セキュリティエンジニアはきつい!?気になる年収や実態を大公開!
今回の出演者
メディアディレクター
元役者ITエンジニア
セキュリティエンジニア
ITサプリについて
この記事は動画『ITサプリ』で配信している内容をもとにテキスト配信しています。ITサプリは未経験からIT業界へ転職したい方に向けて情報配信をしているYouTubeチャンネルです。IT業界で働く上で役立つ知識を発信していますので動画でもお楽しみください。
セキュリティエンジニアの仕事内容
まこ
セラクでサイバーセキュリティ部というところがあるのですが、そこの技術者のリーダーをやっておりますまこです。よろしくお願いします。
やーまん
セキュリティエンジニアとはどういったお仕事なんですか?
まこ
企業のシステムは不正侵入やウィルス感染などの危機に日々さらされているのですが、それを未然に防いだり被害があったときに被害状況を調査したりというのが主な仕事になります。
やーまん
具体的な仕事内容としてはどんなことをされていますか?
まこ
ウィルスバスターやファイアウォールなどのセキュリティ製品を導入したり、ウェブシステムの脆弱性診断といって不正侵入されないかどうかチェックをしたりします。それ以外では……例えばシングルサインオンってわかりますか?
てもし
ちょっとわかりません。
まこ
今使っているITのシステムはサイトごとにIDとパスワードをそれぞれ入れますよね。シングルサインオンとはWindowsに最初のログインをしたらそれ以降全部ログインした状態になるようなシステムなのですが、そういった認証システムもセキュリティエンジニアの仕事の範囲です。
やーまん
そういったシステムの構築とか監視、運用などをおこなっているのですね。システムがウィルスなどの脅威にさらされている頻度は高いのですか?
まこ
うちのコーポレートサイトでもだいたい100回/日ぐらい不正アクセスがあります。セラクでは全部防げてはいるのですが、他の会社では「IDとパスワードを搾取され、メールのデータが全部持っていかれてしまった」といった話もよく聞きます。
てもし
メールでやりとりしたものが全部あらわになってしまったら大変です! メールなんて個人情報のかたまりじゃないですか。
やーまん
機密情報の入った資料も見られてしまいますか?
まこ
送ったはずのないメールをアドレス帳に登録している人にどんどん送られてしまったりします。
てもし
DDoS攻撃という名前をよく聞きますが、たくさんメールを送らせてサーバを重くするようなものもあるのですか?
まこ
例えばECサイトに大量にアクセスするとWebサイトが非常に重くなってしまって、普通に使おうとしている人が全然使えなくなってしまうのですが、そういうDDoS攻撃もあります。その兆候が見えたら対策をするのもセキュリティエンジニアの仕事のひとつです。
やーまん
ハッカーみたいな人たちと戦っているイメージですね。
まこ
すごく長いスパンで見ると戦っているのかもしれません。不正アクセスの兆候というのは例えば半年前ぐらいからあって、危なさそうなところを抑えていくのですが、実はそれはおとりで本命は別のところだったりします。
てもし
うまいことやるんですね。ちなみにその攻撃は、どうやって防ぐのですか?
まこ
まず自分で自分を攻撃してみます。
てもし
なるほど。
まこ
突破できるようであれば突破できないように細工をする。
てもし
自分たちで弱いところを見つけて、じゃあそこを強くしようということですね。
セキュリティエンジニアになったきっかけ
やーまん
では次の質問ですが、セキュリティエンジニアというお仕事に就いたきっかけや経緯を教えてください。
まこ
元々私はネットワークエンジニアをやっていました。ネットワークエンジニアはセキュリティの知識が多少必要です。うちの会社がセキュリティをもっと専門的にやっていこうとした時、適任者がいなかったんですよ。それくらいセキュリティエンジニアは非常に数が少なくて、それで自分がやることになりました。ネットワークからスキルアップという形で今セキュリティエンジニアをやっています。
てもし
セキュリティエンジニアはレベルが高いのですか?
