セキュリティエンジニアでフリーランスになるには?どんな人が活躍できる?将来性は?
3 years ago
ネットワーク化が進むに伴い、セキュリティ対策が必須となっています。セキュリティエンジニアはセキュリティ対策によりシステムの安全性を高めて運用する職種です。
そこで今回は、セキュリティエンジニアでフリーランスとなり、活動していくことについて、知っておきたいポイントや独立の判断是非を決めるポイント、今後のキャリアパス・将来性などまで、幅広く解説します。関心のある方はぜひ一読し、資料として役立ててみてください。
セキュリティエンジニアは情報セキュリティのスペシャリスト!
情報セキュリティのプロフェッショナルとして自身の知見を活かし、より安全性の高いシステムの設計や運用が実現されるよう活動します。かつては開発の中の一観点であったセキュリティですが、近年はその重要性が増し、攻撃や脅威のレベルも飛躍的に上がっていることから、この領域を専門とする人材、特化したポジションとして活躍する技術者が強く求められるようになり、セキュリティエンジニアという言葉と職種ジャンルが確立されました。
膨大な顧客データを収集し、保持・活用したり、ビジネスとしてデータを取り扱ったりする企業は、セキュリティホールから攻撃を受け、重要な情報が漏洩するといった事態になると、経済的にも社会的信用の面でも、多大な損害を被ってしまいます。場合によっては事業を継続できなくなることもあるでしょう。個人も法人も、そのデータが秘匿性の高いもの、機密性の高いものであればあるほど、セキュリティ被害はさらに深刻なものとなり、当たり前の活動を維持することすら困難になってしまうのです。
セキュリティエンジニアの仕事内容
では、セキュリティエンジニアは具体的にどのような仕事を行っているのでしょうか。情報セキュリティという領域の中で、非常に多岐にわたる業務を担っているため、関わる案件、業界によりさまざまな仕事内容が含まれますが、およそどういった仕事を行っているのか、業務工程を分類してみていきます。
企画・提案業務
サービスやアプリケーションの管理者や企業の経営者、IT担当者など、クライアントの現況や要望をヒアリングしながら、どういったセキュリティシステムを開発・導入するかなどを考え、提案していく仕事です。サービスがどういった内容でどのような情報を取り扱うものなのか、企業であればその業界特徴や事業展開方針、組織体系、現在用いられているシステムの仕様など、個々に異なるさまざまな条件要素を加味して最適な手法を見出していく必要があります。
昨今は、一般生活者における情報セキュリティの重要性認知が高まったことや、個人情報保護法の制定により、ISMS(情報セキュリティマネジメントシステム)や、一般財団法人日本情報経済社会推進協会による第三者認証制度のプライバシーマーク取得を目指す事業者も多くなり、その導入や認証取得サポートを行うといった仕事の案件も増えてきています。
設計・実装業務
企画段階で決定した内容をもとに、実際のセキュリティシステムを細かく、具体的に設計していく仕事です。ただセキュリティを強化する仕組みを作れば良いわけではありません。実際に運用されるシステムでは全体を考える必要があり、用いるネットワーク、サーバー機器、アプリケーション、デバイスなどハードウェア・ソフトウェアのそれぞれに満たすべきセキュリティ要件があります。
テスト、運用・保守点検業務
設計・実装したシステムが想定通りに正しく動作するか、確認を行います。またシステム上の脆弱性がないか、あるとすればどこにどのような脆弱性が存在するのか、テストチェックを実行します。脆弱性診断・脆弱性検査とも呼ばれるもので、脆弱性の再現テストを行い、より高い安全性を確保するための対策を施します。
攻撃に起因するシステムの障害など、インシデントが発生した場合に、いち早く適切な対応をとっていくことも、セキュリティエンジニアの重要な仕事です。
セキュリティエンジニアが活躍できる業界
セキュリティエンジニアの活躍できる業界は、非常に多岐にわたります。極端に言えば、存在している業界全て、あらゆる世界が視野に入るといっても過言ではありません。
今日の企業や組織・団体にとって、どのような業種業態であれ、デジタル化の推進が叫ばれており、さらなるICTの活用、デジタルトランスフォーメーションの実現は、優先性の高い課題となっています。そうした情報化技術の利用が進む中では、セキュリティへの対応が不可欠であり、これまでよりも高度な対策が求められるため、セキュリティエンジニアの力が随所で必要になってきます。つまり,セキュリティエンジニアが不要な企業・組織、セキュリティエンジニアの活躍の場が見出せないところは、ほぼ存在しないといえるのです。
