな個人や企業担当者の方に手を差し伸べる、優良サービスを紹介します。お問い合わせは無料ですので、お気軽にご連絡ください。