まこ
ネットワークエンジニアやサーバエンジニア、それにWebのフロントエンドだとか、あとは開発の仕事をしている人がさらに新しくスキルを付けてステップアップするうちのひとつなのかな?と思います。
てもし
一段階上なわけですね。
セキュリティエンジニアの給与事情
やーまん
続きまして年収ですとか給与事情についてみんな聞きたいかなと。
てもし
とても気になります。
まこ
セキュリティエンジニアとして周りが認知できるレベルの人たちで年収1000万円以下の人はいないです。
てもし
え? 1000万以下がない? 年齢でいうとだいたいどれぐらいから1000万プレイヤーになれるのか気になります。20代だと厳しそうですが、新卒からどういうふうにキャリアを積んでいって、30代とか40代ではどれぐらいになるのかをお聞きしたいです。
まこ
私がここで言っているセキュリティエンジニアは、だいたいIT業界で15年ぐらい仕事しています。セキュリティじゃなくて他のITの業界で働いていた人もいるのですが、誰から見ても「あの人はセキュリティエンジニアだ」というようなスキルの持ち主はだいたい15年ぐらいはこの業界を経験している場合が多いですね。
やーまん
その15年ぐらいの経験というのは例えばネットワークエンジニアだったり、Webだったり、そういう他の分野の方でもいいということですか?
まこ
やっぱりネットワークエンジニアが多いです。
てもし
新卒から15年といったら30代半ばぐらいだと思うのですが、だいたいそういう想定で間違いないですか?
まこ
そんなものかなと思います。
やーまん
30代で1000万は夢がありますね。
てもし
夢がありますよね。
セキュリティエンジニアに必要なスキル
やーまん
こうしていろいろお話を聞いているとすごく魅力的な職業だなと感じるのですが、これを持っていたらセキュリティエンジニアになれるというような具体的なスキルはありますか?
まこ
そういう明確なものはなくて、どこから攻められるかわからないのでIT全般の知識が必要になります。それとIT以外の知識も必要になります。例えばセキュリティの資格の勉強ではこういう問題が出ます。電話がかかってきて、いわゆるオレオレ詐欺みたいな感じで「パスワードを盗まれました。どうしますか?」とか。そういうところも問われるので。
てもし
今の話の流れだとITは全然関係ないですよね。
やーまん
オレオレ詐欺ですね。
まこ
オレオレ詐欺みたいな手法で重要な情報を持っていかれたりするのを防ぐというのも 仕事のうちです。そう考えるとIT以外の知識も必要です。また、セキュリティの対策をするにはお金がかかるのですが、例えばある情報を守るために1000万かかるとします。これに対してその情報が持っていかれても損失は500万しかない場合は対策せずに諦めるという判断もセキュリティエンジニアがしなければいけない。ですから経営的な知識も多少必要になります。
これは対策の費用がかかりすぎるので300万で出来る範囲でやりましょうと経営層に対して言うとか。ベストじゃなくベターの選択肢も考えなくてはいけなくて、それにはやっぱり金額も関係してきます。さらに、問題ないと思ってやっていてもそれが法律に触れるような場合もあるので、幅広い知識が必要になります。
てもし
お金とか法律とか、本当にいろんな知識が必要なんですね。
まこ
そのなかでもあったらいいのはやっぱりITインフラの知識です。「ここからここまでやればいい」というのがイメージしやすくなるので、そこは大事です。
セキュリティエンジニアの苦労話
やーまん
ここまでお話を伺ってきて、網羅的な知識が必要だったり、悪い人に狙われたり、かなり大変な業務だなと感じたのですが、これまでお仕事をしてきたなかで苦労話はありますか?