IT導入が進み始めた金融業界は、中でも直接的に大切な顧客の資産を扱う性質上、他の業界よりさらに高度なセキュリティ環境を常に必要としています。最先端の技術を導入し、激しさと巧妙さを増すサイバー攻撃に耐えられるシステムやサービスプラットフォームの構築、維持・運用を今後も強く求める向きが続いていくでしょう。セキュリティエンジニアにとっては、大いに力の見せ所となる業界といえます。
セキュリティエンジニアに向いているタイプ
求められる場の多いセキュリティエンジニアでは、フリーランスなど自由な働き方で活躍しているプロフェッショナルも増えてきました。そうしためざましい活躍を遂げている人の共通点、セキュリティエンジニアに向いている人のタイプとは、どのようなものが挙げられるでしょうか。基礎スキルともいえる性格や考え方など、いくつかポイントとその根拠をみていきます。
幅広い知識があり新たな学びにも積極的
幅広いIT領域の知識と関心があり、変化やトレンド、最新情報に敏感で、必要な知識を日々取り込むことができる人、積極的に、主体的に、新たな内容も学び続けていくことが苦にならない人がセキュリティエンジニアに向いています。
高いモラルがある
セキュリティエンジニアとしての知識と技量があれば、それを悪用して私利私欲につながるものとする、非道徳的な行為をするいったことも不可能ではありません。セキュリティという領域に関わる以上、技術的に可能であってもそのような行動は決してとらない、高いモラルがあることは絶対に必要なポイントです。
責任感がある
自分の仕事にミスがあったり、見落とした脆弱性、セキュリティホールがあったりすると、クライアントに重大な損害を与えてしまう可能性があります。強い責任感をもって取り組まなくてはいけません。長期にわたる運用・点検保守の業務でも同様です。責任ある仕事ができ、きっちり自身でやり抜くことができる人、そうした人がセキュリティエンジニア向きといえます。
洞察力に優れる
より良いセキュリティの仕組みを作り出すには、企画・設計段階からテストの実施まで、さまざまな場面で通常の想定の範囲外まで拡張して考える力、多方面から検証し考え抜く力が必要です。あらゆる脅威・攻撃を想定し、具体的にイメージして対処できる力や、柔軟な発想で問題をクリアすることが求められるでしょう。細かな点にまで気がつく繊細さと深い洞察力、時には常識にとらわれない発想ができる力も重要になります。
セキュリティエンジニアの年収はどれくらい?
重要な情報セキュリティ領域を担当し、責任も大きな仕事を行うことになるセキュリティエンジニアですが、平均年収はどの程度になっているのでしょうか。ぜひ知っておきたい気になる年収相場について、データから見ていきます。
平均年収の相場
セキュリティエンジニアの平均年収は、所属する企業や個人のスキルレベル、実績、経験年数などにより、大きな差がみられます。一般的には、やはり安定した業績と事業規模を持つ大手企業で経験を積み、昇進していけると高収入を得やすくなっています。国内企業に比べると、技術志向の強い外資系IT企業などでは、とくに待遇が良いケースが多く、実力次第で高い評価を得られ、年収1,000万といった高収入を得ているセキュリティエンジニアも存在します。
正社員の場合
経済産業省が2017年8月に発表した「IT関連産業の給与等に関する実態調査結果」によると、セキュリティエンジニアが含まれる「IT技術スペシャリスト(DB・NW・セキュリティなど特定技術に関するもの)」の平均年収は758.2万円となっています。この場合のスキル標準レベルは7段階中の3.9で、およそ部下を指導できるチームリーダーレベルを指す4にかなり近いもの、独立して仕事ができる中堅人材レベルの3を上回るものとなっています。
一方で基本的なスキルを備えたセキュリティエンジニアのスタートとしては、年収にして300万円ほどともいわれますから、高水準とは言い切れません。企業の場合、IT関連でも同調査で給与水準における年功の影響度が「非常に大きい」または「大きい」と回答した企業が合計で28.5%と3割弱にのぼっており、純粋な技術力勝負、能力勝負だけでなく、そこに所属して経験を重ねた実績年数もかなり加味されていると考えておく必要があるでしょう。
フリーランスの場合
では、実力次第の世界と考えられるフリーランスのセキュリティエンジニアではどうでしょうか。レバテックフリーランスの「セキュリティエンジニアの求人・案件一覧」にある月額単価相場(2021年4月20日時点)を参照すると、案件の平均単価が67万円、最高単価は100万円、最低単価が40万円となっています。仮に、平均単価の案件を継続的に獲得できたとして、12カ月分を年収と捉えて計算した場合、804万円になります。
