【未経験】セキュリティエンジニアの平均年収600万は目指せるか？【脆弱性診断士】

数年前からセキュリティエンジニアの平均年収は約600万と言われています。

実際、今でもセキュリティエンジニアの平均年収は600万前後であるという見方もあり、注目を集めている要因の一つとなっています。

しかし、この話を聞いて次のように思う方もいるかと思います。

• 実際に年収600万を超えることは可能なのか
• 未経験から入った場合も狙うことは可能なのか

結論を言うと、同じ職種、業務内容をただ続けているだけでは厳しいのが現状です。

これは未経験から入った人も、既にセキュリティエンジニアとして働いている人にも当てはまる可能性があります。

セキュリティエンジニアの平均年収

求人ボックスによると、セキュリティエンジニアの平均年収は約600万弱であり、日本の平均年収からすると高いようです。

ここからでは、セキュリティエンジニアのポジションについて明記はされていませんが、拾っているキーワードである程度想像することはできます。

例えば「サーバ」「ネットワーク」というキーワードを拾ってきていますが、これはセキュリティアナリストの仕事が含まれると思われます。

セキュリティアナリストとは、SOCを中心に活動するエンジニアのことを指します。

SOC(Security Operation Center)とは、主にサーバやネットワーク機器のログを集積し、監視やサイバー攻撃の検出、分析、報告などを行う組織です。

幅広い知識や経験を必要とします。

セキュリティアナリストの業務は幅が広く、未経験者は監視などからスタートできることもあり、セキュリティエンジニアの入り口として転職するには、おすすめできる職種です。

ログの監視や報告などの仕事だけではなかなか年収が上がりにくいですが、そこからログ分析やSOC構築、運用といった形で、徐々に組織に影響を与えるポジションになればなるほど、年収が上がっていきます。

セキュリティエンジニアとして年収が高いと言われているポジションの一例としては、CTOなど会社のセキュリティに関する責任者になることが上げられます。

セキュリティアナリスト等の経験のほかインシデントレスポンスの対応も求められます。

どういうことが求められるのかがわかりにくいという人は、一度 CSIRTを学んでみることをお勧めします。

では、脆弱性診断士はどうなのでしょうか。

ここから、当ブログがおすすめしている脆弱性診断士を例に見ていきます。

主に、20代〜30代が未経験から脆弱性診断士に転職した場合の年収について紹介していきたいと思います。

脆弱性診断士の仕事は、主に申し込みを受けた案件に対して脆弱性を調査する仕事になります。

脆弱性診断自体の仕事も幅が広いです。

ここでは、案件数が他に比べ比較的多いWebアプリケーション診断やプラットフォーム診断を例に紹介します。

脆弱性診断士について知りたい方は、以下関連記事に詳しく記載していますので興味があれば見て見てください。

脆弱性診断士の仕事と年収

20代から30代前半で脆弱性診断士を未経験から始めようとすると、年収は大体350〜450万。

よくて500万台かなという印象です。(2021年8月時点の転職サイト調べ)

当然年収の幅は、年齢や業務経験により変動しますし、ある程度経験(3年程度と明記されている会社もある)を積むと、経験者募集の案件で大体500〜600万が見えてくるようになります。

