セキュリティエンジニアとは

セキュリティエンジニアとは、情報セキュリティ面を考慮したシステム及びネットワークの設計・構築、さらに運用・管理などの業務を専門にするエンジニアです。

かつてはインフラエンジニアや社内SEが、セキュリティ対策やサイバー攻撃への対処まで兼務することが一般的でした。
しかし、年々ITインフラの重要性が増す一方で急速に巧妙で悪質になってゆくITセキュリティ上の脅威に対し、高度な専門知識を持ったセキュリティ専門のエンジニアが必要とされるようになりました。
このような状況を背景に、セキュリティエンジニアが誕生しました。

セキュリティエンジニアの業務内容

セキュリティエンジニアの業務内容は、セキュリティの観点を考慮したシステムの設計や構築、運用と保守、サイバー攻撃対策のための最新情報の調査など、多岐にわたります。

企画・提案
クライアントからの要望を聞き取ったり、提案をしたりします。
技術面や組織面におけるセキュリティホールを把握するため、IT部門だけでなくさまざまな部門のスタッフと連携する必要があります。
情報セキュリティの観点から、コンサルティングを行う業務を行います。

個人情報保護法の施行後、ISMS取得やプライバシーマーク取得を目指す企業が増えました。これらの認証の取得をサポートできるセキュリティエンジニアに対する需要が高まっています。

設計
システムの運用形態やネットワークの構成などを把握した上で、セキュリティ面を充分考慮したシステムの設計を行います。システム面だけでなく、組織や人の面についても考慮します。
ネットワーク機器や運用などについても熟知しておく必要があり、セキュリティ以外にもITに関する広く深い知識が求められます。

実装
セキュリティを考慮したシステムの実装を行います。
実装面についても相当な知識が要求されます。各種OSやネットワーク機器の設定、アプリケーションプログラミングなど、システムの実装には全てにセキュリティの要素が関係してくるからです。
アプリケーションのセキュアプログラミングでは、脆弱性やその対処法を知った上で、要件に応じた適切な実装方法を判断しなければなりません。
ネットワーク機器の設定やプログラミングに関する知識など、幅広い知識が必須です。

テスト
システムの脆弱性（ぜいじゃくせい）を発見するためのするテストと、検出された脆弱性への対策を行います。
セキュリティ検査（脆弱性診断、脆弱性検査）では、ソースコードのチェックをしたり、擬似攻撃して潜在的な脆弱性を発見したりと、念入りに行っておく必要があります。

運用・保守
システムを導入した後は、システム障害やサイバー攻撃からシステムを守っていくための運用・保守の業務があります。
各種のログを確認したり、セキュリティ情報を収集し必要ならシステムに反映したりします。実際に不正侵入や攻撃があった際には、即時に適切に対応することが求められます。

システムの提案や構築は1回限り・数ヶ月程度ですが、運用は日々継続して行われます。セキュリティエンジニアの業務では、運用・保守に関連するものの割合が一番多くなるかもしれません。

セキュリティエンジニアの平均年収

セキュリティエンジニアは需要が高いため、その年収は一般のITエンジニアに比べて高めになっています。

経済産業省が公表した平成29年の『IT関連産業の給与等に関する実態調査結果』によれば、セキュリティエンジニアも含まれる「IT技術スペシャリスト（特定技術（DB、NW、セキュリティ等））」の平均年収は、758.2万円でした。

一方、一般的なITエンジニアである「IT運用・管理（顧客向け情報システムの運用）」の平均年収は608.6万円、「IT保守（顧客向け情報システムの保守・サポート）」の平均年収は592.2万円でした。

保有スキルや実績、所属組織などにもよりますが、一般エンジニアに比べ、平均してセキュリティエンジニアの年収は高い傾向にあるようです。

＊参考
IT関連産業の給与等に関する実態調査結果｜経済産業省

クリックして20170821001-1.pdfにアクセス

そもそも需要はあるのか

一昔前までの社内ITシステムといえば、ローカルエリアで完結していたり、ネットワークにつながってはいるものの、数台のサーバーとパソコンだけなどといった、比較的シンプルな構成のものでした。扱う情報の質・量ともに、それほどでもありませんでした。