企業に所属する会社員エンジニアとフリーランスエンジニアでは、社会保険料などの負担や納税などの面で置かれる状況が異なるため、単純に比較することはできませんが、フリーランスのセキュリティエンジニアの報酬相場はかなり高くなっているといえるでしょう。
背景には、情報セキュリティ対策が喫緊の重要課題となり、セキュリティエンジニアの力を求める企業が多いのに対し、そのニーズに応えられるだけの専門知識を有した人材が慢性的に不足していることから、セキュリティエンジニアとしてのスキルが高ければ、高収入を得ることが可能です。
他業種と比較した年収の水準
続いてセキュリティエンジニアの年収が、他の業種と比較した場合に水準としてどうなのか、実態を見ていきます。経済産業省が2016年6月に公開した「IT人材に関する各国比較調査」の結果によると、日本のIT人材全体の平均年収は約598万円でした。タイやベトナムなどに比べると高いものの、IT先進国である米国に比べると半分程度に抑えられており、際立って高い水準にはなっていません。
なお米国の場合、年収の格差も日本に比べると非常に大きいため、とくに高額な年収を得ている層が平均年収を引き上げている可能性があることにも注意が必要で、かなり市場環境が異なると考えておくべきです。
国税庁が発表している「民間給与実態統計調査」によると、令和元年分のデータで、日本の給与所得者の平均年収は436万円となっているため、これと比べれば、IT人材全体の年収は約162万円高い値であり、ある程度高水準とはなっているようです。
IT関連の他職種平均年収と比べてみた場合はどうでしょうか。システムエンジニアやプログラマーの顧客向けシステム開発や実装を担う場合で、平均年収が593.7万円、ソフトウェア製品の開発・実装を中心とするシステムエンジニアやプログラマーは568.5万円、組み込みソフトウェアの開発・実装を行う場合なら603.9万円となっています。
また、顧客向け情報システムの運用にかかるIT運用・管理のエンジニアなら平均年収は608.6万円、保守サポートをメインとするIT保守で592.2万円などとなっていました。セキュリティエンジニアの758.2万円は、これらの職種に比べて高い水準にあります。
| IT運用・管理のエンジニア | IT保守のエンジニア | セキュリティエンジニア |
|---|---|---|
| 608.6万円 | 592.2万円 | 758.2万円 |
高度システムエンジニア・ITエンジニアとして、基盤設計を担当したり、ITアーキテクトとして活動したりする人々の場合で、平均年収が778.2万円となり、ここでセキュリティエンジニアらのIT技術スペシャリストの水準を初めて上回るものとなっていました。さらに高い職種となると、コンサルタントの928.5万円、プロジェクトマネージャーの891.5万円などがあります。
| ITアーキテクト | コンサルタント | プロジェクトマネージャー |
|---|---|---|
| 778.2万円 | 928.5万円 | 891.5万円 |
コンサルタントやプロジェクトマネージャーのような管理系職種は、スキル標準レベルも4.1、4.2と4を上回る高レベルにあるため、社内での指導者や幹部レベルとされるレベル5に平均で近づいてきていますから、高い給与水準となるのもうなずけますが、セキュリティエンジニアの含まれるIT技術スペシャリストや、高度システムエンジニア、ITアーキテクトといった技術系のトッププロフェッショナルといえる職種より、平均年収がさらに高いという点は、特筆されるポイントといえそうです。
全体として、IT人材は一般産業全体の平均年収より高めであり、中でもエンジニア系は高水準、そしてセキュリティエンジニアなどになると、一般的なシステムエンジニアらの職種よりさらに高い水準の平均年収となっており、これを上回るのは、およそ管理系職種のコンサルタントやプロジェクトマネージャーといったものに限られるとまとめることができます。
セキュリティエンジニアの求人動向
情報セキュリティの対策ニーズが広く高まっている中、セキュリティエンジニアのようなプロフェッショナル人材はごく限られた存在で、圧倒的な不足傾向にあります。2016年6月に経済産業省から発表された「IT人材の最新動向と将来推計に関する調査結果」をみると、IT人材全体の不足化も顕著ですが、情報セキュリティ人材にいたっては、すでに2016年調査時点で13.2万人の不足とされたほか、2020年には19.3万人が不足するとされ、今後もさらに人材不足が深刻化の一途をたどる見通しが示されています。
