ここのところ、「情報セキュリティ」という言葉を耳にすることが多くなりました。インターネット上はもとより、テレビのニュースや新聞でも取り上げ
られ、セキュリティという言葉を見ない日は無いほどに増えています。今までは裏方として扱われることが多かった情報セキュリティが社会から注目を浴びてお
り、セキュリティ業界への転職を希望される人も多くなっています。
そこで今回、リーベル様のご厚意により情報セキュリティ(以下セキュリティと記述)業界へ転職を考えられている方々のために本稿を書かせてい
ただくことになりました。実のところ、文章をかくのはあまり得意ではありませんので、多少読みづらいところもあるかもしれませんが何卒ご容赦いただけます
と幸いです。
まず本稿の全体の構成についてご説明します。本稿は3つに分かれていて、第一章ではそもそもセキュリティエンジニアとは何か、なぜ急にニーズ
が増えているのか、セキュリティエンジニアとはどういう職種なのかを説明していこうと思っています。第二章ではセキュリティエンジニアの仕事がどういった
ものか、備えるべきスキルはどういったものかを、最後の第三章ではセキュリティ関連の仕事が出来る会社の紹介と、キャリアパスについて、それぞれ触れてい
こうと思います。
筆者もセキュリティ業界に身を置いて何年かたちますが、比較的新しい職種ですので具体的な仕事やキャリアプランなど、まだまだはっきりしない
ところもあります。出来る限り現在の状況をお伝えしたいので、筆者の思い込みも含めて、感じることをありのまま書きました。人によって意見の分かれるとこ
ろも色々あるとは思いますが、一つの考えとして読んでいただきたいと思います。
なお、本稿で想定している読み手としては、IT業界、または情報システム部門で2~3年の経験が有り、セキュリティエンジニアやセキュリティ
コンサルタントに興味を持っているエンジニアの方を対象とさせていただいております。できるだけ、平易な表現するように心がけていきますが、若干専門用語
を使用させていただくこともありますので、その旨ご承知おきください。
情報セキュリティの必要性
さて、この文書を読んでおられる方でインターネットが今ほど利用されていなかった時期(学術機関中心のネットワークだったころ)をご存知の方はどのくらいおられるのでしょうか?
いきなり古い話で申し訳ありませんが、当時のインターネットは性善説に基づいて運用されていました。今では考えられないことですが、ファイア
ウォールもなく、メールはいつ届くかわからない、通信なんて切れて当たり前、といったのんびりとした牧歌的なネットワークだったというのが私の印象です。
そのころ私は学生だったのですが、企業のサーバに対してインターネット越しにログインしている人を確認して、居たらチャットする(当時はtalkとかでしたが)、などということを何の疑問も持たずにやっていました。
ネットを使っている人は限られていましたし、セキュリティなんて考える必要もこれといって無かったのです。しかし、まったく問題がないか
というとそうでもなく、利用者が拡大するにつれてちょっとしたセキュリティ問題が発生することもありました。とは言ってもそんなにおおげさなものではな
く、「サーバが1日くらい止まった」とか(それほど文句も出なかった)、「ちょっと困った」とか「管理がいいかげんではずかしい」くらいで済むものが大半
でした。当時インターネット自体も発展途上でしたし、自由な通信ができることがメリットでしたので、セキュリティのために通信を制限するということは今日
ほどプライオリティが高くなかったのではないかと想像しています。
しかし、そんなインターネットも利用者が増えてくるにしたがってだんだんと変化を遂げました。インターネットの普及速度はテレビやラジオ
の普及速度よりもはるかに早いといわれています。企業がIT技術を積極的に採用し、また、一般の利用者が急速に増加したことで、インターネットは一気に普
及期に入ったのです。情報の入手は昔と比べられないほど簡単になり、ショッピングやバンキングといったこともネット上でできるようになりました。今となっ
てはインターネットのない社会を想像することも難しく感じられるほどです。
そうして実社会との距離がぐんと縮まった結果、今日のインターネットは現実社会の影の部分をはっきりと写し出すようになりました。ネット
上でのセキュリティ被害がビジネスの継続性に影響し、実際の経済的な損失に及ぶようになったのです。しかも、その影響度は昔とは比べ物にならないほどはる
