「絶対になくならない仕事」と聞いて、皆さんは何を思い浮かべますか?
実は、IT界隈で「最も無くなりづらい」と言われている仕事が「セキュリティ」の分野です。なぜ無くなりづらいかと言うと、新しいシステム、サービスの数だけ、それを守る、管理する仕事があるからです。
特に、新しいサービスが出て間もない時には「システムの不具合」というのは必ずと言っていいほど発生します。他人のスマホから写真が撮られた事件や、LINEが乗っ取られる事件も、それほど昔の話ではありません。
「新しいものの追求」と「セキュリティ対策」はイタチごっこのように終わることがありません。セキュリティ対策がいらなくなる時は、世の中から悪い人がいなくなる時でしょう。
もしあなたが単純に「1つのスキルで一生食っていきたい」という理由だけでエンジニアを目指すなら、セキュリティエンジニアになることをお勧めします。なぜなら、セキュリティに関する知識、経験は、どの分野の会社でも求められる人材であり、人材が不足しているからです。
セキュリティエンジニアとして3社で2年間業務を行った実体験をもとに、セキュリティエンジニアの仕事内容について触れていきます。これからセキュリティエンジニアを目指そうか迷っている人の判断材料になれればと思います。
今日はセキュリティエンジニアについて解説していくで。
うわぁ、俺っちには無縁の分野だ。
中二がなにをゆーてんねん。
まだまだ可能性無限大やろ。
いやー、だってセキュリティでしょ。
むちゃくちゃ知識豊富な人が、ミスなく仕事をするっていうイメージです。
うーん、半分正解で、半分不正解やな。
確かに、ミスはあっちゃいけない分野やけど、だからこそ作業は属人化していない場合が多いねん。
ゾクジンカ?
植物の種類ですか?
ちゃうちゃう、属人化っていうのは「その人しかできない」みたいな状態を指すねん。けっこう専門チックな仕事とかやと、「あの人しか分からない」みたいなことが、会社ではけっこうあるねんな。
あー、なるほど。
依存ですね。
まあ、そんな感じや。
で、セキュリティの分野っていうのは、属人化されていない場合が多いねん。別の言い方をすると、マニュアル化されていることが多いってことやな。
ふーん、なんでですか?
それはな、セキュリティの分野が属人化されていると、むちゃくちゃ危険やからや。もはやAIに任せた方が安心な分野でもあるな。
え、じゃあセキュリティエンジニアっていらないんじゃないですか?
いやー、でもどこまでいっても最終的には「そのAIが正しく動いているか」を見なきゃいけんからな。結局必要やねん、セキュリティエンジニアは。
監視するAIを監視する人、ってことか。
ややこしいなあ。
Contents
セキュリティエンジニアとは
セキュリティエンジニアとは、システム障害、ハッカー対策などに特化したエンジニアです。
「ハッカー対策」と聞くと、高度な知識、スキルを求められると思われがちですが、そんなことはありません。新卒1年目でセキュリティエンジニアとして働く人も多くいます。
なぜ1年目からでも仕事ができるかというと、セキュリティの仕事というのは「ミスが許されない仕事」であるため、マニュアルがしっかりとしている場合が多いからです。
「誰がやっても同じ結果になる」ように、詳細なマニュアルが用意されているのです。そのため、セキュリティの知識がなかったとしても、マニュアル通りにやればルーティーン作業はできてしまいます。
「最新のハッキング技術」などではない限り、対策はマニュアル化されていること。
それこそ、1年目からでも仕事ができる理由です。
「診断」か「解析」か
セキュリティの仕事は、大きく分けて「診断」と「解析」に分かれます。
診断は「ちゃんとセキュリティ対策がなっているか検査をする」仕事であるのに対し、
解析は「起きてしまったセキュリティ事故の発生源を調べる」という仕事です。
医療分野で例えると、「健康診断」か「重体患者の診察」かの違いでしょうか。
どちらの方が緊急かつ重要かは、一目瞭然かと思います。
後者は「セキュリティアナリスト」と呼ばれ、高度な知識とスキル、経験値を必要とされます。そのため、「セキュリティエンジニア」として初心者エンジニアが携わる業務はそちらではなく「診断業務」という認識でズレはないかと思います。セキュリティエンジニアは、殆どの場合「診断業務」から経験を積んでいきます。
セキュリティ診断とはどんな仕事か?
先ほど言ったように、診断は「ちゃんとセキュリティ対策がなっているか検査をする」仕事です。硬くいうと「脆弱性を調べる」のがセキュリティ診断業務です。
では、脆弱性を調べるにはどうすれば良いでしょうか?
答えは、攻撃をすることです。
サイバー攻撃を仕掛け、セキュリティホールがないかどうか調べる。セキュリティホールが見つかった場合、どんな攻撃によって、どんな脆弱性があったのか。
それを報告することがセキュリティエンジニアの仕事です。
誤解されやすいのが、セキュリティを守るのが仕事ではないということです。
例えるなら「SPとして大統領を守る」のが仕事なのではなく「SPがちゃんと仕事をしているか、大統領の安全が24時間確保されているのかを調べる」のが仕事です。
セキュリティを守るのは、大抵の場合システムがやってくれます。そのシステムを構築するのはシステムエンジニアの仕事、導入するのはネットワークエンジニアの仕事と、各エンジニアで仕事内容は区分けされています。その仕事は何エンジニアの仕事なのか、ざっくりでも区分けできるようにしておきましょう。
セキュリティエンジニアに「向いている人」「向いていない人」
では、セキュリティエンジニアの仕事を踏まえた上で、どんな人が仕事に向いているのか。
以下にまとめます。
・仕事が丁寧な人
・単純作業が苦にならない人
・基本に忠実に仕事ができる人
・粗探しをするのが得意な人
まず、セキュリティエンジニアの日々の業務は、非常に地味です。ベルトコンベアーに流れてくる商品から欠陥品を探すように、単調な仕事であるという認識を持っておいてください。
それでもしっかりと意欲的に取り組めば、新しい知識は身につきますし、貴重な人材として重宝される仕事です。
「マニュアルに沿って、抜け漏れなく仕事を遂行する」ことを前提として、「なぜこのような脆弱性が発生したのか?」を、理論的な根拠をもとに自分なりに仮説を立て、報告できる人。
そんな人材が、セキュリティエンジニアとして成功できるのではないかと思います。
私たちは、セキュリティエンジニアの丁寧な仕事の積み重ねによって、たくさんのサービスを安心して利用できています。自分の性格、クセを把握した上で、セキュリティエンジニアに興味をもった人は、ぜひチャレンジしてみてください。