このように、より広範なジャンルの領域「で、大小さまざまなスケールの仕事が発生し、セキュリティエンジニアを求めるクライアントが増加する見通しであるのに対し、情報セキュリティの人材は慢性的な不足に陥るとみられています。関連人材の中でもプロフェッショナルとして活躍するセキュリティエンジニアは、市場からの需要が高く、供給が不足する売り手市場が続いていくと考えられます。
社内に高度なセキュリティ人材を持つ企業は一部ですから、リソースのない企業らの間ではフリーランスのセキュリティエンジニアの人材獲得競争が進み、豊富で好待遇な求人案件が市場に並ぶものとなるでしょう。セキュリティエンジニアは、これからの時代に欠かせない希少価値の高い職種として評価され、求人動向も良好で堅調な推移をみせていくと見込まれます。
セキュリティエンジニアに必要な知識とスキル
セキュリティエンジニアに必要なスキルや知識について解説していきます。
情報セキュリティ関連の深い知識
いうまでもなく、情報セキュリティに関しては広く深い知識が必要です。全体的な情報セキュリティマネジメントに関する知識から、ネットワークインフラセキュリティ、Webやメール、DNSなど各種アプリケーションのセキュリティ知識、主要OSのそれぞれにおけるセキュリティ、ファイアウォール、侵入検知システム、多種多様なウイルスの知識、検出されている不正アクセス手法、セキュアプログラミング技法、セキュリティプロトコル、セキュリティの運用基本、認証プロセスについてやPKI、暗号技術、電子署名、さらに関連する法令や規格の知識まで、実に幅広い知識が業務と関係してきます。
開発力
セキュリティエンジニアは、コンサルタントのようにシステムの提案を行うだけでなく、実際の開発・実装業務も担う技術者です。そのためセキュアプログラミングスキルを駆使した、高いシステム開発力が要求されます。製品開発に関わる案件もあり、その場合には対象製品がサポートしているセキュリティ機能についてよく理解し、その上で実際の開発・改善にかかるスキルが必要となるでしょう。
システムやサービスは単体で動くものではなく、全体が連動しており、その中で求められるセキュリティ対策が機能しなければなりませんから、ITアーキテクチャなどに対する専門的な理解も重要です。
角的なチェック能力
思わぬところにミスがあってセキュリティの体系が崩壊していたり、新たな手法で突かれる可能性がある穴があったりと、さまざまなケースが考えられますから、豊富な知識と経験をもとにした多角的で綿密なチェック能力が求められます。
また、なぜそのような欠陥が生じたのかを分析し、原因を洗い出してクライアントに説明を行うことも必要ですし、それに対応した現実的な対策を考え、提案することも行えなくてはなりません。当然ながら原因も対策方法もケースバイケースであり、非常に多様ですから、サーバーOSの仕組みや設定に対する理解、ネットワーク機器のオペレーション知識など、幅広い知識が必要で、アプリケーションセキュリティやOSセキュリティのスキルにも長けている必要があります。
迅速な判断と対応力
どんなに完成度の高いセキュリティシステムを構築しても、利用上の人為的ミスなどを含む想定外の箇所から攻撃を受け、障害やトラブルの発生に見舞われることはありえます。
保守業務を担当するケースも多いセキュリティエンジニアは、こうした緊急事態において、迅速に的確な対処をとることができなければなりません。状況を素早く把握し、臨機応変な姿勢で対応する力がなくては、あっという間に被害が拡大してしまうでしょう。いざ攻撃を受けた場合にも、冷静に、迅速に対応し、被害を最小限にとどめる、システムを守るための力が必要です。
コミュニケーション能力
セキュリティエンジニアの仕事は、さまざまな関係者協力して進めるプロセスが数多くあります。ネットワークエンジニアやサーバーエンジニア、フロントエンドエンジニアなど、それぞれの分野で技術的作業を行うITエンジニアらと情報を交換し、知識を高めていくことが大切です。他社のエンジニアと協業する場合もありますし、システムを利用するクライアント企業側のユーザーらに、利用上の注意点など適切に運用していく上での情報を発信する場合もあります。
企画・設計にあたって、クライアントから現状や要求のヒアリングを行ったり、必要な開発・対策案の提示・説明を行ったりする機会は必ずあり、経営層や担当者と密なコミュニケーションをとらなければなりません。
セキュリティエンジニアのキャリアパス
セキュリティエンジニアの前職となるキャリアパスでは、アプリケーション開発や業務系システムの
