IT業界職種研究

人気職種の仕事内容から身につけるべきスキルまで。現役のITプロフェッショナルが徹底解説!

  1. IT転職リーベル ホーム
  2. IT業界職種研究
  3. セキュリティエンジニア
  4. セキュリティエンジニアとは

著者プロフィール

加藤 雅彦 ((株) インターネットイニシアティブ)
豊橋技術科学大学工学部知識情報工学課程卒業。同大学院工学研究科知識情報工学専攻修了。某情報システム関連会社でネットワークシステム・ファイアウォール運用業務に従事。1999年株式会社インターネットイニシアティブ入社。関連会社のIIJテクノロジーでのシステム構築業務を経て、現在は技術開発部 セキュリティコンサルティンググループ マネージャ。情報セキュリティ業務に従事している。

第1章:セキュリティエンジニアとは

はじめに

ここのところ、「情報セキュリティ」という言葉を耳にすることが多くなりました。インターネット上はもとより、テレビのニュースや新聞でも取り上げられ、セキュリティという言葉を見ない日は無いほどに増えています。今までは裏方として扱われることが多かった情報セキュリティが社会から注目を浴びており、セキュリティ業界への転職を希望される人も多くなっています。

そこで今回、リーベル様のご厚意により情報セキュリティ(以下セキュリティと記述)業界へ転職を考えられている方々のために本稿を書かせていただくことになりました。実のところ、文章をかくのはあまり得意ではありませんので、多少読みづらいところもあるかもしれませんが何卒ご容赦いただけますと幸いです。

まず本稿の全体の構成についてご説明します。本稿は3つに分かれていて、第一章ではそもそもセキュリティエンジニアとは何か、なぜ急にニーズが増えているのか、セキュリティエンジニアとはどういう職種なのかを説明していこうと思っています。第二章ではセキュリティエンジニアの仕事がどういったものか、セキュリティエンジニアが備えるべきスキルはどういったものかを、最後の第三章ではセキュリティ関連の仕事が出来る会社の紹介と、セキュリティエンジニアのキャリアパスについて、それぞれ触れていこうと思います。

筆者もセキュリティ業界に身を置いて何年かたちますが、比較的新しい職種ですので具体的な仕事やキャリアプランなど、まだまだはっきりしないところもあります。出来る限り現在の状況をお伝えしたいので、筆者の思い込みも含めて、感じることをありのまま書きました。人によって意見の分かれるところも色々あるとは思いますが、一つの考えとして読んでいただきたいと思います。

なお、本稿で想定している読み手としては、IT業界、または情報システム部門で2~3年の経験が有り、セキュリティエンジニアやセキュリティコンサルタントに興味を持っているエンジニアの方を対象とさせていただいております。できるだけ、平易な表現するように心がけていきますが、若干専門用語を使用させていただくこともありますので、その旨ご承知おきください。

情報セキュリティの必要性

さて、この文書を読んでおられる方でインターネットが今ほど利用されていなかった時期(学術機関中心のネットワークだったころ)をご存知の方はどのくらいおられるのでしょうか?

いきなり古い話で申し訳ありませんが、当時のインターネットは性善説に基づいて運用されていました。今では考えられないことですが、ファイアウォールもなく、メールはいつ届くかわからない、通信なんて切れて当たり前、といったのんびりとした牧歌的なネットワークだったというのが私の印象です。

そのころ私は学生だったのですが、企業のサーバに対してインターネット越しにログインしている人を確認して、居たらチャットする(当時はtalkとかでしたが)、などということを何の疑問も持たずにやっていました。

ネットを使っている人は限られていましたし、セキュリティなんて考える必要もこれといって無かったのです。しかし、まったく問題がないかというとそうでもなく、利用者が拡大するにつれてちょっとしたセキュリティ問題が発生することもありました。とは言ってもそんなにおおげさなものではなく、「サーバが1日くらい止まった」とか(それほど文句も出なかった)、「ちょっと困った」とか「管理がいいかげんではずかしい」くらいで済むものが大半でした。当時インターネット自体も発展途上でしたし、自由な通信ができることがメリットでしたので、セキュリティのために通信を制限するということは今日ほどプライオリティが高くなかったのではないかと想像しています。

しかし、そんなインターネットも利用者が増えてくるにしたがってだんだんと変化を遂げました。インターネットの普及速度はテレビやラジオの普及速度よりもはるかに早いといわれています。企業がIT技術を積極的に採用し、また、一般の利用者が急速に増加したことで、インターネットは一気に普及期に入ったのです。情報の入手は昔と比べられないほど簡単になり、ショッピングやバンキングといったこともネット上でできるようになりました。今となってはインターネットのない社会を想像することも難しく感じられるほどです。

