サイバー攻撃により情報漏えいが発生するリスクが年々高まっている中、企業の情報セキュリティが適切に実施・運用されているかを調査し、改善策を提案する「セキュリティコンサルタント」の需要が高まっています。IT技術だけでなく、法律やビジネスなどの幅広い分野における知識が求められる職種ですが、現状のニーズの多さとセキュリティ経験者が比較的少ないという点を踏まえ、未経験からの採用を行っている企業も多くあります。近年では、キャリアアップとしてセキュリティコンサルタントへの転職を目指すエンジニア職の方も多く見られます。
今回はセキュリティコンサルタントの具体的な仕事内容や必要な資格、そして将来性や2022年における採用動向について解説していきます。
サイバーセキュリティ業界において現在注目すべきトレンド、またこれらの問題をどのように対処していくべきかについては、こちらの記事で詳しく解説しています。
記事を読むセキュリティコンサルタントとは?
セキュリティコンサルタントとは、顧客のIT環境と情報セキュリティに関する課題を把握し、それを踏まえてセキュリティレベルの向上と維持のための施策を提案、支援する職種のことを指します。ここからはセキュリティコンサルタントの仕事内容について、より詳しく解説していきます。
セキュリティコンサルタントの仕事内容① 戦略立案
まず、顧客のセキュリティ体制を整理・分析し課題の抽出した後、現在目指すべきセキュリティ体制とそのために必要となる戦略を立案します。情報セキュリティ業界はトレンドの変化が激しいため、ビジネスの方向性に従い理想のセキュリティ体制を仮定し、そこから逆算して中長期的な戦略を立案します。この過程では情報セキュリティの知識だけでなく、顧客のビジネスや業務プロセスに対する理解、そしてそれぞれの企業にあった戦略を一から組み立て提案する能力が求められるため、一定以上の経験を積んだミドル~シニアレベルのセキュリティコンサルタントが担当することが多いでしょう。
セキュリティコンサルタントの仕事内容② マネジメント支援
クライアントが求めるセキュリティレベルを維持・管理するためにサポートを行います。具体的には、セキュリティポリシー策定支援、ISMS認証取得支援、そして研修や教育を通しクライアントのセキュリティ管理を支援することなどが含まれます。情報管理や保護に関する仕組みを作り、社内の監視体制を整えることで、クライアントの組織的なセキュリティ強化を手助けします。
セキュリティコンサルタントの仕事内容③ 実行支援
セキュリティコンサルタントは戦略を立てて体制を整えるだけではなく、具体的なルールや手法を定めてセキュリティシステムを運用し、日々最適化するための支援も行います。これらの業務にも携わるため、多くの場合セキュリティコンサルタントには技術的な知識が求められます。具体的には以下の支援・運用業務を行います。
- セキュリティアーキテクチャ策定 ― 顧客が求めるセキュリティレベルを維持するため、ヒアリングを重ね、設計方針や設計思想、フレームワークを定義します。
- 既存システム・アプリケーションのリスク評価、セキュリティ対策の立案 ― サイバー攻撃の手法と既存のシステムやアプリケーションを照らし合わせ、どの攻撃やインシデントに対しどの程度のリスクが見込まれるか評価します。「脆弱性診断」の実施もこれに含まれます。
- セキュリティ対策の立案・実装・運用支援 ― リスク評価を踏まえ、リスク削減のためのセキュリティ対策を立案し、実装や運用をサポートします。(セキュリティ対策ツールの活用や、セキュアコーディングの実装、アクセス制限の整理など)。
セキュリティコンサルタントに役立つ資格
セキュリティコンサルタントに転職するためには、基本的には資格は必要ありません。ただし、IT関連や情報セキュリティ関連だけでなくビジネスや法律に関わる幅広い知識が必須であり、取得することで就職や転職を有利に進める資格もあります。ご自身のキャリアアップや、顧客に安心感を与え仕事をスムーズに進めていくためにも、以下の資格を取得することをおすすめします。
情報システムのリスクコントロールを評価し、組織の情報システムの適切な活用を促進、そしてITガバナンス向上とコンプライアンス確保を行う人材に向けた資格です。企業や組織における情報セキュリティのリスクコントロールが、リスクマネジメントに基づいて適切に行われているかどうかを監査するプロセスなどに関する知識が求められます。
セキュリティコンサルタントが担うリスク評価やセキュリティ監査などの業務では特に役に立つと見られ、資格自体の合格率が約15%で難易度も高いことから取得することで能力・知識の証明にもなります。
