セキュリティエンジニアを目指す未経験者が、まず取るべき資格とは?
「セキュリティエンジニア募集」「君もセキュリティエンジニアになろう」という甘い囁きを、求人サイトやネット記事で目にすることが多々あると思います。
「セキュリティエンジニアってシステムエンジニアより、ちょっと特別っぽい響きがする」と、カッコ良いイメージを持たれる方も、中にはいるかもしれません。しかし、実のところ、IT業界において「セキュリティエンジニア」という明確な定義の職種は存在しません。
「セキュリティエンジニア」とは、主にセキュリティ分野が得意なシステムエンジニアを便宜的に分類した総称に過ぎず、資格試験に合格したら即なれるという職業ではないのです。
とは言え、「セキュリティエンジニア」と呼んでも差し支えないレベルのシステムエンジニアが、IT業界にたくさん存在することも事実ですし、そうなるためには、セキュリティのみならずインフラやネットワーク関連の知見も豊富に持っている必要があります。そして、資格とは「なるため」の条件ではなく、そんな豊富な知見を証明するためのものなのです。
本記事では、未経験でIT業界を目指したい人に向けて、「セキュリティエンジニア」とはどういう仕事ができる人を指すのか、「セキュリティエンジニア」と周囲から認めてもらうために必要な資格とは何か、そして、そもそも未経験でIT業界を目指すために、最低限持っていて欲しい資格について、わかりやすく解説していきます。
目次
1.「セキュリティエンジニア」という職種は存在しません
セキュリティエンジニアのニーズは増えていますが、実際には全く足りていないのが現状です。理由としては、資格を取ったからといってすぐにセキュリティエンジニアになるのは難しいですし、そもそもセキュリティエンジニアという職種自体が存在しないからです。
みなさんがセキュリティエンジニアと思っている人たちのほとんどは、「セキュリティスキルが高いシステムエンジニア」もしくは「セキュリティ提案が得意なシステムエンジニア」のどちらかです。
本章では、「セキュリティスキルが高いシステムエンジニア」と「セキュリティ提案が得意なシステムエンジニア」に分けて、その仕事の内容についてご説明します。
関連記事
1-1.セキュリティスキルが高いシステムエンジニア
システムエンジニアの作業範囲は、実に多岐に渡ります。
その多岐に渡る作業範囲の中でも、主にインフラ寄り、システムを動かすためのサーバやネットワークや、その他周辺機器についての設計、構築、運用保守作業を行う人たちを「インフラエンジニア」や「ネットワークエンジニア」と呼んで分類します。
そして、「セキュリティエンジニア」とは、「インフラエンジニア」や「ネットワークエンジニア」の中でも、特に、コンピュータウィルスの感染や不正アクセス、機密情報の漏洩や悪用等、種々様々なサイバー攻撃を未然に防ぐための知見と技術的なスキルに優れた人たちを指します。
図で簡単に表すと、「図 1-1.セキュリティエンジニアの位置関係」のような構成です。
言ってみれば、「セキュリティエンジニア」とは、「インフラエンジニア」や「ネットワークエンジニア」の中の、更にセキュリティ分野に対して優れたスキルを持つエンジニアのことなのです。
そして、図の構成からもわかるように、「セキュリティエンジニア」はセキュリティ分野のスキルだけ優れていればなれるのかというと、決してそうではありません。サーバを始めとするインフラ機器や、ネットワークについての知見やスキルも十分の持っている必要があります。
図 1-1.セキュリティエンジニアの位置関係
関連記事 関連記事 関連記事
1-2.セキュリティ提案が得意なシステムエンジニア
一方で、自社内やユーザ企業におけるシステムの脆弱性を調査し、セキュリティ対策の提案を行うシステムエンジニアもいます。
そのような仕事をする人たちもまた情報セキュリティへの知見が高いことから、「セキュリティエンジニア」と分類して呼ばれます。ここでも、セキュリティの知見のみならず、インフラ機器やネットワークへの豊富な知見を必要とします。
その理由は簡単で、情報セキュリティを強化する対象がインフラ機器であり、その周辺機器であり、ネットワークだからです。ユーザ企業にセキュリティ対策を提案するのに、現行の構成機器や今後提案する機器やネットワークについての知識もないのでは、まるで説得力がありませんからね。
また、提案業務という性格上、円滑な提案を進めるためのコミュニケーションスキルも高く求めらます。「ITエンジニアはPCに向かって仕事をすることが多いから、コミュニケーションスキル低めでもやっていけるはず」と思うのは、大きな勘違いです。
特に提案業務を行うシステムエンジニアは、ユーザ企業のシステムの現状と問題点を理解し、システムの脆弱性や懸念事項に対する改善案をまとめあげ、顧客に何故この改善案を提案するのかを説明し、納得してもらわねばなりません。
コミュニケーションスキルが低い人には、とても勤まる仕事ではないのです。
2.「セキュリティエンジニア」と人から呼ばれるために必要な資格とは?
