第3章:セキュリティエンジニアの仕事とキャリアパス
一章、二章で「そもそもセキュリティエンジニアとは何か」「セキュリティエンジニアとはどういうスキルを持つべきか」ということを述べましたが、ここでは実際にセキュリティの仕事ができる会社選びと、その後のキャリアパスに関してお話していこうと思います。
企業側が求めるセキュリティエンジニアの人物像(第二章の補足)
セキュリティの仕事が幅広いということはしつこく何度も書きましたが、仕事の幅が広く、かつ、人材が不足している状況ですので、多くの企業が「セキュリティ」というキーワードで人材募集を行っています。しかし、単純に「セキュリティ」という言葉だけで会社選びをしても、自分がやりたい仕事ができるかどうかはわかりません。例えば、コンサルティング中心の企業に「プログラミングがしたいです」と言っても採用される確率は低いでしょう。具体的に、セキュリティの何をやりたいのか、そこをしっかりイメージして、そのイメージに合う会社選びを行ってください。
私が面接を行う場合ですが、実務経験2~3年の人には正直なところそれほど即戦力性は期待していません(もちろん、できるに越したことはありませんが)。その人が「やりたい」とモチベーションを持ってやれることを企業サイドとして提供できるかを考えることが多いです。なんだかセキュリティが話題になっていて面白そう、興味がある、だから転職したいと考えておられる方は、もう一歩踏み込んでセキュリティの何に興味があるのか、セキュリティの何をやりたいのかを考えていただければと思います。
セキュリティの仕事ができる企業
-
専業系
情報セキュリティ関連の業務内容が中心となる企業です。業務としては、コンサルティング、脆弱性検査、教育、製品販売導入、運用と幅広くセキュリティ関連業務をカバーしていますが、どちらかといえばテクニカルな仕事が多いでしょう。
企業例としては、ラック / NRIセキュア / グローバルセキュリティエキスパート / 三井物産セキュアディレクション / インフォセック / サイバーディフェンス 等が挙げられます。
-
コンサル系
主にいわゆるコンサルティングファームがベースとなる企業です。こちらは業務継続計画や各種認証取得といった、比較的経営に近い部分でのセキュリティコンサルティングが中心となります。
企業例としては、KPMGビジネスアシュアランス / アクセンチュア / デロイト トーマツ コンサルティング / アビームコンサルティング 等、といったところでしょうか。
-
メーカー系
いわゆる、「メーカー」さんですね。セキュリティ関連の技術に積極的なメーカーも数多くあります。日立製作所は先日セキュリティインシデントレスポンスチームを立ち上げて国際的な活動を行っています。日本電気は以前から自社開発のファイアウォール製品を持っていますし、三菱電機は暗号等で積極的に研究開発を行っています。やはり、製品を供給する側でもセキュリティの確保は重要課題となっているということです。また、規模の大きいメーカーはセキュリティコンサルティング、ソフトウェア開発、サービス開発、インテグレーション等を系列会社含めて展開しています。
-
ソフトウェアメーカー系
国内外問わず、セキュリティ関連のソフトウェアを開発している企業は数多く存在します。ソフトウェアの種類ごとに企業もありますので、わかりやすいところで例を挙げると、ウィルス対策ソフトなら、トレンドマイクロ / シマンテック / マカフィー といったところや、脆弱性検査ツールの大手である Internet Security Systems 等があります。ちなみに個人的な感触ですが、国内メーカーは独自の技術を使ってユニークな商品を製造販売しているところが多いように感じます。国産ソフトウェアにもぜひがんばって欲しいですね。
-
商社系
主に海外からセキュリティ関連の製品を国内に持ち込み、販売サポートを行っています。製品の検証や導入サポートといった業務があります。企業例としては、伊藤忠テクノサイエンス / 住商情報システム / 日商エレクトロニクス 等が挙げられます。
-
インフラ系
通信インフラの企業がセキュリティ関連サービスを提供していることも多いです。こういったところはセキュリティサービスの開発、提供や運用業務が中心となります。企業例としては、NTT Communications / KDDI や筆者の在籍しております IIJ もそういったサービスを行っています。
-
SIer系
-
システムインテグレーターがセキュリティのサービスを提供することもよくあります。コンサルティングサービスもありますが、やはりメインはシステム構築や実装、運用といったところです。セキュリティを売りに、構築や運用を行っているSIer / Outsourcerでは、比較的幅広くセキュリティに関連した業務があります。