しかしその後、ITの技術的発展と共に、あらゆる分野へのITの応用が進み、近年では企業活動や日常生活に欠かせないものとなりました。
システム構成は膨大化・複雑化し、さまざまな機密情報を含め大量の情報を扱うケースが多くなっています。スマートフォンや家電など、さまざまなものがインターネットやクラウド環境につながるIoTの時代にもなりました。

ただ、利便性や重要性が増したということは、セキュリティリスクも増したということを意味します。
システムへの不正アクセスがあると、ビジネスが継続できなって大きな損失を被ったり、日常生活に多大な影響を及ぼしたりします。情報流出があれば、信用が失墜したり、損害賠償をする必要性も出てきたりします。
情報システムの巨大化やサイバー攻撃の高度化により、被害は年々大規模で深刻になっていく傾向があります。

このようにITシステムが発達したからこそ、それ相応のセキュリティ体制の強化も求められることになりました。
そこで、情報セキュリティの専門家として、現場で重要な役割を果たすことが期待されるのが、セキュリティエンジニアです。
情報の資産価値やセキュリティの重要性が広く認知された結果、さまざまな業界でセキュリティエンジニアの需要が高まっています。

どの業界・業種で活躍できるか

今や、ほぼ全ての企業や組織が何らかの形でITシステムを使用する時代となりました。
そんな中、個人情報漏洩や不正侵入のニュースが後を絶ちません。国際的なサイバー攻撃も話題になっています。
セキュリティに関する事故があれば、お金の損害が発生することがあるほか、企業や組織の信用も失墜してしまいます。

セキュリティエンジニアの仕事は、このような事態を未然に防ぎ、または事後に最善の対応をすることです。
そのような意味で、セキュリティエンジニアはITを利用している全ての業界・業種において活躍の場があるといえそうです。

特に高度なセキュリティ対応が求められる、セキュリティエンジニアの需要が高い業界をいくつか挙げます。

金融、証券、保険系の業界

これらの組織は、お金だけでなく、顧客の口座やクレジットカードなどで多くの個人情報も扱っています。不正侵入され、お金を奪われたり、個人情報を流出させられたりしたら大問題です。
外部からの攻撃だけでなく、内部犯を防ぐ対応も必要です。この業界にとってセキュリティ対策はとりわけ重要な課題です。

インフラ系の業界

電力やガス、水道などの社会生活の基盤をインフラといいます。
インフラを担う組織のサーバーがサイバー攻撃を受けると、インフラのサービス供給が停止するなどの大混乱が生じるおそれがあります。

メーカー系の業界

昨今は製造工程においてITシステムを利用する企業が多くなってきました。ここを攻撃されると生産が停止する可能性があります。
また、研究資産などの高度な機密情報もあります。これらの情報の漏洩を防ぐ対策も必要であり、セキュリティエンジニアの需要は非常に高くなっています。

その他

自治体や公的機関、医療機関などは営利企業ではありませんが、大量の個人情報や政策に関する情報を保有しています。
その情報を狙われてサイバー攻撃の標的になることがありますので、適切なセキュリティ対策が不可欠です。標的型メールへの対応も必須です。

まとめ

セキュリティエンジニアについて見てきました。

1. 情報セキュリティの必要性に関心が高まっている
2. セキュリティエンジニアは情報セキュリティのスペシャリスト
3. セキュリティエンジニアはシステムの設計・構築、運用・保守などを行う
4. セキュリティエンジニアの年収は高め
5. セキュリティエンジニアの需要は高く、さまざまな業界に活躍の場がある

キャリアパスとしては、セキュリティオペレーターとして運用や保守の経験を積んだ後、設計や実装を行うセキュリティエンジニアになるのが一般的です。
その後はさらにセキュリティコンサルタントやホワイトハッカーへとキャリアアップする人もいます。

ITの利用が急速に進んでいく時代、セキュリティエンジニアはITシステムのセキュリティに関して重大な責任を担う職種です。それゆえに、需要の大きな職種でもあり、今後もその傾向はますます高まっていくでしょう。