セキュリティエンジニアの仕事に迫る！仕事内容や働き方を現役に聞いてみた

セキュリティエンジニアの仕事は、今や私たちの生活に欠かせない重要な仕事の1つとして注目されています。

インターネットが身近に存在する昨今、情報セキュリティの面に力を入れる重要性が叫ばれるようになってきました。

私たちの個人情報も電子上で管理される世の中だからこそ、セキュリティについて考える機会は増え、セキュリティに関する仕事に挑戦する方は増えていくでしょう。

この情報セキュリティ分野の最前線で活躍しているのが、セキュリティエンジニアです。

セキュリティエンジニアはサーバー構築や電子情報の管理・安全面の強化を行うIT系職業の1つで、IT分野では欠かせない業種として需要が高まっています。

インターネットが生活に欠かせないものになった今、セキュリティエンジニアの仕事に興味を持った方も多いのではないでしょうか？

そこで今回は、ExpressVPN※で現役のセキュリティエンジニアとして活躍するLeeさんに、セキュリティエンジニアの仕事内容や働き方、キャリアパスについて窺いました！

セキュリティエンジニアの仕事に興味がある方、仕事の選択肢としてセキュリティエンジニアを考えている方は、ぜひご覧ください。

安全なインターネット環境にセキュリティエンジニアは欠かせない

ーーLeeさんはセキュリティエンジニアとして、日頃どのような仕事をされているのでしょうか？

Leeさん：主に「社内のセキュリティ体制の強化」「セキュリティツールの開発導入」「現状のセキュリティ体制の評価」の3つです。時期によって携わるプロジェクトは変わるのですが、基本的には仲間と連携しながらそれらの業務にあたっています。

ーー基本的にはほかのIT系業種のように、パソコンに向かって業務に当たることが多いのですか？

Leeさん：そうですね。、セキュリティ分野はシステムはもちろん、システムを使う側の理解も重要です。なのでサイトを安全に管理するため、サイト管理や運営に携わるすべてのメンバーに、構築したセキュリティシステムや安全なサイト管理を目指すための教育を行うこともあります。セキュリティシステムに関する問い合わせに対応することもあります。

ーー常に安全に使えることを目指してセキュリティ対策を行っているのですね。やはりインターネット上のシステムの安全を脅かすのは、いわゆる「サイバー攻撃」と呼ばれるものなのでしょうか？

Leeさん：Webサイトを家に例えれば、玄関扉や窓などの侵入できそうな場所を見つけて、家主に無断で侵入するようなものでしょうか。この不正侵入や攻撃を防ぐため、私たちセキュリティエンジニアは脆弱性のある箇所を検証してセキュリティを強化したり、システムの穴を見つけたらその旨を管理者に通知するシステムを構築しています。

ーーもしシステム内に個人情報や秘匿情報があれば、セキュリティの重要度はさらに高まりますね。

Leeさん：あらゆる分野でデジタル化が進んでますから、企業に限らず個人が使うシステムや電子機器でも、セキュリティ対策の重要性は高まっていくでしょうね。サイバー攻撃にはありとあらゆる手段がありますから、セキュリティエンジニアは万が一の事態に対処する防衛線として日々対策を練らなければいけません。システムのどこに脆弱性があるか調査するため、実際にセキュリティエンジニアが意図的にWebサイトを攻撃して検証することもありますよ。

ーーWebサイトを実際に攻撃することもあるのですか？

Leeさん：「Offensive Security（オフェンシブセキュリティ）」と呼ばれるチームが配備されており、脆弱性を検証する方法の1つとして実際に攻撃することがあります。一般的には「侵入テスト」とも呼ばれていて、自動化ツールを使って脆弱性を検証しています。攻撃というとドラマやアニメの世界のようなイメージを持つ方もいるかもしれませんが、実際にはサイトやツールの動きを監視するので、仕事としてはすごく地味かもしれませんね。

ーーなるほど。もし侵入テストにより検証するシステムが攻撃を受けた場合、どのように対処するのですか？

Leeさん：もし攻撃を受けた場合は、すぐにセキュリティチームに報告・情報共有できるようトレーニングしたり、発見した不正データをブロック・削除できるよう訓練しています。

ーーセキュリティ開発と検証の繰り返しが、より良いセキュリティシステムに繋がっているのですね。

Leeさん：情報セキュリティの分野はどんどん進化していて、求められる知識や技術も移り変わっていきます。今のセキュリティシステムが今後使われなくなっていく可能性もあるので、繰り返しのように見えて、常に新しいセキュリティ技術や知識を学んでいくことは欠かせません。

