- セキュリティエンジニアになるために必要な経験っていったいなに
- 未経験からおすすめできる業務内容ってどんなものがあるの
- 結局どういう経験を積むことがおすすめなの
結論言うと、開発やインフラ構築・運用等の経験が無くてもセキュリティエンジニアになれる可能性はあります。
セキュリティエンジニアといっても業務内容は広く、そこまで深い業務知識や経験が無くても始めやすい仕事があるからです。
だからといって計画もなしにセキュリティエンジニアになるのはおすすめしません。
転職する方であれば、今の年収が下がる可能性があることや入ってみたもの肌に合わず苦痛に感じてしまうなどリスクを伴うためです。
入ってから後悔しないためにも、しっかりプランを立てて計画的に転職をすることをお勧めします。
転職する際は条件が良いことに越したことはありませんからね。
キャリアプランの考え方:年収を下げずに転職する場合は自身の経験の延長となるものを選ぼう
上記で想定されるリスクについて簡単に紹介しましたが、改めて書き出すと以下のようなものがあります。
- 現在よりも年収が下がるまたは現状維持
- 入ってから「これじゃない」と思い辞めたいと思ってしまう
- やっていることが難しく、苦しくなって辞めたいと思ってしまう
年収が下がるまたは現状維持程度になってしまう問題については、セキュリティ業界未経験である以上仕方がないのである程度は受け入れる必要があります。
しかし、年収などの待遇をなるべく下げずに入ることも経験次第では可能なようです。
例えば、インフラエンジニアはセキュリティについても意識する必要があるため、次のような経験があると有利になる可能性があります。
- FW 設置、設定、運用
- WAF 設置、設定、運用
- サーバ設定におけるセキュリティを意識した設定、運用
- インシデント対応経験
このような経験がある場合、この後紹介する「セキュリティアナリスト」としては有利に働く可能性があるため、年収についてある程度交渉する余地があります。
この例以外でも、IT業界での構築・開発を経験していく中で何かしらセキュリティに関する技術や話題に触れる可能性は十分にあります。
また、設計や開発、構築といった作業はセキュリティエンジニアとして携わる機会が減るので、まずそこから経験を積んでから転職しても全然遅くはありません。
とはいえ、適当にIT企業に入っておけばいいというわけではありません。
私はこの辺りを計画的に経験を積めなかったので、かなり後悔してます。これから目指す人は参考にしてみてください。
セキュリティエンジニアのどの業務をやりたいかを決められてない人は以下の記事を参考にしてください。
未経験で比較的入りやすい分野:おすすめは「セキュリティアナリスト」と「脆弱性診断士」の2つ!
ここでは、未経験でも比較的に参入しやすい業務内容を例に転職時に生かせる経験について紹介します。
未経験で参入しやすい業務内容とは以下となります。
- セキュリティアナリスト
- 脆弱性診断士
それぞれ簡単に解説していきます。
色々なキャリアプランに発展可能な手堅い職業!セキュリティアナリスト
セキュリティアナリストの業務内容は、以下のような内容です。
主な仕事内容としては以下のような内容になります。
- セキュリティ機器(FW、WAF、IDS、IPS、SIEM等) 構築、運用
- インシデント対応(監視、分析)
- 国際情勢の動向把握(マルウェア情報や脆弱性情報など)
「リサーチャー」や「キュレータ」のような業務を行いながら、インシデント発生時は「インシデントマネージャ」のような対応も求められるようなイメージです。
未経験者が主に担当するのはファイアウォールなどのセキュリティ機器におけるログ監視業務になります。
セキュリティアナリストは需要もあり、サーバ・ネットワーク機器だけでなくセキュリティ機器に対する知見も得られるためインフラ関係の会社へ異動する際に応用しやすいのも特徴です。
IT業界未経験であれば、とりあえずここから始めてみるというのはお勧めできると思います。
実は未経験からでも始められる!脆弱性診断士
脆弱性診断士の業務内容は、以下のような内容です。
- 脆弱性診断対象システムに関するヒアリング、対象洗い出し
- Webアプリケーション/ネットワーク機器・サーバの脆弱性診断
- 脆弱性診断診断結果報告書の作成・報告
セキュリティアナリストが受け身なのに対し、こちらは実際に対象に対して疑似攻撃を仕掛け脆弱性が無いかを調査する内容になります。
一見テストよりの内容と思われがちですが、脆弱性診断の世界は奥深く攻撃手法も日々進化しているので単調な作業の繰り返しにはならないなどの魅力があります。
未経験者は、巡回と呼ばれるサイトの構造を把握してまとめる作業などからスタートし、そこから徐々に脆弱性や診断ツール等を理解していきながら、診断作業へシフトいくようになります。
診断と聞くと難しく感じるかもしれませんが、真剣に取り組めばある程度はできるようになるのでそこまで身構えなくて大丈夫です。
ただ、診断員として年収を上げるためのハードルは高くセキュリティアナリストのように経験を他に生かしにくいため入ったとどうするか考えておくのが大切です。
私は今絶賛ここで悩み中です…。
おすすめできる経験
上で紹介させて頂いたものは未経験者でも比較的入っていきやすい分野のお話です。
とはいえ、関連する知識も経験も無い状態で始めるのは次のようなリスクがあるためおすすめできません。
- 書類選考や面接で落とされてしまう
- 採用されたとしても年収が低く設定されがち
- 入ってから新しく学ぶことが多くなりインプットが追い付かず、辛くてやめてしまう
