セキュリティエンジニアへの転職に興味を持ち検索してみると、検索結果のサジェストに「きつい」「激務」「やめとけ」などネガティブなキーワードが並んでいる…そんな光景を目にしたことはありませんか?
実際セキュリティエンジニアがどんな世界なのかが見えにくい部分も多いので不安なりますよね。
実は「きつい」「激務」「やめとけ」というキーワードで紹介された事例やエピソードが、セキュリティエンジニアすべてに当てはまるわけではありません。
なぜなら、セキュリティエンジニアと一言でいっても役割も責任範囲も業務内容も異なるためです。
この記事ではセキュリティ業界で3年以上仕事をしている現役セキュリティエンジニアが、「きつい」「激務」と誤解されがちな理由5選を紹介し解説します。また、見落とされがちなメリットについても補足させて頂きました。
この記事でセキュリティ業界への転職における不安を少しでも解消できるような手助けができれば幸いです。
セキュリティエンジニアとは
情報セキュリティにおける脅威やサイバー攻撃から個人または会社を守ることに関わる業務を行うエンジニアのことを指します。
〇〇エンジニアという名前がついているので、そういう一つの職業があるのかと思ってしまいませんか?実際は、セキュリティエンジニアの中でも業務が細分化されており役割も複数存在します。そしてそれぞれの役割によって責任範囲も変わってきます。
- 業務が細分化されている
- 業務によってそれぞれ役割がある
- 役割ごとに責任範囲も変わる
「セキュリティエンジニアになりたいです!」というのは、「バスケがしたいです!」と言っているのと同じぐらい広い意味になります。
「どこのポジションでプレイしたいですか?」と聞かれて困らないようにしておきましょう!
デメリットに関する業務と役割を整理する
実はセキュリティエンジニアへの転職向け記事で紹介されているデメリットには、いろんな役割の話を混合して紹介しているものが多いです。 それは逆に、役割と業務内容の関係性を整理することができれば誤解をせずに済むということになります。
セキュリティエンジニアの役割にも様々なものがあるとお話をしてきましたが、その種類はどれぐらいあるのでしょうか。 日本CSIRT協議会の資料には、業務内容に対応した役割として19種類が紹介されています。
今回はこの19種類の中からこれから話す内容と最も関係性がある役割を絞り込んでみました。その一覧が以下の表となります。
| 役割 | 概要 |
|---|---|
| PoC | 自組織外・自組織内連絡担当 |
| ノーティフィケーション担当 | 自組織内調整・情報発信担当、IT部門調整担当 |
| リサーチャー | 情報収集担当 |
| キュレーター | 情報分析担当 |
| セルフアセスメント担当 | 自社の資産管理の維持管理、自社の資産管理の維持管理などを担当 |
| ソリューションアナリスト | セキュリティ戦略担当 |
| コマンダー | CSIRT全体統括担当 |
| インシデントマネージャー | インシデント管理担当 |
| インシデントハンドラー | インシデント処理担当 |
表には役割とざっくりとした概要を乗せただけのものとなっているため少しわかりにくいかと思いますが、今はこの役割の名前を覚えておいてもらえればOKです。
ここからは、この表で紹介された役割と「激務」「つらい」として紹介されている業務との繋がりについて紹介をしていきたいと思います!