情報システム監査およびコントロールの専門家資格としては最も長い歴史を持ち、かつ最も国際的に普及している資格です。国家資格ではありませんが、特に欧米の企業社会では広く認知されており、取得することで情報システムの監査および、セキュリティ・コントロールに関する高度な知識、技能と経験を有するプロフェッショナルとして評価されます。
金融・保険・会計の知識を持つ人材であれば比較的取得しやすいと言えます。また、監査スキルを磨きたいエンジニア出身者にもおすすめの資格です。
情報セキュリティ教育を支援する米国の団体「 」が主催しています。Security Essentials、セキュリティ監査、侵入検知、インシデント・ハンドリングから、ファイアウォール、フォレンジック、Windows OSやUnix/Linux OSまで、入門レベルから高度な専門性を要求される分野までカバーしている、世界的に見ても非常に難易度の高い試験と言われています。
経営戦略に基づきIT戦略を策定し、ITを高度に活用した改革、高度化戦略、最適化などを提供する人材をターゲットとした資格です。IPAが主催する資格の中でも最高難易度に位置する資格ですが、取得することでセキュリティ対策を含めたIT戦略立案の能力や知識の証明となることは間違いありません。
セキュリティコンサルタントの年収
セキュリティコンサルタントは他のIT系の仕事と比べても高収入が期待できる職種と言われています。30歳前後で年収1000万円になるケースも珍しくなく、同じセキュリティ関連の業務に従事するセキュリティエンジニアと比べても、給与水準が高くなる傾向にあります。
近年は独立開業を選択するセキュリティコンサルタントも急増していますが、このように独立開業して活躍した場合、さらに収入がアップすることも期待できます。セキュリティ関連の人材はこれからますます必要とされていことは間違いなく、この分野における一定の知識と経験を得た方は、次のステップとして独立開業を考えてみても良いかもしれません。
未経験からセキュリティコンサルタントになるためには?
未経験からセキュリティコンサルタントに転職するためには、いくつかの方法があります。一般的な方法としては、セキュリティエンジニアに就職・転職して実務経験を積んだ後、セキュリティコンサルタントにキャリアアップするといったものが挙げられます。セキュリティエンジニアとして運用・設計に関わることでセキュリティコンサルタントに必要なスキルや知識を身につけることができ、セキュリティコンサルタントへの転職もスムーズとなるでしょう。
その他にも、SE、社内SEや情報システム部門でのエンジニア職、インフラエンジニアからの転職も大いに見込めます。SEや社内SEはクライアントもしくは自社内での経営戦略を理解した上でITシステム運用の方向性を決める点においてセキュリティコンサルタントとの親和性もあり、ビジネスの知識やプレゼンテーション能力を上手く生かすことで転職も可能となるでしょう。インフラエンジニアはセキュリティ対策に関する知識やスキルを身につけられるため、設計や要件定義などの上流工程の経験を積み、コンサルティングスキルを身につけることでセキュリティコンサルタントへのキャリアチェンジが期待できます。
セキュリティコンサルタントの将来性
「【2022年のおすすめ】転職するならこの業界と職種」の記事でもご紹介したように、現在の人材業界動向として、業界問わず社内の情報セキュリティシステム担当者への需要の高まりが予想されています。セキュリティコンサルタントにおいても例外ではなく、AIやツールの技術が発展してもなお、個々の企業の事情を分析して情報セキュリティにおけるベストな対策を提案・実行できるのは人であり、今後もますます多くの企業からの需要が高まっていくものと見られています。
セキュリティコンサルタント ― まとめ
今回の記事では、セキュリティコンサルタントへの転職を検討している方に向けて、セキュリティコンサルタントの仕事内容や年収事情、必要なスキルなどを解説しました。近年ニーズが高まるセキュリティコンサルタントに転職しキャリアアップ・年収アップを目指すには、転職エージェントの活用が最もオススメです。Computer Futuresでは、ご要望に合わせて転職先のご紹介やキャリアパスについてのアドバイスなど、皆様の転職活動のサポートをいたします。サイバーセキュリティ業界全般における採用動向について詳しく聞きたいという方も、以下のフォームよりお気軽にお問い合わせくださいませ。