ーー開発することだけではないことが、セキュリティエンジニアならではの仕事の特徴ですね。

Leeさん：セキュリティエンジニアに求められる技術や知識は、会社によっても変わります。扱うデータやWebサイトの構造、求められるセキュリティレベルも変わりますから、必要な知識も変わるでしょう。企業やシステムを扱うメンバーにとって、最適なセキュリティシステムを定めることも、セキュリティエンジニアの仕事ですね。ただ、システムの兼ね合いを考慮しながらセキュリティを強化していく必要があるので、情報共有やお互いの理解が進まず、企業によっては他のチームや部署から敬遠されてしまう場合もあるようです。その点は、セキュリティエンジニアの大変なところかもしれません。

グローバル化が進む今、セキュリティエンジニアの仕事は国内外で増えていく

ーーこれからセキュリティエンジニアを目指す方に向けて、仕事についてさらに詳しく伺いたいです。まず、日本と海外でセキュリティエンジニアの仕事に違いはありますか？

Leeさん：IT技術は世界中に発信できるものなので、国によって必要な技術や知識に違いはありません。企業によって求められるセキュリティレベルや知識は異なるので、国よりも企業選びの方が大切です。得意分野やその会社の働き方を確認すれば、セキュリティエンジニアとしてより働きやすい環境を手に入れられると思います。

ーーセキュリティエンジニアになるため大学で専攻したり特別な資格を取ることは必須ではないのですか？

Leeさん：必須ではありません。ただ大学などの専門機関で学ぶことは、情報セキュリティを学ぶ基盤作りに役立つと思います。セキュリティエンジニアになりたくて、これから進学先を選ぶ段階なら、セキュリティ分野を専攻するのもおすすめです。ただどんな場合であっても、現場で経験を積むことやセキュリティについて学び続けることは欠かせません。セキュリティエンジニアを目指すなら、業界の知識や技術、学び続ける姿勢はもちろん、問題解決能力など幅広い力が求められるので、それらの力を他のエンジニア系の職種で身に付けていくのも良いと思います。

エンジニアの平均年収はいくら？年収相場と給料を上げるポイントはこちらでチェック

URL：https://okanechips.mei-kyu.com/knowledge/6958/

ーーセキュリティエンジニアの需要は、これからも増え続けると考えますか？

Leeさん：増え続けると思います。インターネットは日常に欠かせないものになっていて、将来的にはIT技術が導入される分野はもっと広がっていくでしょう。最近ではセキュリティ分野に予算を割く企業も増えてきているので、セキュリティエンジニアを求める企業は今後さらに増えると思います。特に近年では、プログラムの構築段階からセキュリティ面を考慮に入れる「シフトレフト」の動きが見られます。実装済みのシステムのセキュリティ評価から、システム開発に携わる分野まで、セキュリティエンジニアが挑戦できる仕事の選択肢も増えていくでしょう。

セキュリティエンジニアになるために必要なのは専門分野に対する”好奇心”

ーーこれからセキュリティエンジニアになりたいと考えている方に、伝えたいことはありますか？

Leeさん：セキュリティエンジニアの仕事は、現役の私から見てもおすすめしたいホットな業界です。もしこれからセキュリティエンジニアを目指すなら、まずサイバーセキュリティに対する好奇心を大切にしてください。セキュリティ分野は学び続けることが大切で、学び続けるモチベーションを維持するには、好奇心を持つことが欠かせません。それから、CTF（キャプチャー ザ フラッグ）に参加することもおすすめです。

ーーなるほど。CTFについて、さらに詳しく教えてください。

Leeさん：CTFとは、サイバーセキュリティ分野に携わる企業や個人により企画されているゲーム型イベントです。ゲーム感覚でセキュリティ分野の知識やスキルを伸ばすトレーニングができます。CTFはセキュリティの最前線で働く人たちが携わっているからこそ、最前線の空気感や学びを得られるのも魅力です。特に有名なのがpicoCTFやHackBoxと呼ばれるCTFなのですが、これらはグローバルに開催されていて、誰でも参加できるイベントです。サイバーセキュリティはもちろんIT分野について全く知識がなくても参加できるので、セキュリティエンジニアの仕事の入口としては非常におすすめです。私もいくつかのCTFに参加していますよ。CTFで学べることだけがサイバーセキュリティのすべてではありませんが、セキュリティについて学ぶきっかけとして、興味がある方はぜひ参加して見てください。

*本記事はExpressVPNのブログ記事を基に作成されました。

寄稿者：Ruriko