1分で分かる!セキュリティエンジニアとは?
~ ことりん君、新聞を読みながらぶつぶつ独り言 ~
うわぁ。ECサイトから個人情報漏えいだって。なになに、漏えいした件数は…30万件!こっちは不正ログインの記事かぁ…。勝手に残高をチャージされて不正利用が発生と…。うーん。怖いなぁ…
ことりん君おはよう!朝から新聞読んで偉いねぇ!
ジャバ―ド先生おはようございます!最近セキュリティ事故のニュースが多いなぁと思って。今日もこんな記事がでてましたよ!
個人情報漏洩に不正ログインか。たしかに最近ニュースでよく見かけるよね。
この前も個人情報漏えいのニュースがあったし、毎日どこかでこんな事故が起きてると思うと、インターネットを使うのも怖くなるなぁ。
インターネットをはじめとするITは、すでに私たちの社会とか生活のインフラの一部だからね。みんなが簡単にインターネットを使えるということは、悪意を持った第三者も自由につかうことができるということなんだ。だから、いつでも攻撃されてもおかしくないんだ という意識を持たないといけないね。
うん。気を付ける!でもさ、アプリケーションを開発するITエンジニアは、みんあセキュリティを気にしているんじゃないの??たまーにシステムの脆弱性?をつかれたとかっていうニュースを見るんだけど。
開発にもセキュリティに関するセオリーみたいなものがあって、多くのITエンジニアは気を付けているとおもうよ。ただ、最近では攻撃の手法も増えているし、より高度になっているので、なかなか完璧に防ぐのは難しいんだ。
相手もレベルアップしているのか…
そうそう。それに、ビジネスのスピードも速くなってるから、システム開発の時間も短くなってるんだ。そうすると、機能の実現ばかりに目がいってしまい、セキュリティへの対応がおざなりになってしまう…ということもあるみたいだね。
時間が決まっていると確かにセキュリティにまで目が届かないかもね…。じゃあ攻撃を受けないことを祈るしかないのかな??
そんなことはないよ。ことりん君は、セキュリティエンジニアって聞いたことある??
ない!!
セキュリティエンジニアは、その名前のとおりセキュリティのスペシャリストなんだ。サーバーやネットワークといったハードウェアはもちろん、アプリケーションの設計、プログラミング、テストといった実際の開発に関する業務についても、セキュリティの観点で関わるんだ。「こういう設計は情報漏洩のリスクが高まるからやめるべきですよ」とか助言をくれる感じだね。
おぉ、頼もしい存在だ!
あとは、セキュリティテストとして、仮想的に開発したシステムに対して侵入を試みたり、攻撃をしたりするんだ。事前にセキュリティの穴を見つけ出すお仕事っていうイメージだね。
じゃあシステムを開発するときは、セキュリティエンジニアをたくさん集めればよいね!
そうしたいところだけど、お金の問題もあるからね。実際にはシステムが持っているリスクと比較しながらセキュリティエンジニアを集めるかを決めるといいよ!
よくわかったよ!ジャバ―ド先生ありがとう!
セキュリティエンジニアとは?採用に役立つの基礎知識
セキュリティエンジニアは、インフラ、ハードウェア、ソフトウェアなどのぜい弱性をみつけ、対応策を検討、実施、あるいはアドバイスするのが主な業務です。
企画や設計段階で、より強固なセキュリティを実現するために予防的なアドバイスをすることもありますし、実際に完成したシステムに対するテスト等を行い、ぜい弱を検出するという業務も担当します。また、実際に攻撃を受けた場合の対応や、調査なども重要な業務です。
セキュリティエンジニアとはどんな人か
当たり前ではありますが、セキュリティに対して精通している人でないとセキュリティエンジニアになることができません。一言でセキュリティといっても対象は広く、次々に情報はアップデートされるため、新しい技術の習得に余念がなく、日頃から常にアンテナをはっている人が多いです。
また、クライアントのセキュリティについて詳細を把握することになるため、高い倫理観を持っていなければならない職種でもあります。
セキュリティエンジニアの業務範囲
前述したようにセキュリティエンジニアが対応する範囲は非常に広いです。これを1人で対応するのは限界があります。そのため、多くの場合ではメインとなる担当業務を対応することになります。たとえば以下のようなものです。
- 運用・監視系
- インシデント発生時の調査・対応
- ハードウェアを含むシステムに関するぜい弱性の検出や報告
- セキュリティ向上に関する製品の導入など
候補者には、セキュリティエンジニアとしてどのような業務に携わってきたかを確認するとよいでしょう。
セキュリティエンジニアのキャリアパス
セキュリティエンジニア自体が、他のITエンジニアの上位職となります。他の職種について経験を積んだ上でセキュリティエンジニアになる方が多いです。そのため、セキュリティエンジニアからのキャリアパスはあまり多くありません。
セキュリティエンジニアからのキャリアパスとしては、企業のセキュリテイに関する課題や悩みを解決に導くセキュリティコンサルタント、またはサイバー攻撃などの攻撃を分析を業務とするセキュリテイアナリストなどがあります。
セキュリティエンジニアの豆知識
日本の著名なセキュリティエンジニア
2008年にノーベル化学賞を受賞した下村脩氏をご存じでしょうか。彼のご子息である下村努氏は、国際的にも著名なセキュリティエンジニアです。彼を有名にしたのが、アメリカで当時最重要の指名手配犯であったケビン・ミトニック氏の逮捕です。
数々の詐欺、不正アクセス、通人傍受などを繰り返していたケビン・ミトニック氏をなかなか逮捕できずにいたFBIは下村努氏に協力を仰ぎます。一時は逮捕することは無理では?と諦められていましたが、下村氏の執念の捜査により、無事逮捕に至ったのです。
このエピソードは、2000年にアメリカで映画化され、日本でも「ザ・ハッカー」というタイトルでDVDなどが販売されています。
セキュリティエンジニアに関する資格
セキュリティエンジニアに関する資格には以下のようなものがあります。
- 情報処理推進機構(IPA)主催:情報処理安全確保支援士試験
- 情報処理推進機構(IPA)主催:情報セキュリティマネジメント試験
- CISCO 主催:Cisco Certified CyberOps Associate
セキュリティエンジニアに必要な知識
セキュリティに関する広く深い知識
セキュリティ対策に終わりはありません。どれだけ対策を施しても、完璧とはいえる対策はないのです。そのため、幾重にもセキュリテイ対策を施す必要があります。また、サーバー、ネットワーク、ソフトウェア、さらには運用手順にいたるまで、総合的に考える必要があります。これらを行うためには、セキュリティに関する、広く深い知識が必要不可欠です。
コミュニケーションスキル
セキュリティエンジニアは、会話等を通じて、企業のセキュリテイに関する課題を検出するのが仕事です。また、システムの現状を把握するために、ヒアリングを行う必要もあります。そのため、コミュニケーションスキルは欠かせません。
倫理観
前述した通り、セキュリティエンジニアは、企業のシステムに関するセキュリティに関する状況を詳細に把握します。また、場合によってはぜい弱性などを検出することもあります。システムのぜい弱性を攻撃されると、企業は甚大な被害を被ることもあるのです。知識とはやや異なりますが、セキュリティエンジニアとして働くとためには、高い倫理観が必要なのです。
