近年、企業や個人に向けてのハッキングやサイバー攻撃は増加しており、セキュリティエンジニアの需要、それに伴うセキュリティエンジニアの求人募集も増加傾向にあります。
今回はITインフラにおけるセキュリティのスペシャリストである「セキュリティエンジニア」を解説します。
▼目次
現代に求められるセキュリティ
今やインターネットに接続して動画や音楽を楽しんだり、世界中の人とゲームでプレイしたりするのは当然の時代です。また、ビジネスシーンでもインターネットを利用することはもはや不可欠といえるでしょう。
そのような社会が実現しはじめたのは、高速のインターネットで情報をやり取りできるブロードバンドサービスが開始された1999年からのことです。センサー機器、駆動装置、住宅・建物、車、家電製品、電子機器などをインターネットに接続できるようにすることで、さまざまな遠隔操作や付加価値の高いサービスが可能となりました。またインターネットに接続できるIT技術の導入で新しいビジネスモデルを構築するDX(Digital Transformation)が実現しつつあります。
IT分野におけるエンジニア
大きく分けると、システム構築やプログラミングを行うソフト系のエンジニアと、コンピュータのインターネット接続における保守・運営・監視やインターネット接続基盤の構築などを専門とするインフラエンジニアが存在しています。
インフラエンジニアには、サーバーの構築・運用・保守・監視などを担うサーバーエンジニア、インターネット接続を含め企業内のデジタルネットを設計・構築して安全で安定したネットワーク環境を提供するネットワークエンジニア、データベースの設計・構築・運用・保守などを仕事とするデータベースエンジニア、そして企業のデジタルネットワークにおける事故や外部からの攻撃を防ぐセキュリティエンジニアなどがあります。
今回注目するのは、DXやクラウドなどを安全に実現するための知識やスキルを身に付けたセキュリティエンジニアです。
セキュリティエンジニアが活躍する場面
たとえばIPA(独立行政法人情報処理推進機構)が発表した『2019年度組込み/IoT産業の動向把握等に関する調査』でシステムの要件変化に必要な要素として「セキュリティ/プライバシー保護の強化」と回答した企業が最も多かったことからもセキュリティに関する需要の高さが窺えるでしょう。
企業が自社のデジタルネットのセキュリティに強い関心を持っているのは先ほど触れたクラウド化が大きな要因ですが、それに伴い情報セキュリティインシデント、つまり情報セキュリティの事故や悪意のある攻撃が増えているという背景があります。しかもサーバー攻撃の手口は年々、複雑で巧妙なものになってきました。さらにその手口がインターネットで簡単に拡散されるので、ちょっとしたITリテラシーがあれば、愉快犯的に企業のデジタルネットに高度な攻撃を仕掛けることも簡単です。
なかでも厄介なのがランサムウェア。インターネットから侵入して企業で使用されているPCにウイルスを感染させてロックしてしまったり、ファイルを勝手に暗号化して使用不能にしてしまったりという攻撃です。しかも復旧を条件に企業に金銭を要求する犯罪行為が非常に増えてきて、社会問題になりつつあります。また、新型のコンピュータウイルスEmotetが登場。これも企業にとって脅威となっているとの見方もあります。
IPAの『情報セキュリティ白書2020』によると国内で報道のあった攻撃を含む情報セキュリティインシデント発生件数は、2018年度の306件から2019年度は418件へと急上昇しています。企業にとってインターネットインフラのセキュリティを担保することがいかに急務かがわかるでしょう。
それにもかかわらず2016年に産業経済省が発表した『IT人材の最新動向と将来推計に関する調査結果』によると2020年時点で情報セキュリティ人材が19万人強不足するという予測が示されています。セキュリティエンジニアへのキャリアパスをうまく築くことができれば、将来を考えやすくなるかもしれません。
参考:情報セキュリティ白書2020 | IPA 独立行政法人 情報処理推進機構
参考:IT人材の最新動向と将来推計に関する調査結果 | 経済産業省
セキュリティエンジニアになるには?
高度なスキルや経験が求められることから、いきなりセキュリティエンジニアになるのは不可能とはいないまでもかなり難しいでしょう。
選択肢の1つがサーバーエンジニアやネットワークエンジニアの経験を積んでキャリアパスを形成する道です。監視・保守・運営などの業務に就いて基礎を固めて、ITインフラの企画・設計・構築・運用・保守に携わるインフラエンジニアとして勤務。セキュリティに関する資格をいくつか取得しセキュリティエンジニアへとステップアップという道が考えられます。
また、セキュリティに関する知識・スキルと、施策の対象となるシステム・プログラムについての知識も必要なのでサイバーセキュリティ対策のアプリケーションを開発するプログラマーもキャリア形成の選択肢としては有望だといえます。
セキュリティエンジニアの先に目指せる職種
セキュリティエンジニアは最終的に組織の中でスペシャリストとして経営に参加する地位に上り詰めることも夢ではありません。
まずはセキュリティアナリスト。顧客のシステムを膨大なインターネット接続などを分析することによって監視し、インシデントやトラブル発生時にはその攻撃手法や攻撃元などの分析を行うことが主な役割で、なかでも安全なシステム運用を実現するためのシステム構築に必要なデータの分析、サイバー攻撃を受けた時にそれを解析して復旧やセキュリティ方法を提案するのが仕事です。
クライアントとなる企業に対し、情報セキュリティの専門家としての立場から提案、助言、支援を行うセキュリティコンサルタントも独立が可能な職種といえます。
セキュリティ関連の資格
ここではインターネットセキュリティに関する主な資格をご紹介しましょう。
情報処理安全確保支援士
IPAの資格の1つ。情報システムのセキュリティ対策と情報セキュリティマネジメントのスキルを示せる。
情報セキュリティスペシャリスト試験
やはりIPAが実施する資格試験。情報セキュリティの専門家として活躍できる能力を示す資格。
CISSP
国際的に認定された資格。8つのセキュリティ共通知識分野について、深い知識を有していることの証明となり、セキュリティ専門家としてのスキルの裏付けとして広く認知されている。
CCSP
クラウドサービスを安全に利用するために必要な知識を体系化した国際的な資格。有資格者にクラウドコンピューティングセキュリティに関する専門的能力および、クラウドセキュリティの専門知識があることを証明。
CISM
ISACA(情報システムコントロール協会)が主催。マネジメントレベルの情報セキュリティの国際的資格。
まとめ
セキュリティエンジニアを求めるビジネス分野としてはITサービス・ソフトウエア、ECサイト運営、メーカー、金融(フィッティング)、官公庁や一般企業などほぼすべてのビジネス分野といえます。
少し横道に逸れますが、警視庁などでもいまはサイバーセキュリティを専門とする部署があるほどですから、いかにインターネットセキュリティが社会で重要視されているかがわかるでしょう。しかも先ほど触れたように、企業でも日常生活でもいまやインターネットが利用できなくなるのは死活問題といえます。一方でサイバー攻撃や犯罪は複雑化、巧妙化していることから、セキュリティエンジニアの需要はますます高まっていくことが予想できます。