セキュリティエンジニアから、さらにその先に進むキャリアパスとしては、より幅広い領域をカバーし、プロジェクト全体を統括するセキュリティマネジメント担当者、プロジェクトマネージャーといった道を行く場合や、ログ解析や攻撃手法の分析力を高め、セキュリティアナリストとなる場合などがあります。
また、クライアントとコミュニケーションをとりながら、セキュリティ関連の問題解決に特化し、専門家の立場から助言や支援を行うセキュリティコンサルタントとなったり、企業内でのセキュリティに関し、全社的な責任を負うエグゼクティブとなって長期的セキュリティ戦略や経営・事業方針とあわせた企画検討を行う立場に昇進したりするケースもあります。
ケースはやや少なくなりますが、異分野へのキャリアパスを決めるセキュリティエンジニアも存在します。その場合、セキュリティエンジニアとして身につけた知識を活かし、ネットワークエンジニアなど他分野のエンジニアとなって、セキュリティ対策も行える技能があることを強みにしたり、幅広い知識を活かして高度システムエンジニアや、情報システム部門を統括する総合的なマネージャーとなったりし、活躍するといった道が考えられるでしょう。
情報セキュリティの同分野内でも、異分野への転向でも、大きく分けると3つのキャリアパスがあります。エンジニアとしての技術をさらに究め高度プロフェッショナル人材としての道を進むのか、コンサルティング系統の仕事や管理系を中心の軸として上流工程へ進むのか、またビジネスの知識もつけて会社経営や幹部クラスを目指すのか、という3つのタイプです。。どの方面が希望の道か、考えておくことがおすすめです。
外国語でのコミュニケーションにさほど抵抗がない、外国語が得意といった方の場合、海外で活躍することも選択肢の1つです。IT関係は全般に国のハードルを越えやすい分野ですが、情報セキュリティについてもグローバルスタンダードがありますし、世界的に流行するウイルスやサイバー攻撃手法のトレンドなど、世界を意識すること、海外とのやりとりを経験することも多くあります。ある程度限られた事例にはなりますが、セキュリティエンジニアとして海外で活躍する道を選ばれる方も出てきていますので、自身のキャリアプランにそうしたチャレンジを組み込むのも良いでしょう。
フリーランスになる前に取っておくと有効な資格
どういった資格を取得しておくと、セキュリティエンジニアとしての自己アピールに有効で、役立ちやすいのか、おすすめの資格をご紹介します。国家資格と民間企業が提供する資格で持っていると便利な資格があるのでそれらを紹介します。
シスコ技術者認定
「シスコ技術者認定」は、シスコシステムズ合同会社が運営するIT分野のベンダー資格試験で、テストの実施と認定などはピアソンVUEによって行われています。ベンダー資格ながら世界共通資格としてその認知度はどの業界でも高く、取得しておくと役立ちます。2020年2月に認定プロセスが大きく変更され、より今日のIT業務に適した内容となっています。
技術レベルに応じ、学習プログラムを入手して資格取得を目指せば、知識の習得とスキルアップ、高い専門性を証明する証しを手にすることができますから、チェックしておくと良いでしょう。なお、すでに高いスキルを有する人でも、難易度の低いクラスをクリアしていなければ、上位試験を受けることができないといった受験条件も一部にありますから、確認の上、利用してください。
情報処理安全確保支援士試験
「情報処理安全確保支援士試験」は、セキュリティエンジニアや、セキュリティコンサルタントに最適な国家資格試験です。サイバーセキュリティ関係では国内で初の国家資格として設けられたもので、サイバー攻撃の高度化・巧妙化、頻度そのものの増加と被害の深刻化などを受け、これらに対応する専門的な知識と、実践的スキルを高度に有する人材を育成・確保すべく制度化されました。
独立行政法人情報処理推進機構(IPA)により運営されており、合格すると「情報処理安全確保支援士(RISS)」の名称を用いて活動することができるようになります。かつて「情報セキュリティスペシャリスト試験」の名で実施されていた、情報処理技術者試験制度のスキルレベル4に相当し、高度情報処理技術者試験区分のひとつとなっていたものとほぼ同レベルの難易度となっており、その水準は高く、セキュリティエンジニアの実務経験者であっても合格することは簡単ではありません。しかし、情報セキュリティ関連の資格試験では最難関のものとして広く認知されているため、取得できれば大いに強みとなるでしょう。