これを見てどう感じたでしょうか。

え？平均年収600万超えられないじゃん！

と感じた方も多いのではないでしょうか。

実際、公開されている時期や案件がたまたまこのような年収を推移しているだけかもしれません。

同じWebアプリケーション診断やプラットフォーム診断をしている方でも、600万を超える年収をもらっている方もいらっしゃる可能性はあります。

ただ、そういった方は診断以外の以下のような要素を持っている可能性があります。

正直、私の感覚では未経験から入るとしても、そうでないとしても現状維持で年収600万を超えるのは厳しいというのが個人的な見解です。

セキュリティエンジニアで平均年収600万を越えるためには、もう一歩踏み込んだキャリア形成が必要となります。

脆弱性診断士として年収を上げるためには

脆弱性診断にも様々な種類がありますが、その中で比較的多いのがWebアプリケーション診断とプラットフォーム診断です。

Webアプリケーション診断やプラットフォーム診断は求人数も増えてきたこともあり、ずっと同じポジションにいても年収が上がりにくいのが状況です。

一方でスマホ診断やIoT診断は人材が不足しているためか、年収が高めに設定されている傾向があります。

以上を踏まえると、脆弱性診断士に入った後に年収600万以上を目指す場合に取るべき道は2つです。

脆弱性診断の専門性をひたすら上げ続ける

例えば、スマホ診断やIoT診断など横に広げる方法があげられます。

また、近年注目を集めているペントレーションテストなどの仕事をしてみるというのも一つの手です。

ただ、スマホ診断やIoT診断は増えてはきているものの、そこまで多くの企業で募集を出しているわけではないようです。

ペネトレーションテストについても、この先必要となる分野では有りますが募集している企業は日本ではまだ少ないのが現状です。

Webアプリケーション診断やプラットフォーム診断に比べ、ニッチな領域の診断を目指す際は次の点に注意が必要です。

いくら年収が高くなるとはいっても、募集している企業がなければ目指していても意味がありません。

目指す分野の領域で募集をかけている企業をチェックし、求められているスキルや経験、資格などを事前にチェックしておきましょう。

また、目的が年収アップの場合現職の分野よりもベースの年収が高くならないと年収600万を超えていくのは少し厳しい印象です。

少なくとも、550万スタートぐらいじゃないと600万に到達するのに苦労する可能性があります。

また、目指す分野に需要があるかどうかも重要です。

需要があっても現状である程自動化される未来が見えている場合は、別の分野を検討した方が良いかもしれません。

脆弱性診断以外のスキルを身につける

脆弱性診断チームをコントロールする（マネージメントする）力を身につけたり、別の職種（SOCなど）を経験するなどがあります。

社内サーバの脆弱性管理や開発したアプリケーションのセキュリティ対策などは、最近のトレンドでもあります。

最初は脆弱性診断をメインとしつつも、徐々に社内のセキュリティレベルを向上させるといった方向にシフトすることで年収をあげられる可能性が上がっていきます。

しかし、チームのマネージメントやSOC運用に関わる場合、技術だけではなく体制や法律など技術外の知識についても学ぶ必要があります。

脆弱性診断をひたすら突き詰めたい人や、人とのコミュニケーションや評価などにあまり興味がない人は辛い道になります。

また、SOC運用に進む場合は、製品知識やログに関する知識など今までの脆弱性診断スキルを活かしにくいため、軌道に乗るまで少しハードルが上がります。

未経験者から脆弱性診断士になった場合年収600万は超えられるか？

結局は、未経験から入って同じ仕事だけを続けていると厳しいが、多方面に目を向けて準備を進めていけば可能性はあるということになります。

ここでいう「同じ仕事」とは、Webアプリケーション診断なら「与えられた案件をただ毎日診断し続けていること」などです。

セキュリティエンジニアを未経験から入って平均年収600万に達するためには、一つのことだけを続けていても難しいです。

組織を管理したりコンサル方面にシフトするか、スマホ診断やIoT診断、ペネトレーションテストなどに繋がるよう部署移動や自己研鑽をしていく必要があります。

同じ未経験から入るにしても最終的に年収を上げたいのであれば脆弱性診断士よりもセキュリティアナリスト(SOC)方面にいった方が知れません。

セキュリティアナリストは脆弱性診断に比べ色々潰しが効きやすく、年収を上げていくまでプロセスも比較的設定しやすいです。

セキュリティ業界に興味があるけど、ある程度年収高くならないと困るという人はセキュリティアナリストをおすすめします。

最後に

脆弱性診断士を中心に、セキュリティエンジニアの平均年収について紹介しました。

私は脆弱性の調査に興味があったため、脆弱性診断士で仕事することを選び転職しました。

入った後は、漠然と平均年収600万とかすぐ越えるんじゃないかと淡い期待をしていましたが、現実は厳しいものです…。

ただ、興味があること、やりたいことができるということは、お金に変えられない価値があります。

何よりも脆弱性診断は、他社システムに対して脆弱性調査するという他の業種ではなかなか経験ができない貴重な体験ができます。

また、脆弱性診断もどんどんサービスが細分化していき、今後も伸びていく可能性は十分あります。

脆弱性診断に興味があれば、以上のリスクを考慮しても十分価値ある仕事だと思います。

未経験からセキュリティエンジニアを目指そうとしてるけど、何をしたらいいかわからないという方は以下の記事も合わせて読んでみてください。

誰かの参考になれば幸いです。