セキュリティエンジニアとは？仕事内容はきつかったりつらいのか？

今回は、そのような疑問にお答えいたします。

本記事の内容

本記事の執筆者

私は大手企業で新人賞を取り、数年後には別企業に転職し、半年でチームのサブリーダーを任されてます。

そんな私から先に結論を述べておくと、

各フェーズごとに仕事内容は異なり、難易度は高いが、思っているよりきついという感じではないです。

以前このような記事を執筆しています。

セキュリティエンジニアとは

セキュリティエンジニアとは、ネットワークや社内で導入したシステムを外部のサイバー攻撃から守るエンジニア

エンジニアと一緒くたに言う人はいますが、その中でもセキュリティエンジニアは「情報セキュリティに特化した」エンジニアと言うことができますね。

「セキュリティに特化した」とは言っても、結局システムはすべてつながっているので、ネットワークやハードウェア、認証基盤、DB、アプリケーションと様々な分野の基礎知識は必要です。

なので、難易度は比較的高めとは言われてるみたいです。

セキュリティエンジニアの仕事内容

既存で導入しているネットワークや社内システムの脆弱性を見つけ、それを補うためのセキュリティシステムを提案・設計・構築・テスト・運用と対応していきます。

「企画・提案」、「設計」、「実装」、「テスト」、「運用・保守」といったフェーズに分かれている部分は他のエンジニア職と同じですが、セキュリティに特化したシステムを考え、対応する部分がセキュリティエンジニアの役割です。

各フェーズごとに担当者がいるというのも、他のエンジニア職と似ている部分でしょうね。

※もちろん全フェーズを担当する会社もあれば、複数フェーズを担当する会社もあります

企画・提案

既存で導入しているネットワークや社内システムの脆弱性を見つけ、自分から企画提案をしたり、ユーザーからもらった要件をもとに、その企業に必要なセキュリティシステムの提案や企画を行います。

企画・提案を行うセキュリティエンジニアは、セキュリティコンサルタントと呼ばれることもあります。

企画・提案時には、各部門の組織体系や技術面におけるセキュリティ弱点を把握するために、現場メンバーと連携する必要があります。

設計

セキュリティに配慮したシステムの設計を行います。

ネットワークや導入する機器、どんな運用をしているかといった点を考慮した上で、セキュリティもどうしようかと考える必要があり、広く浅くも様々な分野の知識が求められます。

導入するとなった時に、どういう設定値にするかといった部分も設計に含まれます。

構築・実装

設計したシステムの構築・実装を行うフェーズです。

導入する機器の設定やプログラミングなどを主に行っていきます。

設定が間違っていたら大問題ですし、プログラミング知識や導入する製品に関する知識を有している人が、重宝されているかなと思います。

テスト

システムの脆弱性を発見するための診断や、結果として見つかった脆弱性の対策等が含まれます。

こういった診断のことを、脆弱性診断と呼ばれたりするのですが、潜在的な脆弱性を発見するために、擬似攻撃を行ったり、ソースコードのチェックをしたりします。

診断結果は危険度が「High」、「Middle」、「Low」と出てきますので、大体はmiddle以上の脆弱性を直してからリリースするかどうかを決めていきます。

あまり危険度が高くないのに、脆弱性を直すために高コストを要するということになればあまり意味ないですし、費用対効果との相談って感じですね。

運用・保守

システムを導入した後の運用・保守を行います。

障害やサイバー攻撃からシステムを守り、安全に運用することが目的となります。

運用に関しては、設計のフェーズ担当者が

とある程度やるべきことを決めていたりするケースが多いと思います。

また、ネットやMSの公式サイトから発信される情報を常に収集し、アップデートすることや、実際にサイバー攻撃があった時に対応する必要もあるので、障害対応力や情報収集力と必要かなと思います。

また、不正侵入調査を行うこともあります。

フェーズ別で考えない具体的なセキュリティエンジニアの仕事内容

各フェーズごとにこんな感じで仕事しまーすということで、他のエンジニア職と同じような説明をしていきました。

ここからは、セキュリティエンジニアならではの仕事内容について解説していきます！

ガバナンス系

会社全体の情報セキュリティ統制を実現するようなイメージです

年間・中長期計画を策定したり、ポリシーやルール、ガイドラインを整備したりします。

あとは、以下のような仕事が含まれるかなと思います。

事業内容のセキュリティ保護

もし自社開発のコンテンツなどがある場合には、そのコンテンツを支えるインフラやそれを運営するという部分を脅威からセキュリティの観点で保護します！

ここでいう脅威というのは、可用性、機密性、整合性を脅かすものを指します。

具体的にやることは基本的には以下の感じでしょうね

社内システムのセキュリティ

全社員が使うようなシステムやバックオフィスの方が扱っているデータや事業のデータ、会社運営を脅威から保護する仕組みを考えたり構築したりします。

内容的にはこのような感じになるかなと思います。

情報収集

セキュリティの世界はすぐに情報のアップデートがあったり、新技術がリリースされたりととにかくスピード感があります。

ということで、常に市場から情報を収集するというのも仕事の一つとしてあります。

セミナーに参加したり、外部との技術情報交換だったりをしますね。

あと、ガバナンス系だと法規制やガイドライン、認証制度の動向なども追っていないといけないです。

パッと思いついたものは記載してみましたが、このほかにも多く業務はあり、ほんとに多岐にわたるということがわかると思います。

セキュリティエンジニアはきついのか

これは人による感じ方、企業、周囲の人間関係、負荷状況でいくらでも変わってくるので一概にきついとかきつくないとは言い切れません。

が、あくまで私の話をすると、きつくはないです。

というのも、私は月に5時間も残業すれば多い方で、

と普段から豪語しているだけあって、定時から5分も経過すればチームメンバーの大半はいません。

月一で面談をして、負荷状況が高そうな人には極力新しい仕事は与えず、別の方にお願いするといったこともしています。

というような感じで、上司ないしメンバー全員が互いに役割を理解して、タスクを共有し、マネジメントすれば、特定の人がきついみたいな状況にはならないと思います。

人が足りなくて物量的にどうしようもないのであれば、新しく人を雇うとか、業務委託してしまうとかを言えば、今いる会社では対応してくれます。

ということで、

きつくはないですが、勤務時間ずっと集中して取り組まないといけないくらいには仕事はコンスタントにあり、充実しているなと思います！

まとめ：セキュリティエンジニアは思っているよりきつくない世の中

今回は、セキュリティエンジニアって何かと、仕事内容がきついのかについて解説してきました。

本記事の要約

エンジニアはきついと言われることが多いですが、少しでもセキュリティエンジニアに対する見方が変わったという方がいらっしゃるとうれしいです！