第一章ではセキュリティエンジニアの仕事に関して大雑把に触れていきました。セキュリティエンジニアという仕事は多種多様かつ複合的なものであるこ とがなんとなくご理解いただけたかと思います。しかし、なんだか幅が広すぎてピンと来ない方も多いのではないかと思います。そこで、ここからもう少し具体 的な内容に入っていきましょう。

セキュリティエンジニアの仕事

ここではセキュリティエンジニアが関連する仕事としてどのようなフィールドがあるかをざっとあげてみたいと思います。例を挙げやすくするため に、今筆者が勤めているIIJテクノロジーのセキュリティ関連のサービスマップを引き合いに出して説明します。なお、マップの分類は一つの例であり、業界 で統一された基準等ではありませんのでその点はご留意ください。

さて、図の説明ですが、一番左端の縦一列はセキュリティエンジニアが接する企業部門を便宜的に４つに分類（IIJテクノロジーで独自に作成したものです）したものです。それ以外の部分に提供するサービス一覧を記載してあります。

「経営」は会社の意思決定を行う部門でわかりやすく言うと経営者つまり社長や、部長のことです。「企画」はサービス企画やシステム設計等の上 流工程作業を行う部門で、比較的初期の段階のシステムコンセプト作成や、概要設計を担うところ、「技術部門」はシステムの詳細設計や実装、または運用と いったテクニカルな作業を行う部門、「ユーザー」はシステムの利用者（一般社員等）を表しています。

それぞれの部門やユーザーに対してどのようなサービスを提供しているかが図の残りの部分です。例を一つあげると、図のまんなかのセキュリティ アセスメントサービスは脆弱性検査のサービスで主に技術部門向けということになります。サービス内容をカテゴライズすると、経営部門に必要なサービスはコ ンサルティング、企画部門はコンサルティングや設計業務支援、技術部門はシステム実装や検査、一般ユーザーには教育となります。文字だけだとわかりづらい ので、下記に簡単な表でまとめてみました。

もう少しイメージしやすいように仕事例ごとにどういった作業を行うかを挙げていきます。

ISMS取得支援コンサルティングというのは、お客様がISMSを取得するために計画を作ったり、資料を整えたり、ミーティングに参加し てアドバイスを行ったり、ドキュメントの作成を行ったりします。セキュリティアーキテクチャ設計支援というのは、安全を守るためにどのようなシステムにす るべきか、データの配置をどうする、認証をどういう方式にする、といった検討を行います。Firewall運用はFirewallの稼動状況を確認した り、セキュリティ問題が発生した場合の対応を行ったりするため、テクニカルな作業を伴います。セキュリティ検査は実際にシステムに侵入できるかどうかをテ ストしたりします。社内教育の講師は、セキュリティリテラシーを一般社員に教育し、そのための資料を作成したり、講義を行ったりします。

長々と説明しましたが、注目していただきたいのはセキュリティエンジニアと十把一絡げに言っても、これだけ幅広い仕事があるということな のです。全部の仕事をできる人などというのは稀で、普通はこれだけ業務に幅があれば得意な仕事と不得意な仕事、やりたい仕事、希望しない仕事が存在するで しょう。単純に「セキュリティエンジニア募集」というキーワードに乗っかって転職したが、実際に自分がやりたい仕事ではなかったということが無いように、 転職先でセキュリティに関するどのような業務があるのかを具体的に確認すること、これを忘れないようにしてください。

セキュリティエンジニアに必要な知識

上記のとおり、セキュリティエンジニアのフィールドは幅広く、それぞれに必要なスキルも異なってきます。次に、どのような知識が必要となるかについて説明していきたいと思いますので、下記を御覧ください。

※JNSAセキュリティセミナー(2005年) スキルマップ作成WGの資料より抜粋

これは、日本ネットワークセキュリティ協会（以下JNSAと表記）という団体の中の、スキルマップ作成ワーキンググループが作成した、 「セキュリティエンジニアに必要なスキル」の一覧です。どうですか？かなりたくさんの技術要素があることがおわかりいただけるかと思います。

