昨今、大手メーカーをはじめとした民間企業、立法機関、そして行政機関などの公的機関に対する標的型サイバー攻撃や、スマートフォンへのサイバー攻撃が頻繁に行われており、情報セキュリティに関する環境は「脅威そのものの深刻化」と「脅威を受ける対象分野の拡大」という事態に直面しています。以前弊社が開催したオンラインイベントTokyo Cyber Security Meet-up内でも、ゲストスピーカーとしてお招きしたスコット・ジャーコフ氏(CrowdstrikeのStrategic Threat Advisory Group APJ and EMEAにおけるディレクター)からも、脅威のインテリジェンスと「攻撃者」を知ることの重要性についてお話しいただきました。(ジャーコフ氏のお話の詳細はこちらからご覧いただけます)。
その一方、情報セキュリティを専門とする人材の不足が浮き彫りになっているのも事実であり、情報セキュリティを担う人材の育成を希望する企業も多くあります。とは言うものの、サイバーセキュリティ業界にはどのようなキャリアパスがあり得るのかということはあまり明らかになっていません。サイバーセキュリティ分野の知識や経験を得てもそれが将来どのように活用されるのか不透明であれば、この分野の仕事をしていく上でも不安であり、また新たにこの分野の仕事をしようと志のある人材を集めることは難しいでしょう。
弊社が先日公開した「セキュリティエンジニアとは。年収、将来性など転職時に知っておきたいこと」の記事では、社内システムのセキュリティ管理を専門とする職種の一つであるセキュリティエンジニアの仕事内容や将来性、転職する前に知っておくと役立つポイントを解説しました。今回はサイバーセキュリティ業界でテクニカルな部分を担う職種5つとその仕事内容、キャリア形成のために必要なスキルや知識、そしてサイバーセキュリティ業界内でのおすすめのキャリアの歩み方をご紹介します。
【サイバーセキュリティ業界の職種5つ】
① システム管理者
② サイバーフォレンジック・アナリスト
③ インシデント・レスポンダー
④ セキュリティエンジニア
⑤ ペネトレーション・テスター
サイバーセキュリティ業界のキャリア① システム管理者
システム管理者の業務内容
まずご紹介するシステム管理者は、厳密にはサイバーセキュリティの専門職ではありませんが、本格的なサイバーセキュリティ業界でのキャリア形成の足掛かりとなるステップと言えます。システム管理者はネットワークに関する基礎的な職種に分類され、サイバーセキュリティについての相当な知識が求められます。CerberSeekのWebサイト内で紹介されている「システム管理者の10つの行動規範」では、サイバーセキュリティがどうシステム管理者の業務に関与しているかが説明されています。
システム管理者のキャリア形成
システム管理者としてのキャリアをスタートさせたい場合、必須ではないものの、ネットワーク管理の学士号取得が推奨されています。また、著名な組織から発行されている様々な認定資格を取得することも一つの手です。その他、システム管理者に求められる能力としては、Linuxやネットワーク管理、主要なネットワーク機器の知識、そして技術サポートの知識が挙げられます。
システム管理者の経験を積んだ後サイバーセキュリティ業界でのキャリアを始めたい場合、システム管理はもちろん、ネットワーク・セキュリティ、情報セキュリティ、セキュリティ運用の知識やスキルを得ることが重要です。
サイバーセキュリティ業界のキャリア②サイバーフォレンジック・アナリスト
サイバーフォレンジック・アナリストの業務内容
サイバー空間における探偵としての役割を果たすサイバーフォレンジック・アナリストは、様々なセキュリティ・インシデントや情報漏えい、電子機器に保存されたデータの復元や失われたデータ再取得のためのシステム再構築などの業務を担当します。また、電子記録が訴訟に利用される場合、弁護士に意見を述べ、データの信ぴょう性を評価することで捜査当局の手助けをする場面もあります。
サイバーフォレンジック・アナリストのキャリア形成
サイバーフォレンジック・アナリストはサイバーセキュリティ業界の職種の中では初級レベルに分類されると言われていますが、サイバーセキュリティか情報科学の学士号が必須となり、企業からもそれなりの情報セキュリティ関連知識が求められます。その他、コンピューター・フォレンジックの習熟度(コンピューター・フォレンジック分野での修士号取得も推奨されています)、情報セキュリティの知識、そして家電製品やハードディスクを分析できる能力が必要です。
サイバーセキュリティ業界のキャリア③ インシデント・レスポンダー
インシデント・レスポンダーの業務内容
インシデント・レスポンダーは、主にインシデントやサイバー攻撃の調査・分析を担当します。これは受動的な対応のみにとどまらず、能動的にネットワークやシステムの侵入を監視すること、そして対応計画の立案とその為のセキュリティ監査なども含まれます。万が一サイバー攻撃が発生した場合には、その攻撃が起こった経緯を調査し、再発防止のための対策案を作成します。