「セキュリティエンジニア」と分類される人たちが、情報セキュリティに対する高い知見やスキルを持っていることは、前章でもお話しした通りですが、その高みに登ったかどうかを周囲に証明するために有効な資格について、本章ではご説明します。
2-1. オススメ資格3選
セキュリティ系資格としてのオススメは、大きく分けて以下の3つです。
- CISCO技術者認定
- CompTIA認定資格
- 情報処理技術者試験
それでは、それぞれの資格の概要について、順番にご説明していきましょう。
① CISCO技術者認定(https://www.cisco.com/c/ja_jp/training-events/training-certifications/certifications.html#~stickynav=3)
テクニカル系なセキュリティ資格としてまず外せないのは、やはりCISCOの認定資格です。インフラエンジニアやネットワークエンジニアの中で「CISCO」の名を知らない人はモグリだと言っても過言ではありません。CISCO技術者認定とは、世界的にも有名なNW機器メーカーによる国際資格のひとつで、その信頼度は絶大です。
そのCISCO技術者認定ですが、2020年2月24日から大幅改訂が予定されています。
エントリーレベルの資格であるCCENTがなくなったり、認定分野の統合により試験範囲が広くなったりしますので、エントリーレベルの資格を考えている人は、早めの対応が必要です。
CISCOの新技術者認定についての詳細は、以下のURLをご参照ください。
【CISCO新技術者認定】
https://www.cisco.com/c/ja_jp/training-events/training-certifications/next-level-certifications.html
ここでは、CISCO技術者認定の中でも、特にセキュリティに関する資格を4つピックアップして、概要をご紹介します。
- CCENT(Cisco Certified Entry Networking Technician)
基本的なネットワークセキュリティを含め、小規模なエンタープライズブランチネットワークの導入、運用、及びトラブルシューティングを行う知識と技能を認定します。
ネットワークエンジニアのスタート地点とも言うべき資格ですが、2020年2月24日以降はなくなってしまう資格です。
CCENT認定についての詳細は、以下のURLをご参照ください。
【CCENT認定】
https://learningnetwork.cisco.com/community/connections/jp/entry/ccent
- CCNA Security(Cisco Certified Network Associate Security)
CCENTのセキュリティ分野における上位資格です。この認定試験に合格するレベルに至って、ようやくセキュリティエンジニアと名乗っても恥ずかしくない最低限と言えるでしょう。
試験では、CISCOのネットワークの保護に必要なアソシエイトレベルの知識とスキルが問われ、認定取得となれば、セキュリティインフラの開発、ネットワークの脅威や脆弱性の認識、セキュリティ上の脅威の低減に必要なスキルを有していることの証明になります。
2020年2月24日以降の新しい認定試験では、他のCCNA分野とひとつに統合されてしまうため、試験範囲が現在より広くなり、より幅広い知識が必要となります。CCNA Securityのうちにぜひ取っておきたい資格です。
CCNA Security認定についての詳細は、以下のURLをご参照ください。
【CCNA Security認定】
https://learningnetwork.cisco.com/community/connections/jp/associate/ccna_security/
- CCNP Security(Cisco Certified Network Professional Security)
CCNA Securityの更に上位資格であり、これに認定されれば大手を振ってセキュリティエンジニアの看板を掲げても、誰も文句は言わないでしょう。
CCNP Securityは、ソリューションそれぞれのネットワーク環境に対する選択、導入、サポート、トラブルシューティング等を全般的に担当するエンジニアのスキルについて認定するプロフェッショナル認定です。以前は英語の試験のみでしたが、2016年3月より日本語の問題も配信されるようになりました。
CCNP Security認定についての詳細は、以下のURLをご参照ください。
【CCNP Security認定】
https://learningnetwork.cisco.com/community/connections/jp/professional/ccnpsecurity
- CCIE Security(Cisco Certified Internetwork Expert Security)
CISCOにおけるセキュリティ系のエンジニア認定としては、最上位の資格です。
CCIE Securityは、システムと環境を現在のセキュリティリスク、脅威、脆弱性から保護するために、最新の業界ベストプラクティスを活用して、CISCOの包括的なセキュリティテクノロジー、及びソリューションを設計、構築、導入し、トラブルシューティングとサポートが実施可能なレベルの知識とスキルを備えたエンジニアのスキルについて認定するエキスパート認定です。
試験内容も下位のものとは異なり、120分の英語による筆記試験に合格した後、8時間にも渡るハンズオンラボ試験に合格する必要があります。(別日開催)
CCIE Securityは非常に難易度が高い認定試験ですが、取得できれば国際レベルで通用する最高水準のセキュリティエンジニアと言っても過言ではありません。
CCIE Security認定についての詳細は、以下のURLをご参照ください。