新しい分野で働く関係上仕方ない部分はありますが、基礎となる知識や経験もない場合そもそも採用を見送られたり、年収は低く見積もられやすいです。
それでもと覚悟を決めて入っても、「何をやっているか」「どんな意味があるのか」がわからないとただ手を動かすだけの作業員になってしまいあまりいいことがありません。
セキュリティエンジニアとしてどのような分野で働きたいのかを決めたら、その基礎となる業務内容をまずは経験してみることをおすすめします。
セキュリティアナリストを目指すなら「ネットワークエンジニア」か「サーバエンジニア」
おすすめする業務経験は以下となります。
- サーバ構築・運用(Linux 、Windows Server)
- ソフトウェアの導入、設定(DBやWebアプリケーションなど)
- ファイアウォール導入、設定
- IDS/IPS導入、設定
最初の2つの仕事の領域を扱うエンジニアはサーバエンジニアと呼ばれています。
最後の2つはネットワークエンジニアと呼ばれる人達が担当していることが多いです。
それぞれ簡単に解説していきます。
サーバエンジニア
サーバエンジニアは、サーバやミドルウェアの選定や設計、構築、運用、保守などを行います。
サーバ構成やミドルウェアに関する知識が身につくため、ログ解析する際などに役立つ経験を得ることができます。
何も知らない状態でいきなりログを見るのは中々つらいものがあります。
まずはサーバ構築したり、ミドルウェアの導入等を行っていきながら知識を深めていくのが無難です。
最近はクラウドでの構築が主流であるため、クラウドに関する知識も身につけるチャンスあればそちらをお勧めします。
ネットワークエンジニア
ネットワークエンジニアは、要件に合わせてネットワークを設計しスイッチやルータといったネットワーク機器を導入していくのが主な作業です。
セキュリティ関係の仕事をすると攻撃経路に注目することが多くなります。その際に、どのような経路をたどっていったのかを判断するために必要なのがネットワークの知識です。
サーバエンジニアよりも少しハードルが上がりますが、チャレンジしただけのリターンがあるのでこちらもおすすめできます。
それぞれ実務内容は異なるため、転職する際はよく業務内容を確認し自身にあった業務を選択していきましょう。
Webアプリケーション診断メインの脆弱性診断士を目指すなら「Webアプリケーションエンジニア」
診断といってもいろいろあります。現時点で確認しているものだけでも以下のような種類があります。
- Webアプリケーション診断
- ネットワーク診断診断
- スマホアプリケーション診断
- ソースコード診断
- IoT診断
ここでは、比較的未経験から入りやすいアプリケーション・ネットワークにおける診断をベースにおすすめする経験を紹介します。
- サーバ構築・運用(Linux 、Windows Server)
- ソフトウェアの導入、設定(DBやWebアプリケーションなど)
- フロントエンド、バックエンドそれぞれの開発経験
- APIを使った開発経験
サーバ構築関係に関してはサーバエンジニアの内容とかぶってしまいますが、診断はプラットフォーム、アプリケーション両方行う場合があります。
どちらも経験したことがあるに越したことはありませんが、私の肌感覚としてはプラットフォームをメインにした診断よりもWebアプリケーション診断の方が需要があるようにみえます。
よって、Webアプリケーション診断員を目指すことを前提としてWebアプリケーションエンジニアとして開発に携わっておくことをおすすめします。
ただし、既に開発されたWEBアプリケーションの改修作業やバッチ作成等の経験はプログラミングの勉強にはなりますが、内容によってはセキュリティエンジニアの転職に生かしにくい場合があるので注意が必要です。
スクラッチ開発(1からWEBアプリケーションを開発していくこと)の案件が理想とは言われますが、最近の主流はフレームワークを使った開発なので、そちらの方面で経験を積むとアピールに繋がりやすいです。
フレームワークもただ用意されたライブラリを使うだけでなく、内部処理的な部分も少しずつ理解できるようにしておくといいと思います。
まとめ
ここで紹介したのはあくまで一例であり、未経験からセキュリティエンジニアになる方法は他にも色々あります。
しかし、土台もなしに飛び込むと面接官に足元を見られ年収を低く設定されたり、入った後で苦労が多かったりとあまりいいことはありません。
今回は比較的未経験でも入りやすい「セキュリティアナリスト」と「脆弱性診断士」の業務内容をベースにおすすめできる経験について紹介しました。
主な経験についてはいかのとおりです。
- セキュリティアナリストを目指す上でのお勧め経験
- サーバ構築・運用(Linux 、Windows Server)
- ソフトウェアの導入、設定(DBやWebアプリケーションなど)
- ファイアウォール導入、設定
- IDS/IPS導入、設定
- 脆弱性診断士を目指す上でのお勧め経験
- サーバ構築・運用(Linux 、Windows Server)
- ソフトウェアの導入、設定(DBやWebアプリケーションなど)
- フロントエンド、バックエンドそれぞれの開発経験
- APIを使った開発経験
これらの経験は、セキュリティエンジニアの世界が肌に合わない場合にもインフラ業界やWeb開発業界などに戻れる可能性があるため、リスクを分散する意味でもメリットが多いです。
セキュリティエンジニアは現時点で不足しており、将来的にもさらに不足してくるといわれている世界なので将来背がある業界です。
慌てずしっかり地盤を固めながらキャリアプランを練っていくことをお勧めします。
コメント