かに大規模で深刻化しています。ネット利用の急激な増加に伴うセキュリティ問題の急激な増加、このような背景を元に、セキュリティの必要性、重要性という
ことが声高に叫ばれるようになったため、急速に「セキュリティのわかるエンジニア」という人材に対するニーズが増えているというのが現状です。
セキュリティエンジニアとセキュリティコンサルタント
上記のとおり、セキュリティエンジニアという職種は比較的新しい職種のため、具体的にこれをやっていればセキュリティエンジニアであるとい
う、はっきりとした定義があるわけではありません。CISSPやGIACといったような資格もできていますが、かといって、この資格を持っている人が必ず
セキュリティエンジニアであるというわけでもありません。ただ、大雑把に言って「情報セキュリティに関する仕事を専業としている人」、といえばそれほど間
違いは無いかと思います。
また、一般的に情報セキュリティというと、管理面と技術面に大きく分かれますが、エンジニアといった場合には技術面にフォーカスする場合が多
く、コンサルタントといった場合にはセキュリティポリシーや認証取得といった管理面にフォーカスされることが多いように思われます。しかし、肩書きはセ
キュリティコンサルタントとなっていても技術的に長けた人も多く、実際の境界線はあいまいであることが多いため、本稿では両方まとめて、「セキュリティエ
ンジニア」と表記させていただくこととします。
さて、では、セキュリティエンジニアはどのような仕事を行っていて、どういったフィールドで活躍できるのでしょうか?
セキュリティを守るということ、つまり、安全を維持するという行為はどのような仕事にも存在するため、実際にこの質問に正しく答えることは大
変難しいと思います。しかしただ単に「難しいですね」では答えにならないので、システムのライフサイクルをベースに筆者の私見を交えつつ列挙していこうと
思います。
- 企画
セキュリティ系のコンサルティングも色々ありますが、個人情報保護法等の施行により、現在は
ISMS取得やプライバシーマーク取得といった認証取得系のコンサルティングが流行しています。主に管理方面でのコンサルティングとなるため、機械を触る
ことはそれほどなく、お客様も経営者や管理者を対象とすることが多くなります。セキュリティの観点から管理や意思決定の支援を行う業務と考えればよいで
しょう。
- 設計
実際のところ、セキュリティ「だけ」のシステム設計ということはありません(セキュリティシステムの設計はあります)。ネット
ワークやサーバ機器、アプリケーションや運用設計まで、システムのライフサイクルすべてにセキュリティ要件は存在します。安全を守るために、セキュリティ
を考慮したシステム設計を行わなければなりません。つまり、セキュリティエンジニアが行うシステム設計とは、要件を元にネットワークやアプリケーション、
ひいては運用までを理解した上でさらにセキュリティを考慮した設計を行うことです。よって大変幅広い知識が要求されます。セキュリティに関する機能要件を
まとめたり、その要件をシステムに反映したりと、様々なシチュエーションで活躍できます。
- 実装
これも設計と似た部分があって、セキュリティ「だけ」を考えて実装するということはありません。ネットワーク機器の設定、各種
OSの設定、アプリケーションプログラミングと、システムが安全に動くため、やるべきこと全てにセキュリティの要素が混入します。よってこちらも相当な知
識が要求されます。セキュアプログラミングとか、セキュリティアーキテクチャの知識や能力、インプリメンテーションにおける技術が生かせるでしょう。
- テスト
このフェーズは比較的セキュリティに特化しやすいところかもしれません。いわゆるセキュリティ検査などがこれにあたります。脆弱性情報の収集や脆弱性の再現テスト、脆弱性対策などを行います。
- 運用
実は一番セキュリティエンジニアを必要としているフィールドかもしれません。システムを安全に運用していくということが今の状
況では必須だからです。事故対応(インシデントレスポンス)や不正侵入の調査(フォレンジック)といったものを行ったり、ネットからの攻撃にいち早く対応
したりする必要があります。
以上のように、現時点ではセキュリティ「だけ」がわかっていればいい仕事というものは比較的少数で、実際には「セキュリティがわかるxx」と
いった位置付けになることが多いようです。一言でセキュリティエンジニアといっても、その中身は様々であることがなんとなくおわかりいただけたでしょう
か。
では、次回はセキュリティエンジニアに必要なスキルについてお話していこうと思います。