セキュリティエンジニアが誤解されがちな理由5選
様々なサイトで紹介されているセキュリティエンジニアに関するデメリットの話にはいくつか共通点があります。ここでは、その共通点を大きく次の5つの要因に分けたものに対してそれぞれ解説をしていきます。
- 迅速対応が必要
- 責任重大
- 対策が大変
- 変化が激しい/勉強が大変
- コミュニケーションに苦労する
それでは、順番に見ていきましょう。
「迅速対応が必要」に関する誤解
セキュリティ事故・事件が発生した際、事態を収束させるために迅速かつ的確に対処する必要があります。
そのような事情から、セキュリティエンジニアといえば「夜間に呼び出される」「沈静化するまで帰れない」といったイメージを連想してしまいますよね。
具体例
- インシデント発生時に迅速に対応する必要がある
- インシデントによりシステム障害が発生した場合は昼夜問わず呼び出される
- システムの復旧が終わらないと帰れない
インシデントが発生した際、一番最初にやらないといけないことは安全の確保。次に復旧です。この2つは迅速に対処する必要があります。
その時に最も忙しくなるのはは、先ほどの表の役割でいうところのリサーチャーやキュレーターと呼ばれるポジションの人になります。
主な業務内容としては、ネットワーク機器やサーバなどのログの収集・分析、影響範囲の調査とその報告になります。そうした業務は緊急時に呼び出されることもあり、平常時も24/365で対応していることも多いです。
インシデント対応業務は自分で時間をコントロールできないので、「つらい」「激務」というイメージが持たれる原因になっています。しかし、これらの仕事で培った経験はセキュリティエンジニアの中で最も需要があり、年収を上げる役職に繋がりやすいというメリットがあります。
経験者枠で求人募集をしている内容を見たときに、インシデント対応経験を記載しているケースは多いです。それぐらいインシデント対応経験には価値があり、その経験をうまく生かすことができれば将来の年収700万や800万といった役職を狙うことも夢ではありません。
また、未経験者を募集をしているところも多いので、実績がまったくない人でも狙いやすいのもポイントとなります。最初は機械的な作業かもしれませんが、分析したり状況判断したりしてチームをまとめていく側にシフトしていけば必ずいい方向に向かうはずです。
「責任重大」に関する誤解
セキュリティ関連の事件、事故といえば損害額や株価の下落、顧客の信用失墜などが思い浮かぶのではないでしょうか。
当然セキュリティを任された担当者は、そういったことを未然に防ぐ、あるいは発生した場合にしっかり対処する責任があります。
そうした理由から、セキュリティエンジニアには常に会社の重責を押し付けられていると連想してしまいますよね。
具体例
- インシデントでサービスが止まったことにおける株価や顧客離れ
- 問題回解決までの時間がかかると損失などが大きくなる
- 機密情報や顧客情報が漏洩することによる信用の低下
前提として、仕事をする以上責任が伴うのは社会人として当然のことです。それを踏まえた上で、セキュリティエンジニアはもれなく会社の存続に関わるレベルの重大な判断をするような業務に就くのか?というと、もちろんそんなことはありません。
そもそもそのようなポジションに着くためには、セキュリティに関する高度な技術・知識と裏打ちされた確かな実績を必要とします。具体的には、社内のセキュリティ全般を統括するような立場となる技術部門のCIOなどの経営層に影響を与えるようなポジションが該当します。
このようなポジションの人は責任は重大ではありますが、当然それに見合うだけの高い報酬をもらっています。技術ではなく、マネージメントやコンサルタントの方面を狙っている人なら目標とすべきポジションだと言えます!
勘違いしないでほしいですが、これに該当しないセキュリティエンジニアには全く責任がないかというとそうではありません。責任はどんな役職だとしても必ずついてきます。大切なのは、責任の大きさは担当するポジションによって異なるという点です。
少なくとも、これからセキュリティ業界未経験で転職しようとしている人にはほぼ関係がないと言えるでしょう。関係ないというより、むしろなろうとしてすぐになれるようなポジションではないといった方が適切かもしれません。
「対策が大変」に関する誤解
サイバー攻撃は日々進化しており、システムを守る側と攻撃する側の攻防は常にいたちごっこです。
脆弱性も日々報告されており、システムによっては早急に対処しなければならない場合もあります。
セキュリティエンジニアになると機器の管理や対応に追われることになるのか…
後手に回るだけの作業だし、あんまり楽しくなさそうだな…
こんな印象を持たれた方も多いのではないでしょうか?
具体例
- 新しいタイプの攻撃パターンに対応しきれず、対処が後手に回ってしまう
- 日々何らかの新しい攻撃が行われるため、定期的なアップデートや機器の点検・管理が必要
- 対策に終わりがなく、常に不安が付きまとう
解説に入る前に、ここでいう対策とは一体どんなことをやるのか皆さんご存じでしょうか。サイバー攻撃による対策は、大きく2つが考えられます。
- 既知の攻撃に対応するために、社内で管理するすべての機器のバージョンを最新に保つといった対策
- 未知の攻撃にも対応するために、セキュリティ製品や他社サービスの導入、運用することによる対策
こちらも最初の方で紹介した表の役割で説明すると、社内の機器を管理するポジションはセルフアセスメント担当が行い、セキュリティ製品の検討や導入を行うポジションはソリューションアナリストが行うことになります。
これは先ほど紹介したリサーチャーやキュレーターとは全く別のポジションになります。つまり、セキュリティエンジニア全員が対応しなければいけないというわけではないということです。もともとは同じ人が対応していたかもしれませんが、サイバー攻撃が年々高度化していくため細分化が進んでいるということは覚えておくと良いと思います。
社内の機器管理についてはサイバー攻撃が高度化していくことに合わせて対策側も日々進化をし続けています。最近では社内の機器管理を一元管理するツールやサービスを利用する流れが主流となってきています。そうした時代の変化によるシステム管理の考え方や最新のツール、サービスに触れられるというのはこのポジションならではのメリットになります。
管理ツールやサービスは、企業向けの価格帯であるため個人で手が出しにくいのもポイントですね。会社に属しているからこそ体験できることだと思います。
ソリューションアナリストについても同じように、最新のセキュリティ機器を触れるメリットがあります。その他に、どのセキュリティ製品を使ってどんなサイバー攻撃を対処してきたのかといった経験・知識はとても重要です。実績があれば、コンサルタントとしての道も開けるので年収面でも期待できるキャリアパスといえます。
「変化が激しい/勉強が大変」に関する誤解
IT業界自体のスピードが早く、言語やフレームワーク、インフラサービスやOS、ソフトウェアなどがどんどん発展していくため変化が激しい業界です。
セキュリティ業界もそれらの流行り廃りに合わせて変化していく必要があるため、常に学習意欲をもって取り組む必要があります。
変化の激しい流れについて行けるか心配…
自分だけが取り残されてしまうかもしれない…
といったことに不安になったりしませんか?
具体例
- 常に新しい技術を学ぶ必要があり、気疲れしてしまう
- 専門用語が多く、理解するようになるまでが大変
- 情報の正確さや検証に時間が多く取られてしまう
残念ながら、これに関しては誤解…ということはありません。真実です。IT業界自体がすさまじいスピードで成長していく一方でセキュリティに関する問題がいくつも出てきているという現状を考えると、時代の変化に合わせて常に勉強していく姿勢は必須であると言えます。
なんだ、釣りタイトルじゃないか!
と思われるかもしれませんがちょっと待ってください!
セキュリティ業界は確かに変化が激しく、勉強して常に情報をアップデートしていくことが大切な世界です。しかし、みんながみんな自分の力だけで勉強しているのか?というとそういうわけでもありません。
セキュリティ業界にも様々なコミュニティが存在します。日本国内でもISOG-Jなど規模が大きいものから、小さい勉強会コミュニティなど様々です。そうしたコミュニティに属することで同じ悩みを持った人同士がつながり、お互いに情報を出し合ってアップデートするという選択肢もあります。
また、企業側としても社員の成長がなければ時代に取り残されてしまう危機感を持っています。そうした企業の多くは社員を成長させるための制度を用意しています。その制度を利用し、費用を会社側に負担してもらいながら外部の研修を受ける方法や、セミナーに参加して交流を深めてみるのも選択肢として有効です。
「コミュニケーションに苦労する」に関する誤解
社内のセキュリティを高めたいと思っても、社員一人にできることは限られています。必要に応じて社内の各部署の責任者や担当者と連携を取ったり、社外の組織から情報を得たりとコミュニケーションを頻繁に取る必要があります。
セキュリティは、マイナスをゼロにすることはできてもプラスにすることはできない仕事です。セキュリティ向上のために他の人の協力を得たいと思っても、なかなか理解されずコミュニケーションに苦労する話はいろんな会社でちらほら聞こえてきます。
セキュリティに関する世間一般の認識
- ユーザ側の視点:会社側がセキュリティ対策をするのは当然
- 社員側の視点:セキュリティ対策そのものは直接仕事を楽にするわけでも生産性を上げるわけでもない
- 経営者の視点:お金をかけて対策をしても、利益が上がるわけでもない
ユーザへの理解、社員への理解、経営者への理解。齟齬がないように理解してもらうにはどうすればいいのか。技術力だけじゃなくコミュニケーション力も必要だなんて…セキュリティエンジニアは大変な仕事なんだと思ってしまいますよね?
具体例
- インシデント発生の対応としてユーザから問い合わせがあり、コミュニケーションをとることが大変
- 社内の部署との連携を密接にとることが難しい
- セキュリティ対策はあまり感謝されることが少なく幸福感が少ない
セキュリティエンジニアだからコミュニケーション力が必ずしも必要なのかというとそうでもありません。しっかりと体制が組まれている組織であれば、連絡系統が決まっています。
最近は国内でもCSIRTを立ち上げる組織も増えてきており、社内・社外からの問い合わせ窓口を設けるところも増えてきました。 特にインシデントの発覚は、内部だけでなく外部からの情報がもたらされることも多いため窓口の存在は重要視されてきています。 そうした社内外の連絡用窓口として活動をするのはPoC(Point of Contact)というポジションが担当をします。
社内外の窓口として活動するPoCとは別に社内の部署間との連携を密にする役割も必要とされています。それらは、最初の表でいうところのノーティフィケーション担当やセルフアセスメント担当が行います。
セキュリティに関する技術だけを追い求めたい人は、これらの役割に関係する業務以外への配属を希望するようにしましょう。
ちなみに、ここで紹介した役割はコミュニケーション力の高さを重要視されますが同時にセキュリティに関する知識も求められます。 技術だけではなく、持ち前のコミュニケーション力も生かして興味のあるセキュリティ業界で仕事がしたい! という人にはまさにうってつけのポジションです。
需要はあるのか?と思う方もいるかもしれません。 私個人の意見としては、今後も需要増えてくると思っています。 というのも、近年国内でCSIRTを立ち上げる会社が増えてきているという背景があります。 CSIRTを立ち上げる上で、これらの存在は欠かせない要素の一部です。 セキュリティへの知識・技術がありかつコミュニケーション力があるというのは、それだけでも十分強みになります。
セキュリティエンジニアへの転職に悩んでいる方へ
ここまでセキュリティエンジニアが誤解されている5つのことについて解説をしてきました。
そもそもの話にはなりますが、一人何役みたいな形で「激務」とか「帰れない」といった状況は長く続きませんし、それができる人はより良い会社に転職してしまいます。
経済産業省のサイバーセキュリティ経営ガイドライン Ver2.0 付録 Fに次のような記述があります。
企業におけるサイバーセキュリティ対策のための体制について尋ねると、大企業でも意外に多いのが「セキュリティ統括」に相当する担当者が以下の役割をすべて担っているケースです。
・社内ルールの整備
・ベンダーとの交渉
・インシデント発生時の指揮
CISO がこれらの責任者となることは当然ですが、従業員数 300 名を超えるような組織でセキュリティ担当者1名という場合は、体制の見直しをお勧めします。
(中略)
1 人で全てに対応すればコストは抑制され、効率もよいのですが、万一その担当者が突然退職したり、体調を崩したりするようなことがあれば、後継者が同じことをできるようになるまでの間、その企業はきわめて危険な状態に置かれることになります。 さらに、属人化してしまうとその担当者による内部不正の検知なども行いにくくなります。
出典:経済産業省 サイバーセキュリティ経営ガイドライン Ver2.0 付録 F コラム:セキュリティ担当者1名ですべてを担うことの危険性
セキュリティを任せられるような人が少数だったころは、確かに一人何役もやりながら仕事をする必要がありました。
しかし、今は状況が違います。IT技術もサイバー攻撃も日々複雑化し難解なものになりつつあります。
経済産業省も「今までのような社内の過酷なセキュリティ対策のままの場合は、体制を見直しましょう」と提言するような状況です。実際業務と責任範囲を分割し、専門とする部隊を作り常に運用し続けられる体制としている会社も少なくありません。
そもそも、今は働き方改革や労働基準法により過度な残業や長時間労働は見直されてきています。折角セキュリティに興味があるにもかかわらず、一部のネガティブな情報に惑わされて転職を始める前からあきらめてしまうのは非常にもったいないです。
完全に理解した!と思ったあなたに大切なお知らせ
ここまで読んでいただいた方に大切なお知らせがあります。
セキュリティエンジニアと一言でいっても役割が様々あり、その役割によっても責任範囲が違うということについてここまで一緒に学んできました。
ここまで付き合って頂いた方には大変申し訳ないことではありますが… 実は、ここまで役割や業務内容が綺麗に分かれて仕事を任せている会社ばかりではありません。 それどころか、入ってみたらいろいろな役割を兼務して専門外なことについてもやらされてる…なんてこともあります。
おい!結局釣りかよ!
ここまで読んで損した!
やっぱりセキュリティエンジニアは闇が深いんだね
と思った方、ここからが重要なお話になります。
企業側としても、役割ごとに人を配置して盤石なセキュリティ対策チームを整えるのが理想です。とはいえ、企業側としてもそう簡単にはいかない諸事情というものがあります。
- 本当はきれいに役割を分担したいけど、予算の都合でとりあえず兼務して貰っている…
- セキュリティに詳しい人が社内にいないため、内部の体制についてうまく整理できていない…
- 最近セキュリティに力を入れ始めたばっかりで、体制が整理されていない…
会社によって事情は様々ですが、現実はなかなか理想通りというわけにはいきません。
私自身もこの業界に入る前は、セキュリティエンジニアの募集要項を見ながらどのポジションを求められているのかわからず悩むことが多かったです。 実はセキュリティエンジニアとして働いている現在の私でも同じだったりします。 セキュリティエンジニアに求められる役割は会社によって異なるため、今でも個人の調査で調べられることに限界を感じています。
では、その悩みを解決できる最も確実で早い方法はなんでしょうか? それは、会社の内部事情に詳しい人に話を聞いてみることです。 とはいえ、個人が簡単に会社の関係者や社員に話を聞きに行くことは難しいですよね? それに会社の関係者に話を聞けたっとしても、すべてを正直には話してくれないかもしれません。 そこでおすすめするのが転職エージェントです。
転職エージェントは会社の内部事情に詳しく、気になる点があればエージェントに依頼して直接企業側に問い合わせもらうこともできます。 転職エージェントとしては企業に人材を紹介をする以上、すぐに会社を辞めてしまうのは困るため親身になって考え提案してくれます。
とはいえ、転職エージェントも数がたくさんありどれを選んだらいいのか悩んでしまいますよね。 適当な転職エージェントに登録してしまい、セキュリティエンジニアについてそこまで理解がない担当者に適当な案件をおすすめされても困ってしまいます。
そんな悩みを持っている方に私が実際にセキュリティエンジニアへの転職で使ってみて、とても良かったと思えたサービスを3つ厳選して紹介します。 どれも自信をもっておすすめできるサービスとなっているので、セキュリティエンジニアへの転職を考えている方は是非活用してみてください!
- マイナビエージェント
IT未経験ならまずはここから!セキュリティエンジニアに関する相談も可能。 - マイナビ IT AGENT
IT業界を経験してる人ならこちらがおすすめ!経験を生かしてセキュリティエンジニアへの転職を狙えます。
- レバテックキャリア セキュリティエンジニアの転職といえばこちら!転職エージェントの中でもセキュリティエンジニアの転職実績が豊富で的確なアドバイスがもらえます。
IT未経験ならまずはここから!セキュリティエンジニアに関する相談も可能。
IT業界を経験してる人ならこちらがおすすめ!経験を生かしてセキュリティエンジニアへの転職を狙えます。セキュリティエンジニアは人材不足と言われています。 それはつまり、セキュリティエンジニアへ転職は今が好機であるということです。 ぜひこの機会に転職エージェントに登録して、セキュリティエンジニアへの第一歩を踏み出してみましょう!
コメント