【セキュリティエンジニア】IT業界で稼ぐために必要な能力5選!
今回の出演者
メディアディレクター
新卒ITエンジニア
セキュリティエンジニア
ITサプリについて
この記事は動画『ITサプリ』で配信している内容をもとにテキスト配信しています。ITサプリは未経験からIT業界へ転職したい方に向けて情報配信をしているYouTubeチャンネルです。IT業界で働く上で役立つ知識を発信していますので動画でもお楽しみください。
やーまん
今回は現役セキュリティエンジニアのまこさんにお越しいただきまして『セキュリティエンジニアに求められる能力5選』というテーマで、具体的にどういったものが求められるのかを伺っていきたいと思います。ではまこさん、始めにセキュリティエンジニアのお仕事内容を、簡単に教えていただけますか?
まこ
不正侵入やウイルスの感染から、お客様のシステムを守るための仕組みづくりであったり、もし被害にあった場合にはその被害がどれぐらいの範囲でどういった影響があったかを調査したり、といった仕事になります。
じま
我々が安全にインターネットを使えるのは、まこさんのようなセキュリティエンジニアがいらっしゃるからですね!
1.ネットワークの知識
まこ
まず必要になるのは『ネットワークに関する知識』です。不正アクセスやウイルス感染の大半はネットワーク越しに行われることが多いので「どういった経路で不正アクセスされて、データが盗み出されるのか」というのを調べる必要があり、『ネットワークの知識』が結構重要になります。
やーまん
なかには『ネットワークを介さない攻撃』というのもあるのですか?
まこ
はい。例えばUSBメモリから感染したり、一昔前であればCDやDVDから感染したりといった事例があります。他にも、セキュリティエンジニアの範囲かは微妙ですが、紙のデータを盗み出されることもありました。セキュリティという点でいうと攻撃経路は多いですが、やはりネットワーク越しに攻撃されることが一番多いですので、まずは『ネットワークの知識』がどうしても必要になりますね。
じま
知識というのは「これがあったら分かる」みたいな、具体的な資格があるのですか?
まこ
初級の知識だと厳しいですが、中級の知識が得られれば大体良いと思いますよ。Ciscoの資格なら【CCNP】レベルの知識があれば充分かなと思います。
じま
入社後の研修で習得するというよりは「業務を続けていく中でキャリアアップするために取得する資格」というイメージでしょうか?
まこ
そうですね。
2.アプリケーションセキュリティの知識
まこ
ネットワーク越しの攻撃では、インターネット上で動作するアプリケーションを起点としたものが多いです。Webサーバーやメールはもちろん、DNS(インターネット上でドメイン名を管理・運用するためのシステム)というネットワーク通信に必要なシステムが攻撃される場合もあります。
ですので、そういったシステムがどのような仕組みで動き、どういったところが狙われるのか、といった『アプリケーションの知識』が重要になります。
じま
先程の『ネットワークの知識』と似ている気もしますが『アプリケーションの知識』とは、どういったものですか?
まこ
例えば、Webサイトを見るには、パソコンからWebサーバーまで通信が行かないと見ることができないですよね。この場合の、通信できるまでの過程が『ネットワークの知識』です。Webサーバーがどういった作りになっているのか、といったところが『アプリケーションの知識』になります。
やーまん
安全なネットワーク通信と、さらにその先のサーバー部分に関する知識が必要、ということですね。
3.OSセキュリティの知識
まこ
OSと聞いて、みなさん何をイメージしますか?
じま
パソコンだとWindowsとか、スマホならAndroidとかiOSとかですね。
まこ
ですよね。インターネットに接続するための機械はアプリケーションによって動いていて、その基本的なアプリケーションのことをOSといいます。セキュリティ視点では「どこに弱点があるか」「どういったことに気を付けるべきか」といったことを考える必要があるので、そのOSが「どういう仕組みで動いているのか」という知識は、結構重要になりますね。
やーまん
OSによって、セキュリティの対策に違いはありますか?