情報セキュリティの技術や運用方法、開発管理、法的要求事項など幅広い分野から出題され、マークシートによる四肢択一式・記述式の両試験が課されます。
国家資格のため、難易度は高いですが資格を保持することで、その分野について詳しい知見があるという証明になります。
情報セキュリティマネジメント試験
「情報セキュリティマネジメント試験」は、2016年4月より新たにスタートした国家資格で、情報処理技術者試験の一区分として、独立行政法人情報処理推進機構(IPA)主催のテストが行われています。情報システムを利用する企業の部門などにおいて、情報セキュリティのリーダーとなり、必要なセキュリティ対策や組織が定めたセキュリティ関連の諸規定について、その目的と意義を理解し、情報セキュリティが適切に確保された状況でのシステムの運用・評価・改善を継続的に行って、組織を守っていく基本的スキルがあるかどうかを問います。
社内セキュリティ管理者や、セキュリティの基礎知識を身につけたシステムエンジニア、初級のセキュリティコンサルタントなどを想定しており、先述の情報処理安全確保支援士に比べると難易度が低く、プロフェッショナルなエンジニア向けというより、ややIT使用者向けといった側面もある試験になっています。IPAの情報処理技術者試験の中では、スキルレベル2に位置し、難易度はさほど高くない点も、このことを反映しているといえるでしょう。
SPREAD情報セキュリティサポーター/マイスター能力検定
「SPREAD情報セキュリティサポーター/マイスター能力検定」は、一般社団法人セキュリティ対策推進協議会によって行われている検定試験で、誰もが安心してITを利活用できる情報化社会のセキュリティサポーターを育成することを目的にしています。サポーターは、初心者のセキュリティに関する悩みに対応できる簡単な検定試験で、情報セキュリティについて学ぶ入り口としたり、基本のリテラシー向上や意識向上を図ったりするレベルで受検可能です。
マイスター能力検定はその上位資格で、身近なITのセキュリティレベル向上に寄与する対策の基礎や、情報社会関連の法律、情報セキュリティの時事トレンドなどから出題され、基本的なトラブル対応が問題なく行えるかどうかが問われます。こちらもさほど難易度の高いものではありませんから、セキュリティエンジニアを目指す段階で活用すると良いでしょう。出題形式は、いずれも全て四肢択一式となっています。
公認情報セキュリティマネージャー(CISM)
「公認情報セキュリティマネージャー(CISM)」は、情報システムやセキュリティ、ITガバナンスなどを対象領域とする国際的な専門団体ISACA(情報システムコントロール協会)の資格で、グローバルに通用するものです。企業や団体の情報セキュリティプログラムに関するマネジメントや設計・監督を行うプロフェッショナルを対象としたもので、セキュリティエンジニアのほか、セキュリティマネージャーやセキュリティコンサルタントなどの受験が想定されています。2002年に制度が創設され、2003年度からスタートしました。
情報セキュリティマネジメントの実際の業務分析をもとにした認定基準と試験問題で設計されており、実践的な内容であること、国際的な資格であることなどが特徴となっています。実務経験は受験前提条件ではありませんが、合格後の認定申請時に、過去10年以内で情報セキュリティに関する5年以上の経験、そのうち3年以上のセキュリティマネジメント経験を有することが必要とされ、合格後5年以内に申請を行わなかった場合、合格実績が失効してしまいますから注意が必要です。
試験内容は、情報セキュリティガバナンスやリスク管理、インシデント管理、セキュリティプログラムの開発管理など、さまざまな領域から出題されるものとなっており、連続4時間の中で150問に多肢選択式で解答、200点から800点までのスケールドスコアで採点され、450点以上が合格となります。
CEH(認定ホワイトハッカー)
「CEH(認定ホワイトハッカー)」は、EC-Council社が実施するグローバルなセキュリティ専門家向けの認定試験です。日本ではGSX社が代理店となって運用しています。最新のセキュリティ脅威や高度なハッキング技術などを総合的かつ体系立てて学び、その知識とホワイトハッカーとして行動するスキルを十分に有していることを証明する資格で、米国では同国国防総省「CND-SP」の防衛指令8570により、同省情報システムにアクセスする全てのスタッフが保持すべき必須資格のひとつになっています。
CompTIAセキュリティ+