【CCIE Security認定】
https://learningnetwork.cisco.com/community/connections/jp/expert/security
② CompTIA認定資格(https://www.comptia.jp/cert_about/certabout/)
日本ではまだ認知度が高くありませんが、IT業務における実践力、応用力を評価する認定資格として、法人を中心に世界中で200万人以上が取得している、信頼性の高いベンダーニュートラルな認定資格です。
その信頼性については、米国国防総省が、情報保証に関連する人材への必須資格とする程です。
主に以下の分野におけるスキルを評価します。
- ネットワークセキュリティ
- コンプライアンスと運用セキュリティ
- 脅威と脆弱性
- アプリケーション、データ、ホスティングセキュリティ
- アクセスコントロール、認証マネジメント
- 暗号化
また、CompTIA認定資格試験では、多くの問題が、様々な状態や条件を想定したケーススタディな問題が出題されます。「知識」ではなく「スキル」が問われ、それらのスキルを応用した「応用力」と「行動プロセス」も含めた総合力が評価されます。
CompTIA認定資格についても、分野により様々な種類の認定資格がありますが、ここでは「CompTIA Security+」と「CompTIA CySA+」の2つについて、ご紹介します。
- CompTIA Security+
CompTIA Security+ とは、ITセキュリティ要因のインシデントに対応するためのセキュリティ技術に関する知識を問われる認定資格です。セキュリティの概念に対して「知っている」「理解している」だけではなく、「どのようにするか」を理解しているかに重点が置かれており、知識よりも実践的な対処方法を問う問題が出題されます。
また、出題問題には、従来の単一/複数選択の問題に加えて、パフォーマンスベース問題(シミュレーション問題)が含まれます。これらの設問では、画面上に表示されるシミュレーション環境において、設定やトラブルシューティングを実施するといったスキルが評価されます。それらのバラエティに富んだ出題問題により、知識だけではなく、実際のスキルを公正に評価するというわけです。
そのためか、CompTIA Security+ の認定資格試験は、以下の条件を満たすITエンジニアを対象としています。
- セキュリティに重点を置いたネットワーク管理における最低2年間の業務経験
- 情報セキュリティのテクニカルな側面を日常的に扱う経験
- 出題範囲に挙げられた項目を含む、セキュリティ上の問題や実装に関する幅広い知識
CompTIA Security+ 認定資格についての詳細は、以下のURLをご参照ください。
【CompTIA Security+ 認定資格】
- CompTIA CySA+
CompTIA CySA+ とは、CompTIA認定資格のうちの1つであり、上記でご紹介した「Security+」の上位資格です。
CySA+ は、Security+ とは異なり運用的な観点が必要であり、企業に対するセキュリティの脆弱性や対策についての分析及び改善提案を行うための知識が問われます。
本資格を取得することによって、企業や組織の重要なインフラやデータのセキュリティを維持するために必要な脅威検出/脅威分析用のツールを使用、分析、監視するスキルがあることが証明されます。
また、Security+ の出題同様、従来の単一/複数選択の問題に加えて、パフォーマンスベース問題(シミュレーション問題)が含まれて出題されるので、知識だけではなく、セキュリティ対策についての実際のスキルが公正に評価されます。
CompTIA CySA+ 認定資格についての詳細は、以下のURLをご参照ください。
【CompTIA CySA+ 認定資格】
また、CompTIA認定資格では、1回目の認定資格試験が不合格でも、2回目の試験を無料で受験できるという太っ腹なキャンペーンを2020年1月まで実施中です。
受験料が4万円以上しますので、このチャンスを利用しない手はないですね。キャンペーンの詳細については、以下のURLをご参照ください。
【CompTIA FREE RETAKEキャンペーン】
③ 情報処理技術者試験(https://www.comptia.jp/cert_about/certabout/)
マネジメント系のセキュリティ資格で特にオススメしたいのは、やはり世間的に知名度の高い資格です。その理由は簡単で、セキュリティ提案を行う際の顧客からの信頼度が得やすいからです。
日本のIT業界で知名度、信頼度が高い資格と言えば、外せないのが情報処理技術者試験です。
情報処理技術者試験は、「情報処理の促進に関する法律」に基づいて経済産業大臣が認定する国家資格です。日本のIT業界における知名度は抜群。IT業界で働く人の中で、この試験について知らない人は皆無と言ってもよいでしょう。
その中でも、セキュリティ系試験の最上位レベルの資格として「情報処理安全確保支援士試験」をご紹介します。
- 情報処理安全確保支援士試験
情報処理安全確保支援士試験とは、サイバーセキュリティに関する企業からの相談や情報提供を受け、アドバイス、状況調査や分析等を通じて、企業等における情報セキュリティの安全確保を支援する人材のための資格です。情報システムや組織に対するセキュリティリスクを評価し、技術面・管理面での有効な対策を提案、実践できる、提案型のセキュリティエンジニアや情報システム管理者を目指す人には最適な資格と言えるでしょう。
但し、試験の合格率は約16~17%と低い上に、IPA(情報処理推進機構)への登録、資格維持に別途費用が掛かる等、他の情報処理技術者試験に比べるとだいぶコスト高になります。
情報処理安全確保支援士試験についての詳細は、以下のURLをご参照ください。
【情報処理安全確保支援士試験】
2-2.そもそも資格が必要な理由とは何か?