まこ
例えば自宅にも個人のパソコンがあるのですが、そこで情報漏洩があったり家族がウィルスに感染させてしまって重要な情報が漏れたりすると命取りになるので、そういうところは非常に気を付けます。
やーまん
自宅でも気を抜けないのですね。
まこ
妻の友達とかが家に遊びにきてWi-Fiを繋がせてくれと言われても断ったり、友達専用のWi-Fiを作って影響がないように考慮したりしています。
てもし
そういうところまで気を張らなければいけないのですね。
まこ
オフィスのゲストLANのようなものを自宅で作っています。同じことが会社でも言えます。例えば自分の部署のメンバーはセキュリティ事業部のメンバーなのでウィルスに感染しないように、怪しいサイトにアクセスしないようになどと気をつけています。
でも例えば自分が勤めている会社で重要な情報漏洩があると、それが自分とは全然関係ない部署だったとしても「御社で何かありましたよね?」と言われたら営業的には致命傷です。ですから正直言ってお金にはならないのですが、社内に危ないところがあれば未然に防ぐために注意したりだとか止めたりということもしなければなりません。
決して誰かにやってくれと言われているわけではないけれども、そうやって自分を守るためにいろいろやらないといけないのは大変だなと思います。
やーまん
「ちょっと申し訳ないけれどこういうことやっておいてね」「こういうもの送ったらいけないよ」というようなことをいろんな人に言わないといけないのですね。
まこ
そうですね。会社のためというか自分の部署を守るために会社全体の人に頑張ってもらわなければいけません。
てもし
それは確かに大変な話ですね。
セキュリティエンジニアになってよかったこと
やーまん
結構ご苦労なさっているなと思ったのですが、セキュリティエンジニアになって良かったことやメリットは何かありますか?
まこ
例えばインフラエンジニアだとインフラしか見られなかったり、Webのフロントエンドの人はネットワークだとかサーバのことはそんなに詳しくなかったり、あと開発の人はコーディングをやっていたりすると思いますが、セキュリティエンジニアは全部触れるので、いろんなエンジニアと関わることができるし、仕事としてもいろんな知識を得られるところが一番おもしろいですね。非常に広い範囲に関われるというのは良いことだなと思っています。
ここの部分だけ突き詰めたいというタイプじゃなくて、もっとここに関わるこっちの知識も欲しいとか、開発の知識も欲しいとか、ひとつのことだけガッツリというよりは、いろんなことに広く関わりたいという人にセキュリティエンジニアは向いているのかなと思います。
やーまん
ひとつの分野に突き詰めてやる人だけでなく、大きい視野で見る人も絶対必要だと日頃業務をしていてとても強く思いますが、そういうお仕事をなさっているということですね。
セキュリティエンジニアを目指す人へのメッセージ
やーまん
最後に、セキュリティエンジニアを目指している方やこの動画を見てセキュリティエンジニアになりたいと思った方に向けてメッセージをお願いします。
まこ
私の話を聞いて、非常に大変そうで難しいなと思った方も多いと思いますが、実際やってみるとそこまで大変ではありません。すごく頭のいい人が悪い人と戦っているようなイメージがあるかもしれませんが実際にはそんなことはないです。
皆さんインフラの知識を最初に勉強したと思いますが、その過程をもう少しスピードアップし、さらにいろんな分野に広げていけると案外誰にでもなれるはずです。例えば通勤電車に乗っている時間、だいたい30分とか40分あると思いますが、そこでマンガを読むか?ちょっと教科書開いて勉強するか?の違いです。そこでちょっと勉強できる人であれば、たぶん5年、10年経つと一人前のセキュリティエンジニアとしてやっていけるレベルになるはずです。
セキュリティエンジニアはなくならないジャンルの仕事だと思います。ですからもし興味があったらみなさんチャレンジしていただきたいです。
やーまん
日々の地道な努力でなれるというのは夢がありますね。1000万プレイヤーですからね。
まとめ
今回はセキュリティエンジニアの実態について、現役でお仕事をされている方にお話をうかがいました。
30代でも年収1000万を稼げるというのはかなり魅力的です。ITだけでなく社会問題や経営、法律など幅広い知識が必要だったり、業務外でも気を配る必要があったり、苦労もありますがやりがいもありそうです。ひとつの分野にずっと打ち込み続けるというよりいろんな分野に関わりたい人に向いているとのこと。今、ITエンジニア領域の仕事をしているなら業務にプラスアルファの勉強を積み重ねることでセキュリティエンジニアになれる可能性はありそうです。難易度は高いですが、チャレンジする価値のある職種なので興味がある人はチャレンジしてみては?
未経験からでもITエンジニアになることは可能です。セラクでは未経験からでも約1.5か月の研修を通じて活躍しているエンジニアが多数在籍します。
少しでもご興味を持っていただけたら、セラクにご応募ください。まずは面談でお話をすることも可能です。お気軽にご相談ください。