これを見るだけでも、必要な知識が大変幅広いものであることがわかりますが、これからセキュリティ業界を目指される方はこれらをすべて網 羅的に学習している必要はありません。必要なところ、興味のあるところから入っていけばよいのではないでしょうか。第一章でも述べましたが、管理系の仕事 につきたいということであれば、情報セキュリティマネージメントの知識（代表的なものとしてはISMSやプライバシーマーク）や、法令・規格といったとこ ろを中心に学ぶほうが効率はよいと思われます。

技術系のほうはもう少し複雑です。製品開発、SIer、プログラマー、運用と役割によって必要な知識は異なってきます。製品開発を行う場 合は、その製品がサポートしているセキュリティの機能に関して知っていることが必要となってきます（あたりまえですが）し、プログラマーであればセキュア プログラミングの知識が必要となってくるでしょう。実際の業務に関連した知識は深く、それ以外の部分は少なくとも概要くらいは理解したいところです。

もう少しイメージしやすいように例をあげて説明しましょう。筆者の仕事の一つにセキュリティ診断（一般的にペネトレーションテストと呼ば れる）があります。不正アクセスを模倣して検査対象機器（サーバやクライアント）にアクセスし、セキュリティホールがあるかどうかを調べるのですが、当然 ながら不正アクセス手法の知識が必須です。それ自体はそれほど想像に難くないでしょう。しかし、それだけを知っているからといって検査業務ができるかとい うと実はそうではありません。

なぜなら、セキュリティ診断というのは単純に穴探しをするだけではなく、どのように実現可能な対策を行うべきかを提示する必要があるから です。当然ながら対策方法は様々です。サーバであれば、それぞれのOSに関しての仕組みや設定を理解していないといけませんし、ネットワーク機器であれば 仕組みやオペレーションも知っている必要があります。つまり、アプリケーションセキュリティやOSセキュリティといった技術領域にも明るい必要があるので す。

さらに突っ込んで、そもそもどうしてそういう欠陥が埋め込まれてしまうのかを考えると、それは無理な開発スケジュールや大幅なコスト圧縮 の影響かもしれませんし、担当者にまかせっきりでチェックする体制が無いからなのかもしれません。システム設計を行う時点でセキュリティのことなど考えて いなかった可能性もあります。こうなってくると、マネージメントの領域となってきます。

まとめると、セキュリティ診断をやる場合は不正アクセス手法の知識をしっかりと持っており、かつ、OSやアプリケーションといった周辺知識も 深く持っている、それ以外の部分についても少なくとも理解はしている、といったスキルセットが最低限必要ではないかと思います。言い方を変えると、得意な 分野が１つあり、広く知識を持っているようなＴ字型のスキルセットという感じでしょうか。

このように一つの業務を取って見ても様々な知識が必要となるのですが、こういったことは実際に現場を経験してみないとなかなかわからないこと が多いものです。実際、セキュリティ業界の第一線で働いている人の多くは、プログラミングやシステム構築、運用といったことを経験していることが多く、過 去の経験を大いに活かして活躍されています。最近は入社して以来セキュリティしかやっていないという方もおられるようですが、様々な業務やシステムを経験 することもセキュリティの知識に深みを持つという点においては大変有効だと思います。

なお、スキルマップの各項目に関して具体的な内容はここでは述べませんでしたが、JNSA監修の「情報セキュリティプロフェッショナル総合教科書」という本に詳細な中身が掲載されています。ご興味のある方はご一読されてはいかがでしょうか。

セキュリティエンジニアに必要なスキル

さて、ここで気になっている方もおられるかもしれませんが、本文で「スキル」と「知識」という言葉を混ぜて使っています。JNSAのスキル マップでは「スキル」として上記の内容が定義されていたため、「スキル」と書きましたが、本来の意味での必要なスキルはもっと幅が広いはずです。（個人的 には上記のスキルマップは「知識マップ」だと考えています）

筆者は面接官もやっているのですが、知識以外のスキルで筆者が重要だと感じるポイントは以下のようなものです。参考までに挙げておきます。

他にも色々とありますが、ビジネスマンとして必要な基本の能力は他の仕事と大きく変わりません。上記のようなスキルがあったほうが活躍の場は広がりますが、それほど難しく考える必要はありません。経験を積み重ねていくうちに身に付けていけばよいでしょう。

次回はセキュリティに関する仕事のできる企業と、セキュリティエンジニアのキャリアプランについてお話していこうと思います。