そうして実社会との距離がぐんと縮まった結果、今日のインターネットは現実社会の影の部分をはっきりと写し出すようになりました。ネット上でのセキュリティ被害がビジネスの継続性に影響し、実際の経済的な損失に及ぶようになったのです。しかも、その影響度は昔とは比べ物にならないほどはるかに大規模で深刻化しています。ネット利用の急激な増加に伴うセキュリティ問題の急激な増加、このような背景を元に、セキュリティの必要性、重要性ということが声高に叫ばれるようになったため、急速に「セキュリティのわかるエンジニア」という人材に対するニーズが増えているというのが現状です。

セキュリティエンジニアとセキュリティコンサルタント

上記のとおり、セキュリティエンジニアという職種は比較的新しい職種のため、具体的にこれをやっていればセキュリティエンジニアであるという、はっきりとした定義があるわけではありません。CISSPやGIACといったような資格もできていますが、かといって、この資格を持っている人が必ずセキュリティエンジニアであるというわけでもありません。ただ、大雑把に言って「情報セキュリティに関する仕事を専業としている人」、といえばそれほど間違いは無いかと思います。

また、一般的に情報セキュリティというと、管理面と技術面に大きく分かれますが、エンジニアといった場合には技術面にフォーカスする場合が多く、コンサルタントといった場合にはセキュリティポリシーや認証取得といった管理面にフォーカスされることが多いように思われます。しかし、肩書きはセキュリティコンサルタントとなっていても技術的に長けた人も多く、実際の境界線はあいまいであることが多いため、本稿では両方まとめて、「セキュリティエンジニア」と表記させていただくこととします。

さて、では、セキュリティエンジニアはどのような仕事を行っていて、どういったフィールドで活躍できるのでしょうか?

セキュリティを守るということ、つまり、安全を維持するという行為はどのような仕事にも存在するため、実際にこの質問に正しく答えることは大変難しいと思います。しかしただ単に「難しいですね」では答えにならないので、システムのライフサイクルをベースに筆者の私見を交えつつ列挙していこうと思います。

  • 企画

    セキュリティ系のコンサルティングも色々ありますが、個人情報保護法等の施行により、現在は ISMS取得やプライバシーマーク取得といった認証取得系のコンサルティングが流行しています。主に管理方面でのコンサルティングとなるため、機械を触ることはそれほどなく、お客様も経営者や管理者を対象とすることが多くなります。セキュリティの観点から管理や意思決定の支援を行う業務と考えればよいでしょう。

  • 設計

    実際のところ、セキュリティ「だけ」のシステム設計ということはありません(セキュリティシステムの設計はあります)。ネットワークやサーバ機器、アプリケーションや運用設計まで、システムのライフサイクルすべてにセキュリティ要件は存在します。安全を守るために、セキュリティを考慮したシステム設計を行わなければなりません。つまり、セキュリティエンジニアが行うシステム設計とは、要件を元にネットワークやアプリケーション、ひいては運用までを理解した上でさらにセキュリティを考慮した設計を行うことです。よって大変幅広い知識が要求されます。セキュリティに関する機能要件をまとめたり、その要件をシステムに反映したりと、様々なシチュエーションで活躍できます。

  • 実装

    これも設計と似た部分があって、セキュリティ「だけ」を考えて実装するということはありません。ネットワーク機器の設定、各種OSの設定、アプリケーションプログラミングと、システムが安全に動くため、やるべきこと全てにセキュリティの要素が混入します。よってこちらも相当な知識が要求されます。セキュアプログラミングとか、セキュリティアーキテクチャの知識や能力、インプリメンテーションにおける技術が生かせるでしょう。

  • テスト

    このフェーズは比較的セキュリティに特化しやすいところかもしれません。いわゆるセキュリティ検査などがこれにあたります。脆弱性情報の収集や脆弱性の再現テスト、脆弱性対策などを行います。

  • 運用

    実は一番セキュリティエンジニアを必要としているフィールドかもしれません。システムを安全に運用していくということが今の状況では必須だからです。事故対応(インシデントレスポンス)や不正侵入の調査(フォレンジック)といったものを行ったり、ネットからの攻撃にいち早く対応したりする必要があります。

以上のように、現時点ではセキュリティ「だけ」がわかっていればいい仕事というものは比較的少数で、実際には「セキュリティがわかるxx」といった位置付けになることが多いようです。一言でセキュリティエンジニアといっても、その中身は様々であることがなんとなくおわかりいただけたでしょうか。

では、次回はセキュリティエンジニアに必要なスキルについてお話していこうと思います。

注目のキーワード: