セキュリティエンジニアとは?仕事内容はきつかったりつらいのか?

まろん

セキュリティエンジニアって何かと、仕事内容がきついのかリアルな声が聞きたいワン!

今回は、そのような疑問にお答えいたします。

本記事の内容

  • セキュリティエンジニアとは何か
  • セキュリティエンジニアの仕事内容をフェーズごとに紹介
  • セキュリティエンジニアのまひろが思う「きついかどうか」について

本記事の執筆者

まひろ(@aokaze_mahiro

私は大手企業で新人賞を取り、数年後には別企業に転職し、半年でチームのサブリーダーを任されてます。

そんな私から先に結論を述べておくと、

各フェーズごとに仕事内容は異なり、難易度は高いが、思っているよりきついという感じではないです。

以前このような記事を執筆しています。

目次

セキュリティエンジニアとは

セキュリティエンジニアとは、ネットワークや社内で導入したシステムを外部のサイバー攻撃から守るエンジニア

まひろ

サイトや人によってこの辺の定義は様々ですが、私はこのように考えています

エンジニアと一緒くたに言う人はいますが、その中でもセキュリティエンジニアは「情報セキュリティに特化した」エンジニアと言うことができますね。

「セキュリティに特化した」とは言っても、結局システムはすべてつながっているので、ネットワークやハードウェア、認証基盤、DB、アプリケーションと様々な分野の基礎知識は必要です。

なので、難易度は比較的高めとは言われてるみたいです。

セキュリティエンジニアの仕事内容

既存で導入しているネットワークや社内システムの脆弱性を見つけ、それを補うためのセキュリティシステムを提案・設計・構築・テスト・運用と対応していきます。

「企画・提案」、「設計」、「実装」、「テスト」、「運用・保守」といったフェーズに分かれている部分は他のエンジニア職と同じですが、セキュリティに特化したシステムを考え、対応する部分がセキュリティエンジニアの役割です。

各フェーズごとに担当者がいるというのも、他のエンジニア職と似ている部分でしょうね。

※もちろん全フェーズを担当する会社もあれば、複数フェーズを担当する会社もあります

企画・提案

既存で導入しているネットワークや社内システムの脆弱性を見つけ、自分から企画提案をしたり、ユーザーからもらった要件をもとに、その企業に必要なセキュリティシステムの提案や企画を行います。

企画・提案を行うセキュリティエンジニアは、セキュリティコンサルタントと呼ばれることもあります。

企画・提案時には、各部門の組織体系や技術面におけるセキュリティ弱点を把握するために、現場メンバーと連携する必要があります。

まひろ

私は基本的にセキュリティ施策の打ち出しや企画・提案・設計を主にしておりますので、社内では「セキュリティコンサルタント」と言われていますね

設計

セキュリティに配慮したシステムの設計を行います。

ネットワークや導入する機器、どんな運用をしているかといった点を考慮した上で、セキュリティもどうしようかと考える必要があり、広く浅くも様々な分野の知識が求められます。

まひろ

ネットワーク、OS関連、脆弱性情報、クラウドとかかな

導入するとなった時に、どういう設定値にするかといった部分も設計に含まれます。

構築・実装

設計したシステムの構築・実装を行うフェーズです。

導入する機器の設定プログラミングなどを主に行っていきます。

まひろ

私はプログラミングに関してはあまり得意ではないため、社内のプログラマーに依頼しています

設定が間違っていたら大問題ですし、プログラミング知識や導入する製品に関する知識を有している人が、重宝されているかなと思います。

テスト

システムの脆弱性を発見するための診断や、結果として見つかった脆弱性の対策等が含まれます。

まひろ

製品を入れると決めたら、部分的に導入したり、テスト用サーバーでテストするといった内容もありますね

こういった診断のことを、脆弱性診断と呼ばれたりするのですが、潜在的な脆弱性を発見するために、擬似攻撃を行ったり、ソースコードのチェックをしたりします。

診断結果は危険度が「High」、「Middle」、「Low」と出てきますので、大体はmiddle以上の脆弱性を直してからリリースするかどうかを決めていきます

あまり危険度が高くないのに、脆弱性を直すために高コストを要するということになればあまり意味ないですし、費用対効果との相談って感じですね。

まひろ

脆弱性診断をする専門企業があり、作業を委託するということも可能です(まひろの会社は基本的に委託しています)

運用・保守

システムを導入した後の運用・保守を行います。

障害やサイバー攻撃からシステムを守り、安全に運用することが目的となります。

運用に関しては、設計のフェーズ担当者が

まひろ

普段はこの手順に沿って、作業をしてください。その中で異常があれば、このように対応ください。

とある程度やるべきことを決めていたりするケースが多いと思います。

また、ネットやMSの公式サイトから発信される情報を常に収集し、アップデートすることや、実際にサイバー攻撃があった時に対応する必要もあるので、障害対応力や情報収集力と必要かなと思います。

また、不正侵入調査を行うこともあります。

まひろ

セキュリティエンジニアとして未経験で転職する際には、この運用フェーズから入るのが現実的かなぁと個人的には思ってます

フェーズ別で考えない具体的なセキュリティエンジニアの仕事内容

各フェーズごとにこんな感じで仕事しまーすということで、他のエンジニア職と同じような説明をしていきました。

ここからは、セキュリティエンジニアならではの仕事内容について解説していきます!

ガバナンス系

会社全体の情報セキュリティ統制を実現するようなイメージです

年間・中長期計画を策定したり、ポリシーやルール、ガイドラインを整備したりします。

あとは、以下のような仕事が含まれるかなと思います。

  • 情報セキュリティ監査
  • 情報セキュリティ教育
  • インシデント対応
  • 個人情報の保護
  • 組織運営や整備
  • 外部委託先や協業会社のセキュリティ管理
まひろ

会社によって分類が異なったり、ほかの仕事もあるよというのはあるかと思いますが、パッと浮かぶのはこの辺りです

事業内容のセキュリティ保護

もし自社開発のコンテンツなどがある場合には、そのコンテンツを支えるインフラやそれを運営するという部分を脅威からセキュリティの観点で保護します!

ここでいう脅威というのは、可用性、機密性、整合性を脅かすものを指します。

まひろ

この辺りはIT関連資格試験にも出てくるのでわかりやすいかも

具体的にやることは基本的には以下の感じでしょうね

  • クライアント診断
  • サーバー診断
  • Web診断
  • アプリ脆弱性診断
  • 改ざん対策技術の導入
  • RMT対策
  • DoS対策
  • 脆弱性管理
  • 個人情報保護対策
  • 開発業務時のセキュリティ設計
  • 運用業務時のセキュリティ設計
  • コンテンツ保護
  • セキュリティ技術教育

社内システムのセキュリティ

全社員が使うようなシステムやバックオフィスの方が扱っているデータや事業のデータ、会社運営を脅威から保護する仕組みを考えたり構築したりします。

まひろ

この辺りは、いわゆる社内情報システム部の方がやっているというケースもあり、わかりやすいかなと思います

内容的にはこのような感じになるかなと思います。

  • サーバー脆弱性診断
  • Web脆弱性診断
  • マルウェア対策
  • 脆弱性管理
  • 情報漏洩管理
  • 内部不正行為対策
  • 人的ミス対策
  • セキュリティ技術面での監査
  • 物理セキュリティ対策
  • 認証、認可基盤整備
  • ドメイン保全
  • フォレンジック
  • 製品、サービスのセキュリティ評価
  • 各種セキュリティ運用設計
  • セキュリティログ管理
  • セキュリティ監視(ログ、アラート)運用
  • 社内インシデント対応
まひろ

私はもともとSIer出身なので、診断系はあまりやっておらず、新システムの開発や導入をする際の企画やプロジェクトマネジメントがメインです

情報収集

セキュリティの世界はすぐに情報のアップデートがあったり、新技術がリリースされたりととにかくスピード感があります

ということで、常に市場から情報を収集するというのも仕事の一つとしてあります。

セミナーに参加したり、外部との技術情報交換だったりをしますね。

あと、ガバナンス系だと法規制やガイドライン、認証制度の動向なども追っていないといけないです。

まひろ

何かあった時「法律を知りませんでした」では通りませんから

パッと思いついたものは記載してみましたが、このほかにも多く業務はあり、ほんとに多岐にわたるということがわかると思います。

セキュリティエンジニアはきついのか

これは人による感じ方、企業、周囲の人間関係、負荷状況でいくらでも変わってくるので一概にきついとかきつくないとは言い切れません

が、あくまで私の話をすると、きつくはないです。

というのも、私は月に5時間も残業すれば多い方で、

まひろ

今日やらないと死ぬという仕事じゃない限りは定時で帰りましょう!

と普段から豪語しているだけあって、定時から5分も経過すればチームメンバーの大半はいません。

月一で面談をして、負荷状況が高そうな人には極力新しい仕事は与えず、別の方にお願いするといったこともしています。

というような感じで、上司ないしメンバー全員が互いに役割を理解して、タスクを共有し、マネジメントすれば、特定の人がきついみたいな状況にはならないと思います。

人が足りなくて物量的にどうしようもないのであれば、新しく人を雇うとか、業務委託してしまうとかを言えば、今いる会社では対応してくれます。

ということで、

きつくはないですが、勤務時間ずっと集中して取り組まないといけないくらいには仕事はコンスタントにあり、充実しているなと思います!

まひろ

私はこんな感じですが、「技術革新により、常に新しいことを学び続ける必要がある」ので、そういった部分が苦手という方は向いてないかもです

まとめ:セキュリティエンジニアは思っているよりきつくない世の中

今回は、セキュリティエンジニアって何かと、仕事内容がきついのかについて解説してきました。

本記事の要約

  • セキュリティエンジニアとはネットワークや社内で導入したシステムを外部のサイバー攻撃から守るエンジニア
  • フェーズによってやることが大きく異なる
  • セキュリティエンジニアは実際きつくはない

エンジニアはきついと言われることが多いですが、少しでもセキュリティエンジニアに対する見方が変わったという方がいらっしゃるとうれしいです!

この記事が気に入ったら
いいね または フォローしてね!

シェアしてくれると嬉しいです!

当ブログ運営者

サイドFIREを目指す20代サラリーマン×セミパパのブロガー
・夫婦で行ったホテルやレストランは多数
・仕事はセキュリティコンサルタント
・転職を経験し、現在2社目

目次
閉じる