「セキュリティエンジニア」という仕事に興味を持ったあなた。
すでにエンジニアとして働いている方はもちろんのこと、未経験でこれから就職・転職を考える方は、しっかりとそのエンジニアとしてのレベルを相手に伝えるために「資格」の取得は重要です。

今回は自身のキャリアアップや仕事をスムーズに進めるためには、どの資格がオススメなのかを整理しながら、これからますます需要が増えていくセキュリティエンジニアの仕事内容や年収などを整理しますので、今後のキャリアの参考にしてください。

セキュリティエンジニアとは?

セキュリティエンジニアとは、情報セキュリティを考慮してシステムやネットワークの設計、運用や管理を行うエンジニアです。
コンピュータウィルスの感染や不正アクセス、個人情報や機密情報の漏洩や悪用など様々なサイバー攻撃を未然に防ぐため、調査や対策を行っています。

また、社内やクライアント企業に対して、セキュリティ対策の提案したりする場面も多くあります。そのため専門的な知識が必要とされるだけでなく、円滑なコミュニケーション能力も求められる職業でもあります。

セキュリティエンジニアのための資格について

そもそも資格は必要?

セキュリティエンジニアとして働くために必須という資格はありません。

しかし、セキュリティエンジニアとして高い技術力と知識を持ち合わせていることを証明するための民間資格や国家資格が多数存在します。
スキルを所有していることを証明し、さらにスキルアップするために、これから紹介する各種の資格の取得をおすすめします。

取得がオススメの資格一覧

セキュリティエンジニアとして仕事をする上で、必ずしも資格を取得しておく必要はありませんが、幅広い知識を習得し、自分自身のキャリアアップや顧客へ安心感を与えるという意味で取得しておくと良い資格としては次のようなものがあります。

シスコ技術者認定(セキュリティ)

主催企業シスコシステムズ
URLhttps://www.cisco.com/c/ja_jp/training-events/

Cisco Systems社のセキュリティ関連の認定資格です。
レベルに応じて5段階(セキュリティの分野では4段階)の構成になっています。

CCENT(エントリー認定)

Cisco Certified Entry Networking Technician
エントリーレベルのネットワークサポート担当者に要求されている技能を備えていることを証明します。基本的なネットワークセキュリティの技術を有していることを認定します。

CCNA Security(アソシエイト認定)

Cisco Certified Network Associate Security
セキュリティインフラの開発、ネットワーク脅威や脆弱性の認識、セキュリティ上の脅威の低減に必要なスキルを所有していることを認定します。

CCNP Security(プロフェッショナル認定)

Cisco Certified Network Professional Security
ネットワーク環境の選択、導入、サポート、トラブルシューティングを担当するセキュリティエンジニアの技術を認定します。

CCIE Security(エキスパート認定)

Cisco Certified Internetwork Expert Security
システムと環境を現在のセキュリティ リスク、脅威、脆弱性、要件から保護するために、最新の業界ベスト プラクティスを活用してシスコの包括的なセキュリティ テクノロジーおよびソリューションを構築、設計、導入し、トラブルシューティングとサポートを実施できる知識とスキルを備えたエキスパートであることを認定します。

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 38,880円(税込)〜

CompTIA Security+

主催企業CompTIA(SPREAD)
URLhttps://certification.comptia.org/ja/certifications/security

世界的に実施されているベンダーニュートラルの認定資格です。セキュリティの大原則となる、セキュアなネットワークの維持とリスク管理について出題されます。米国国防総省の情報保証に関連している人材に対しての必須資格でもあり、世界的な認知度が高く、信頼されている資格です。以下の分野におけるスキルを評価します。

  • ネットワークセキュリティ
  • コンプライアンスと運用セキュリティ
  • 脅威と脆弱性
  • アプリケーション、データ、ホスティングセキュリティ
  • アクセスコントロール、認証マネジメント
  • 暗号化

CompTIA Security+はセキュリティの概念に対して「知っている」「理解している」だけでなく「どのようにするか」を理解することに重点が置かれています。そのため出題に際して「適切な手順を実行する」「異なる認証モデルを展開する」という表現が使われています。

難易度 合格率 受験料
★★☆☆☆ 非公開 34,969円(税込)

ネットワーク情報セキュリティマネージャー(NISM)

主催団体ネットワーク情報セキュリティマネージャー推進協議会
URLhttp://www.nism.jp/

ハッカーやサイバー攻撃の脅威に対処するためのセキュリティ知識を問うベンダーフリー資格です。

講習会と試験がセットの資格制度となっており、実機をつかってデモや演習・モデルケースを使った演習中心の講義で実践的なスキルを取得します。レベル別・カテゴリ別に以下の5つの資格から構成されています。

  • ネットワークセキュリティ基礎
  • ネットワークセキュリティ実践
  • サーバセキュリティ実践
  • セキュリティポリシー実践
  • セキュリティ監査実践