まこ
iPhoneでは、基本的にAppleが提供しているアプリ以外のダウンロードができないので、アプリ自体にウイルスが入っている可能性は低いです。なので、iPhone を動かすiOSは、セキュリティ面で特に気に掛けるようなところはありません。
一方でAndroidの場合は、どこからでもアプリをダウンロードが可能です。下手すると「データアプリの中にウイルスが入っていて知らないうちに情報を持っていかれた!」ということも有り得ます。そういった違いを、ある程度理解しておくことが重要になりますね。
やーまん
確かに、iOSの方が「セキュリティが高いから良い」みたいなイメージがありますね。
まこ
それは誰かがインストール前にウイルスチェックしてくれているからですね。逆に、Androidでは誰もチェックしていない場合があるので、要注意です。
やーまん
Androidはチェックしている場合もあれば、やっていない場合もあり、ウイルスの有無が分からないということですね。
4.ウイルス・攻撃手法の知識
まこ
セキュリティエンジニアとして何より重要な仕事は『セキュリティ事故を起こさない』ことです。そういった事故は「ウイルスに感染したコンピュータが持ち主の意図しない動きをする」とか「知らない人が自分のシステムに不正侵入して悪さを働く」とかいうものが多いですね。
それらを未然に防ぐために対策を行うのですが、そのためには『ウイルスがどういう動きをするのか』という知識や『攻撃とは一般的にどう行われるのか』という知識が重要になります。
じま
ウイルスや攻撃手法って、対策すると懲りずにさらに新しいものを作ってくるようなイメージがあります。ウイルスのトレンドじゃないですけど、新しいウイルスを勉強していくことは必要になりますか?
まこ
そうですね。日々新しい攻撃手法や毛色の違うウイルスというのは出てきています。そういった点で見ると、悪く言えばゴールがない、良く言えば仕事がなくならないとも言えるかもしれませんね。
やーまん
ちなみに、攻撃手法を知ってらっしゃるっていうことは、まこさんも一応、そういった攻撃ができるということですか?
まこ
……できます、やらないだけで。
5.認証・暗号化の知識
まこ
最近ではIDとパスワードを入れるだけでなく、SMSに届いた6桁の番号を入力したり、Facebookアカウントで別システムにログインしたりと、いろんなログイン方法がありますよね。それらをまとめて『認証技術』といいます。不正侵入の被害原因で一番多いのは、認証部分を悪用されることですね。
実際、暗号化したデータをやり取りしますが、暗号化の程度が低いと不正侵入された際に中身が簡単に漏洩してしまいます。ですので「どういった暗号にすれば良いか」といった『認証・暗号化の知識』は、セキュリティエンジニアとして結構重要で最低限必要なものになります。
今回の動画のまとめ
やーまん
今回は『セキュリティエンジニアに求められる能力5選』というテーマでお話しました。紹介いただいた5つはこちらになります。
- ネットワークの知識
- アプリケーションセキュリティの知識
- OSセキュリティの知識
- ウイルスや攻撃手法に関する知識
- 認証・暗号化の知識
まとめ
『求められる能力』として、必要な知識を5つご紹介しました。
不正侵入やウイルス感染の大半はネットワーク越しで行われ、次々と新しい攻撃手法やウイルスが生み出されているようです。認証を悪用した不正侵入も多いとのことで、しっかりとした知識が無ければそれらへの対策を取ることは難しいでしょう。また、iOSやAndroidなど、OSによってセキュリティ対策に違いが生じることもあり、紹介された知識は全て重要といえそうです。
未経験からでもITエンジニアになることは可能です。セラクでは未経験からでも約1.5か月の研修を通じて活躍しているエンジニアが多数在籍します。
少しでもご興味を持っていただけたら、ぜひ、セラクにご応募ください。まずは面談でのお話をすることも可能です。お気軽にご相談ください。