筆者が現在働いているIIJテクノロジーもこのカテゴリーに入ります。ちょっと宣伝させていただきますが、システムの実装を中心として、コンサルティングから運用まで幅広く仕事があり、色々と経験できますので、転職先候補の一つとして検討していただければ筆者としても大変うれしいです。
-
ユーザー系
最近ではIT企業ではない、一般の企業でもセキュリティの担当者がいることがあります。情報システム部で活躍していたり、製品設計の現場で活躍していたりします。その他の業務と兼務されている方も多いですが、場合によっては専業のエンジニアと変わらない知識や技術を持っている方もおられます。筆者も前職はユーザー系企業でファイアウォールの運用とかをやっていました。ただ、やはり人数が少なかったり、業務内容についてなかなか理解されなかったりすることもあるために専業とは違った難しさもあるようです。
セキュリティエンジニアのキャリアパス
第一章でも述べたようにセキュリティエンジニア自体は比較的新しい職種であるため、現時点では色々な選択肢があると考えられます。そこでいくつかのパターンを考えてみたいと思います。
まず思いつくのは、一般的な企業のキャリアパスと同じパターンです。エンジニアからマネージャー、エグゼクティブ、といった流れですね。セキュリティエンジニアだからといって、ここはあまり特別なことはありません。ただ、セキュリティの業界に特徴的なこと(IT業界全般にも同じようなことは言えますが)と言えば、業界内で転職する人が結構多いことでしょう。「セキュリティ」と一言でいっても中身が多種多様ですから、自分のやりたい技術要素が今の会社で実現できなければ、出来る場所を求めて転職を希望するという方も多いようです。ここからはあくまでも個人的な意見ですが、セキュリティというのは技術のデパートみたいなもので、総合的に色々なことを知らないといけないことが往々にしてあります。昔と違って今はいろいろな情報があふれていますから、知識として多くを習得することは可能ですが、その知識を表面的なもので終わらせないために、言葉は悪いですが「泥臭いこと」を一度は経験しておいたほうが良いと思います。
主観的ですがもう少し細かく書くと、最初のうちはセキュリティに関する運用を経験するのがよいでしょう。日常的にセキュリティに関する運用を行っていると多くのことが学べます。インシデントをどう見つけるか、問題発生時の対応をどうするのか、そもそも、なぜそういう問題が発生するのか、いくらでも考えることはあるはずです。運用の現場を経験し、その経験を活かして設計や構築を行えば強いシステムが作れます。運用でセキュリティインシデントや事故対応を学び、構築で事前対応を学ぶという感じでしょうか。そうやって現場を踏んで、それからエンジニアを極めるのか、コンサルティングを軸として上流工程に行くのか、会社経営に回るのか考えればよいことかと思います。
その他に考えられるのは、数年間、企業で実績を積んで独立したり、起業したりするパターンです。コンサルタント系の方のほうがそういった傾向が強いように思います。企業に在籍している間に培った人脈を生かして、比較的少人数で集まって会社を設立したり、個人で契約して仕事をうけたり、というところですが、自分の思うとおり自由に出来る反面ジョブコントロールの難しさも伴います。あと、これは余談ですが、セキュリティ業界はまだそんなに人数が多いわけではありませんので、「何々さんは今度XXXにいるみたい」「何々さんは辞めてYYYにいったよ」などという話がよく聴かれます。狭い世界だけに人脈は重要ですね。
あと、外国語が得意な方は海外で活躍するという方法もあります。IT関係は全般的にそうですが、セキュリティについても海外とのやり取りが発生することが比較的多くあります。あまり多くはありませんが、セキュリティエンジニアの中には海外で活躍されている方もおられますので、そういったところに挑戦するというのもよいのではないでしょうか。
終わりに
以上で、セキュリティエンジニアの説明は終わりますが、多少は身近に感じていただけたでしょうか?筆者の文章が下手なせいも多分にありますが、「やっぱりよくわからない」という方も多いかもしれません。行動しないことには何もはじまりませんから、がんばって一歩踏み出して見てください。
セキュリティといっても特殊なことはありません。ただ、自分はセキュリティの何がやりたいのかをしっかり意識することが転職するための重要なポイントだと思いますので、そこは強く意識するようにしてください。そうすれば、自ずと道は開けるでしょう。
最後に、ここまでお付き合いいただいた皆様に感謝いたします。どうもありがとうございました。