資格の有効期間は2年間で更新するためには更新試験を受験する必要がありあす。

難易度 合格率 受験料
★★☆☆☆ 非公表※1 64,800円(税込)〜

※1:2017年度の今年度の新規取得講習会では、受講者全員が取得(講義をしっかり受講すれば問題なく合格できる試験です)

公認情報セキュリティマネージャー(CISM)

主催企業ISACA(情報システムコントロール協会)
URLhttp://www.isaca.gr.jp/

情報セキュリティ管理の知識と経験を認定する国際的な専門資格です。

全世界で15400名以上、日本では330名以上がCISMとして認定されています。情報セキュリティマネージャーを想定しており、認定には情報セキュリティ管理に関する5年以上の実務経験が必要です。

難易度 合格率 受験料
★★★☆☆ 非公開 US$760(約8万円)
早期割引・会員割引あり

情報処理安全確保支援士

主催団体独立行政法人情報処理推進機構(IPA)
URLhttps://www.jitec.ipa.go.jp/sg/
IPA(情報処理推進機構)が実施している情報セキュリティに関する国家資格です。

日本国内で実施されているセキュリティ関連の資格では最難関であり、セキュリティに関する技術面・管理面・運用面に関して幅広い知識が要求される資格です。通称「登録セキスペ」と呼ばれており、試験の合格者は申請することにより情報処理安全確保支援士として認定されます。認定後は1年の間にオンライン学習と、3年に1回の集合講習を受講することが義務付けられています。

難易度 合格率 受験料
★★★☆☆ 58.4%(平成29年度) 5,700円(平成30年)

(ISC)2資格

主催企業(ISC)2
URLhttps://japan.isc2.org/
「アイエスシー・スクエア」と読みます。セキュリティ分野での世界的な共通知識やベストプラクティスを元にした世界的に評価されているセキュリティ資格です。日本語で受験することができますが、日本人の合格者は多くありません。なので、合格すれば高い評価を受ける事ができるでしょう。この資格には以下の4つの種類があります。

CISSP(Certified Information Systems Security Professional)

セキュリティに関する8つのドメインを3つの大きな分野「概念と設計、計画」「実装と技術」「運営と評価」に分類しています。受験するためには、セキュリティに関する4年以上の業務経験が必要です。3年おきに再認定のための要件があり、さらに年会費85ドルを支払う必要があります。

SSCP(Systems Security Certified Practitioner)

ネットワーク・システム開発や運用などに従事し、通常は情報セキュリティを専業としていないけれども、情報セキュリティの知見を技術としての観点だけではなく、「組織」という観点から理解し、情報セキュリティ専門家や経営陣とコミュニケーションを図れることを目指している人材を認証する資格です

CCSP(Certified Cloud Security Professional)

クラウドサービスを安全に利用するために必要な知識を体系化した資格で、Cloud Security Alliance (CSA)と共同で開発されたものです。情報セキュリティの専門家として経験を有した人材が対象で、最低5年間のIT企業でのフルタイム勤務の経験、3年間の情報セキュリティ部門の経験、最低1年のクラウドセキュリティの経験が必要です。

CSSLP(Certified Secure Software Lifecycle Professional)

ソフトウェアの脆弱性に端を発したセキュリティインシデントの増加や、政府や重要インフラにおけるセキュアなソフトウェアニーズの増大を鑑み、開発された資格です。プログラマーだけではなく、プロジェクトマネージャー、QA担当者、ソフトウェア発注責任者など幅広い層の方々に取得して欲しい資格です。

難易度 合格率 受験料
★☆☆☆☆〜★★★★★ 非公開 6万円前後

最初に目指す資格はどれが良い?

まずは

前述のようにたくさんの資格がありますが、まだ資格を持っていないけど、セキュリティエンジニアとしての仕事をしたい!キャリアアップしたい!箔をつけたい!という方には、ネットワーク情報セキュリティマネージャー(NISM)をオススメします。

「ネットワーク情報セキュリティマネージャー(NISM)」は、前述したように、2017年度の今年度の新規取得講習会では、受講者全員が取得できており、講義をしっかり受講すれば問題なく合格できる試験です。

全く勉強しないで参加しての合格は難しいかもしれませんが、セキュリティエンジニアを目指して業務を行なっていたり、勉強している方であれば、ほぼ合格は間違いない資格です。
まずは専門家として箔をつけたいということであれば、所属会社の上司に頼んで、会社の経費で「ネットワーク情報セキュリティマネージャー」取得をお願いして見てはいかがでしょうか?