ところで、正直な話IT業界では資格を持っているかいないかは、あまり問題にはなりません。資格を持っているからといって、実務が優秀とは限らないからです。実際に、実務がどれだけできるのかが全てです。
それでも、やはり資格は必要な場合があります。
それは、自分の持っているスキルを周囲にわかりやすく明示化する必要がある場合、例えば、新しい顧客先へ異動する場合や、別の企業に転職をする場合等です。
また、未経験でIT業界に転職を希望する場合には、基本知識をどのくらい持っているかを測るためのバロメーターとしても、資格はやはり必要なのです。
3.未経験でIT業界を目指すなら、まず真っ先に取るべき資格はコレだ
ここまでセキュリティ系資格のオススメをいろいろ挙げてきましたが、これを読んでいるあなたが未経験でIT業界を目指しているのであれば、まずは何よりも優先して取って頂きたいIT資格があります。それは、情報処理技術者試験の「ITパスポート」です。
ITパスポートは、その名の通り、IT業界で仕事をするためのパスポートのようなものであり、仕事をするために必要な基礎的な知識が問われます。
ITパスポートについては、本サイトの以下の記事で詳細をご紹介しています。ぜひご参照ください。
関連記事 関連記事
そして、その上でセキュリティエンジニアを目指したいのであれば、その分野における第一歩目の資格として、「情報セキュリティマネジメント試験」をオススメします。
情報セキュリティマネジメント試験は、前述した「情報処理安全確保支援士試験」と同様、国家試験である情報処理技術者試験の一区分です。情報セキュリティマネジメントの企画や運用を通して、企業の情報セキュリティに貢献し、また、コンピュータウイルス等の外敵からシステムを守るための基本的な知識やスキルを図るための試験です。
どちらかと言うと、情報セキュリティについてのテクニカルなスキルを問う問題よりも、セキュリティ提案やマネジメントを行う人向けの基本的な運用方針や対策を問う出題が多い傾向があります。
合格率も60~80%と非常に高いので、ITエンジニアの経験が浅い人にも挑戦しやすい試験ですし、セキュリティへの社会的なニーズが高まる昨今、セキュリティエンジニアに限らず、ITエンジニアには必携の資格と言ってもよいでしょう。
そんなITエンジニア必携の資格ですから、この試験に合格したからと言って「セキュリティエンジニア」と呼ぶことはできません。あくまでセキュリティの基礎的な資格としてご認識くださいね。
情報セキュリティマネジメント試験については、本サイトの以下の記事で詳細をご紹介しています。ぜひご参照ください。
関連記事
4.さいごに
資格は、自分のスキルの証明書です。
たくさん持っているに越したことはありませんが、ベンダー系の試験の場合は1科目の受験料でさえ軽く万単位のものがたくさんあり、自己負担も大きくなります。
できれば自分の適性と進みたい方向を見定めて、「これだ!」と思う資格の、まずは初級から一歩ずつレベルアップしていきましょう。努力は、決して無駄になることはありません。
そして、資格取得の受験料負担については、自分の会社に受験料補助等の制度がないかを、まずは調べてみましょう。おおっぴらに公表していなくても、実は問い合わせてみたら、補助制度があったという場合も有り得ます。(公表しないのはどうかと思うけど)
特に、高額な受験料に対しては、受験料の事前支援等をバックアップしてくれる会社だと、背中を押されている気にもなりますし、チャレンジしやすくてイイですね。
そんな会社と出会えることを、心からお祈りしています。
コメント