「CompTIAセキュリティ+」は、CompTIAという米国の非営利IT業界団体が運営する、セキュリティ分野の認定資格制度で、基本的な情報セキュリティの知識を有しているか、セキュアなネットワークの維持とリスク管理が行える実践的スキルがあるかを評価するベンダーニュートラルな国際資格となっています。ITセキュリティの領域でキャリアを築いていくなら、重要かつ有用なファーストステップになるでしょう。グローバルに高い認知度がある資格ですから、とくに外資系企業で働きたい、グローバルな案件に挑戦したいといった将来像があるなら、ぜひ押さえておきたいものといえます。
資格は3年間の有効期限が設けられており、試験の再受験やプログラム参加などで継続資格を得られる仕組みになっています。ネットワークセキュリティをはじめ、システムの暗号化や情報コンプライアンス、安全なデータの保持管理など、幅広いジャンルから出題されます。90分90問と試験ペースをつかみやすいうえ、実施回数も多く挑戦しやすい認定試験でもあります。セキュリティの知識や業務経験がある場合、難易度はそう高くはないと言えますが、未経験で十分な知識がないなら、やはりしっかりと勉強しないと簡単には合格できません。
セキュリティエンジニア案件で求められるポジション
セキュリティエンジニアが行う業務は非常に多岐にわたっています。フリーランス向け案件でも、そのクライアント企業や参画するプロジェクトにより、企画・提案の初期段階から設計・実装、運用まで一貫して任される場合もあれば、セキュリティ関連の一工程のみの担当に特化して依頼される場合もあります。案件を請けた場合、事業展開におけるどのようなポジションとして活躍することが求められるのか、具体的に解説します。
###セキュリティ担当者
社内に情報セキュリティ分野に明るい人材が確保できない場合など、セキュリティ担当者のポジションでセキュリティエンジニアを求めるケースがあります。セキュリティ担当者は、社内にいる各部門の責任者らと協力し、社内機密データなど散在する情報資産を把握し、適切に管理することが求められます。一元的な管理を可能にする情報資産管理台帳の制作やシステムの構築・導入などを担う場合もあります。
対象企業のセキュリティポリシーに基づいた管理体系をしっかりと作り上げることが重要で、社員など情報にアクセスするユーザーの、適切なデータ取り扱いに関する教育・啓蒙活動なども含まれることがあります。深刻な情報漏洩インシデントの発生を防ぐため、不正アクセスやサイバー攻撃に備えるリスク分析や具体的な対策の導入・実行を進めるのはとくに重要な業務です。プライバシーマークに準じた社内の情報管理業務を回すサポートを担うケースも多くみられます。
管理者(セキュリティマネージャー・コマンダー)
管理者の立場は、情報セキュリティ関連の全体統括や意思決定を行います。この領域で中心的役割を果たす重要なポジションであり、責任も重いです。
セキュリティシステムを開発する際には、経営層などから要望をヒアリングし、全体の設計・計画立案・提案を行います。人材のアサインなど、実装にかかる管理役を担う場合も多く、全体の進捗状況をチェックしながら仕事を進めます。最終的なテストと確認を行い、運用のアドバイスなども実施、システム要件を資料にまとめて提出するなど、文字通り管理者としてリーダーシップをとり、問題の解決やセキュリティ状態の改善を図ります。
また、セキュリティ事故発生時の対応においても、統括役を担います。状況をいち早く分析し、リスク影響とビジネス継続の観点から具体的な対応の内容と実施順序を決定、経営層などに説明を行い、継続的な対応支援を行うといったケースが一般的です。インシデント発生時には、何より適切な初動対応が迅速に行われることが重要であり、その判断と対応如何によってその後の結果や事業影響が全く異なるので、セキュリティエンジニアの技量が強く問われます。
セキュリティコンサルタント
セキュリティコンサルタントは、未然にクライアントのセキュリティ強化を実施し、攻撃から逃れたり、被害を最小限に抑えたりするといった目的のため、最善のソリューション提案を行います。
まずクライアントの状況や要望をヒアリングし、必要な戦略を立てて提案を行います。セキュリティ強化を望んでいても、どう強化すれば良いか分からないままに外注として依頼案件を出すクライアントも少なくありませんから、そうした場合は、個々に異なる現状をまずは把握し、企業内の総合的なセキュリティコンサルティング支援を行うこととなるでしょう。基本的なセキュリティポリシーを策定するサポートや、業務プロセスにおけるデータアクセスなど、何気なく行われている点についてもセキュリティの観点から改善提案を行うといった業務も含まれます。