最終的に目指すなら

セキュリティエンジニアとして長期的な視点で取得を目指すなら、国家資格である情報処理安全確保支援士です。
おすすめポイントを挙げると、

  • 国家資格であり認知度が高い。
  • 受験するにあたって学歴や職歴などの条件が不要
  • 受験料が安い(5,700円)。
  • 1年に2回(4月と10月)に試験が開催される。
  • 試験対策のための参考書が数多く販売されており対策しやすい。
  • 合格に必要な知識と技術がセキュリティ関係の幅広い実務に活用できる。

という理由からです。
ちなみに、情報処理安全確保支援士は2016年までは「情報セキュリティスペシャリスト」という名称で試験が実施されていました。2017年4月から試験制度に改正があり、試験合格するだけでなく、さらに登録することで「情報処理安全確保支援士」という名称を使用できるようになり、さらに、定期的な講習の受講など資格維持のための要件が追加されました。

このような事情もあり、「情報処理安全確保支援士」であるということは、ある程度のレベルのセキュリティエンジニアであることが、世間的にも認知されてきており、セキュリティ業界では高く注目されている資格なので、長期的な視点で絶対取得しておきたい資格です。

あとは分野別に

その他は、実際の業務内容に合わせ、ご自身のレベルに合わせて
「シスコ技術者認定(セキュリティ)」や「(ISC)2」などを取得して、スキルアップ・キャリアアップを目指すのが良いでしょう。

セキュリティエンジニアの仕事内容

セキュリティエンジニアは情報セキュリティを専門に扱うエンジニアです。

セキュリティ業界は日進月歩。まずはセキュリティに関する最新知識を常に入手する心構えが必要です。

セキュリティエンジニアと一言で言っても様々な仕事内容がありますので、以下にセキュリティエンジニアの具体的な仕事内容を整理しました。
これら全てを担当することもあれば、一部のみを専門的に担当する場合もあります。

企画・提案

構築するシステムの要件に応じて求められるセキュリティの提案などを行います。

企画・提案を担当するセキュリティエンジニアはセキュリティコンサルタントとも呼ばれます。
技術的な知識が求められるだけでなく、個人情報保護法といった法律面でも詳しいセキュリティエンジニアの需要があります。

さらに、ISMS認証(情報セキュリティマネジメント認証)やプライバシーマーク(Pマーク)の取得を目標とする企業も増加しており、管理面でのサポートができるセキュリティエンジニアの需要も高まっています。

設計

セキュリティに十分配慮されたシステムを設計します。

セキュリティ面だけでなく、構築するシステムの運用方法やネットワーク構成、さらに動作させるサーバやアプリケーションなどシステム全体を幅広く考慮した設計を行います。

実装

セキュリティに配慮した設計に基づいてシステムを実装します。

実際にネットワーク機器を選定したり、プログラミングをしたりする工程です。セキュリティに配慮したプログラミングはセキュアプログラミングと呼ばれ、セキュリティに関する高い技術力と専門的な知識が求められます。

また、Webアプリケーションの場合は毎日のように脆弱性が報じられており、適切な対処法や実装方法の判断が必要とされます。

テスト

実装されたシステムの脆弱性を調査するためのテストや、既知の脆弱性への対策が施されているかテストします。セキュリティ検査とも呼ばれます。テスト対象のシステムに対して、模擬的にサイバー攻撃を行い潜在的な脆弱性を発見したり、プログラミングされたソースコードをレビューしたりします。

運用・保守

システム導入後の運用や保守を行います。

システムを安全に運用するために障害や攻撃の検知し、実際にサイバー攻撃が発生した場合はその事後対応も行います。

また、日々アップデートされるセキュリティ情報を収集して、システムを構築している機器の見直しやOSやアプリケーションの更新も行います。

セキュリティエンジニアの年収

セキュリティエンジニアは高度な知識と技術力が求められるため、スキルによって年収が大きく異なります。

30歳前後では平均600万円程度です。
新人のセキュリティエンジニアですと、年収は300万円~500万円くらいからスタートするケースが多いです。また、技術力が高いエンジニアは年収1000万円に達成することもあります。

一般的に国内企業より外資系の企業の方が年収は高くなる傾向があります。

セキュリティエンジニアの今後の需要

インターネットの普及に伴い様々な企業でセキュリティエンジニアの需要が増加しています。
しかし、十分な知識と技術力を有しているセキュリティエンジニアは、まだまだ少ないのが現状です。

先ほど紹介した情報セキュリティ関連の資格を取得することで専門的な知識を手に入れ、セキュリティに関する最新情報の取得を日々続けていくことで、他のセキュリティエンジニアとの差別を図ることができるでしょう。

そのようなセキュリティエンジニアは企業のニーズを満たす人材となり、ますます需要が高まっていくはずです。

まとめ

セキュリティエンジニアがIT業界で活躍するためには、常に新しいセキュリティ情報を収集し、技術力を高めるための不断の努力が必要です。
さらに、技術力だけでなく情報セキュリティ保護に関する責任感やモラルの高さも求められます。
セキュリティエンジニアは企業活動において信頼を守り責任を果たす重要なお仕事です。

今回紹介した資格を取得し、スキルの高いセキュリティエンジニアを目指してみてはいかがでしょうか。

 

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?