インシデント・レスポンダーのキャリア形成
インシデント・レスポンダーとしてのキャリアを築きたいと思った場合、学位は必須ではないものの情報科学もしくはサイバーセキュリティの学位は取っておくことが勧められます。必須のスキルとしては、Linuxの知識、情報セキュリティ、情報システム、ネットワーク・セキュリティ、プロジェクトマネジメントなどが挙げられます。この職種もセキュリティ業界内では初級レベルと認識されていますが、学位や資格取得などを通じてサイバーセキュリティの広範囲の分野における知識が求められます。
サイバーセキュリティ業界のキャリア④ セキュリティエンジニア
セキュリティエンジニアの業務内容
「サイバー攻撃から情報システムを守る」や「ウイルス対策」など、皆様もセキュリティエンジニアの仕事と聞いて様々なイメージを抱くのではないでしょうか。ビジネス用語集でのセキュリティエンジニアの定義は、「情報セキュリティ考慮したネットワークの設計・運用・管理を扱う職業」とされています。セキュリティエンジニアの仕事は大きく分けて、
- サイバー攻撃に強いネットワークやサーバーなどの環境の設計と構築
- 日常の運用の中において、サイバー攻撃から情報システムを防御すること
- 万が一セキュリティ事故が起きた場合、適切かつ迅速な対応を行うこと
の3つに分類されます。また、さらに高レベルのセキュリティエンジニアになると、情報セキュリティポリシーの策定や、経営陣に対する企業のセキュリティ戦略の提案などに関わる場合もあります。
セキュリティエンジニアのキャリア形成
セキュリティエンジニアはサイバーセキュリティ業界の職種の中でも、最も高度と言えるポジションで、セキュリティエンジニアになるためには最低限サイバーセキュリティもしくは情報科学の学位取得が必要とされています。これに加え、脅威の検出から分析・保護に関する高い知識・スキルが求められます。記事の冒頭でもご紹介しましたように、先日公開した「セキュリティエンジニアとは。年収、将来性など転職時に知っておきたいこと」では仕事内容の詳細から平均給与、未経験からセキュリティエンジニアとしてのキャリアを築くためのステップを解説しましたので、宜しければご覧ください。
サイバーセキュリティ業界のキャリア⑤ ペネトレーション・テスター(ペンテスター)
ペネトレーション・テスター(ペンテスター)の業務内容
ペネトレーション・テスター(ペンテスター)とは、悪意のあるハッカーとは逆の存在です(企業の依頼に従って合法的に作業が行われます)。ペネトレーション・テスターの主な役割として、指定されたシステムにアクセスするための脆弱性を見つけだすことが挙げられ、企業が修正すべきシステムの弱点・維持すべき強みを特定します。その後、企業はこの調査結果をもとにサイバーセキュリティに対して具体的な対策を取ることが可能となります。
ペネトレーション・テスター(ペンテスター)のキャリア形成
ペネトレーション・テスターはセキュリティ業界では中級レベルに相当し、JavaやPythonなどの複数のプログラミング言語を使いこなす、情報セキュリティに精通したポジションです。おすすめの勉強法の一つとしては、市販の教材やコースを利用する以外にも、海外版の最新版の調査ツールのソースコードを読む、自分で簡易版調査ツールを作りながらペネトレーションテストのスキルを上げることがあります。原理をきちんと理解してから実施しなければ案件で障害を起こしてしまう可能性もあるので、攻撃コードの仕組みを理解することが必要です。
なお、バグバウンティとも呼ばれる脆弱性報奨金制度を副業として利用し、収入を増やすことも可能で、中にはバグバウンティをフルタイムの仕事として取り組む人もいます。以下の記事ではバグバウンティを副業として、もしくはフルタイムのお仕事としてお考えの方のためのヒントを、バグバウンティの専門家のお話も交えながらご紹介しています。
バグハンターとは?入門に役立つガイドと無料ツールをご紹介
サイバーセキュリティ分野でのキャリアならご相談ください
ご紹介したように、サイバーセキュリティ業界でのキャリアには多くの選択肢があります。しかし、この業界の良い点として全ての職種が何らかの形で相互に関連していることが挙げられ、意欲さえあればシステム管理者から始め、ご自身が最終的に目指している職種に就くまでサイバーセキュリティのキャリアを着実に歩んでいけると言えます。
弊社ではサイバーセキュリティ分野のポジションを数多くご紹介可能です。また、業界の展望や他業界との比較など、各種ご相談も随時受け付けております。サイバーセキュリティ領域のスペシャリストをお探しの方、また当領域でキャリアアップの機会をお探しの方は以下のフォームからお問い合わせください。