情報セキュリティに関する仕組みの構築、ツール導入が必要な場合には、それらの選定を行い、実装してセキュリティ強化をサポートするといった仕事を行います。戦略の立案と仕組みの構築ができた後、実際の運用に携わっていくところまで含む案件もあります。この場合、サイバー攻撃や不正アクセスなど、セキュリティ上の脅威に対しての対応策が重要になり、攻撃を受けて深刻な被害が生じる最悪の事態を想定してあらかじめできる対策を敷いておくこと、被害領域を最小限に食い止める運用スタイルを確立しておくことなどが求められます。
また近年は、個人情報保護法やGDPRなどの各国個人情報保護法への対応、プライバシーポリシーの整備、プライバシー影響度評価の実施や法規制要求事項に伴う業務システムの要件定義、プライバシーマークなどのマネジメントシステム構築や認証取得といった、個人データにかかるプライバシー系のサイバーセキュリティに特化したコンサルティング案件などもあります。
セキュリティアナリスト
マルウェアや不正アクセス、DDoS攻撃など急激に増加するサイバー攻撃と、被害の深刻化、手口の巧妙化の進行、さらにそうした中で企業として守らなければならない情報が増え続けるという難しい状況を抱え、セキュリティアナリストのポジションとして活躍してくれることを望み、セキュリティエンジニアを求める企業が増えています。
セキュリティアナリストとしての案件では、主に情報セキュリティのプロフェッショナルとして、自身が保有する高度な技術や知識、経験を活かし、サイバー攻撃の手法を詳細にわたって分析、検出された際に、迅速かつ的確な対処がとれるようにすることなどが主な仕事になるでしょう。
クライアントのもとにある膨大なログを分析し、分析結果から悪意のある者からのアクセス・攻撃やマルウェア感染が疑われるポイントを瞬時に見つけ出して解決の支援を行うことで、重大インシデントに発展する前に可能性の芽をひとつひとつ潰していくこと、たとえ被害が発生しても、その広がりをごく限定的なもの、局所的なものに押さえ込むための対策を講じることが求められます。最新の攻撃手法分析に基づき、事前に攻撃を防御するため、有効と考えられるソリューションやシステム・ツールの提案を行うこともあります。
セキュリティエンジニアの将来性、フリーランスには向く?
高い需要、働きの重要性から、非常に明るいと考えられるセキュリティエンジニアの将来性ですが、企業・組織の側にしてみると、それだけ熾烈な人材獲得競争を迫られることになると予測されます。高まるニーズに対し、幅広い知識と高度なスキルを有したセキュリティエンジニアの人材はごく限られたものとなっているため、現在でもすでに需要過多、供給不足が慢性的なものとなっていますが、今後はさらにその状況が深刻化していくでしょう。
人材として直接確保することができないとなれば、外注に頼るほかなく、そうした企業・組織は、フリーランスのセキュリティエンジニアとの契約を目指して、積極的に案件を出すものとなります。請け負ってもらう内容が非常に重要な任務であることもあり、人材の質にこだわるクライアントは多いでしょうから、ここでも獲得競争が発生し、待遇の良さや高い報酬設定で、フリーランスには恵まれた市場になると考えられます。
まとめ・セキュリティエンジニアはやりがいのある仕事!
システムやネットワークの脆弱性を発見し、トラブルを未然に防いだり、受けたサイバー攻撃の被害を最小限に抑えて重要な情報の漏洩を防ぐことができたりすれば、対象企業はもちろん、社会全体への寄与は非常に大きく、エンジニアとしてもやりがいと達成感を得られるものとなります。
情報セキュリティが関連する領域は今後も広がると考えられ、さらにそのそれぞれで重要性や重みが増してくると見込まれるため、セキュリティエンジニアへの市場ニーズは高まり続けるでしょう。フリーランスとしての活動でも、希少価値の高い高度なスキルを持ったセキュリティエンジニアは、高単価・好待遇で多くの引きがある存在となりますから、高額な報酬や将来性の面でも高い期待をもって展望することができます。
あなたにピッタリの
フリーランス案件が見つかる
110万件以上のフリーランス案件から一括検索
250,821件※の案件を保有しており、エンジニアやクリエイター向けを中心にたくさんの案件を一括検索可能です。
※ 4月19日(Fri)更新
2あなたの経験やスキルに適した案件をメールでお知らせ
マイページに入力して頂いた経験や希望条件に合わせて、ご希望にマッチした案件をメールでお送りするので効率的な案件探しが可能です。
フリーランスの案件を検索する
都道府県を選択- 関東
- 北海道・東北
- 甲信越・北陸
- 東海
- 関西
- 中国
- 四国
- 九州・沖縄
あわせて読みたい関連記事
