1. セキュリティポリシーの作成と維持

2. セキュリティシステムの設計と導入

3. セキュリティ監視と対策

4. セキュリティ教育

2022年の調査では、専門性が求められるセキュリティエンジニアの平均年収は約600万円となっており、アプリケーションエンジニアの平均年収約500万と比べてやや高い傾向があります。

また、今後のセキュリティエンジニアの将来性については、デジタル化が進む現代社会において、情報セキュリティへの需要はますます高まると予想されます。


過去に日本で起きた大きなセキュリティ事故としては、2014年の「Benesse個人情報流出事件」で発生した、3,500万件の個人情報の不正持ち出しや、2018年の「コインチェック仮想通貨流出事件」のサイバー攻撃による580億円相当のNEM流出が有名です。


この事件からも分かるように、企業のデータ漏洩事件やサイバー攻撃は、企業の評価だけでなく、業継続にも大きな影響を与え、情報システムを保護するセキュリティエンジニアの需要は、これからも増えていくと言えるでしょう。

情報セキュリティの基本的な概念や技術を理解していることは必須となります。

例えば、暗号技術、認証技術、ネットワークセキュリティ、ウェブセキュリティなど、情報システム全般に関連する知識です。

ネットワークやシステムの構築・運用の知識も必要です。

具体的には、TCP/IPやHTTPなどのネットワークプロトコルの理解、OSやデータベースの運用知識、クラウド技術の理解などが求められます。

セキュリティツールを自分で開発したり、既存のシステムのセキュリティホールを調査・解析するためには、プログラミングスキルも必要です。

PythonやC/C++、JavaScriptなど、複数のプログラミング言語を扱うことがあります。

セキュリティエンジニアは、一見無関係に見える情報からパターンを見つけ出し、問題を解決するための答えを導き出す能力が必要とされます。

例えば、不正アクセスのパターンを見つけるためには、大量のログデータから異常な動きを探し出す解析力が求められます。

セキュリティの世界では、新たな攻撃手法が日々開発され、それに対抗するための新たな防御策が必要であり、セキュリティエンジニアには最新の脅威を迅速に認識し、適切に対応できる能力が求められます。

このためには、情報収集力と学習能力、そしてそれら新たな情報を自分の知識として吸収し、具体的な防御策に活かすための能力が必要となります。

情報収集の手段としては、インターネット上のセキュリティ関連のフォーラムや専門サイト、システムベンダーから配信されるメーリングリスト、オンライン学習リソースを活用することが重要です。

情報処理技術者試験の一つで、情報セキュリティに関する高度な知識と技術を有する人材を認定する資格です。

情報システムの安全性を確保するための技術や手法を理解し、それを実務に適用する能力が求められ、情報セキュリティに関する国内資格としては最高峰とされ、その難易度は高いです。


具体的には、暗号技術、ネットワークセキュリティ、ウイルス対策、セキュリティポリシーの策定・運用、システム監査など、幅広い分野にわたる知識が必要とされます。

CISSPは、国際的な認知度と信頼性を誇るセキュリティエンジニアの資格で、全世界での情報セキュリティの専門家であることを証明できます。


CISSPの試験範囲は、セキュリティとリスク管理、資産のセキュリティ、セキュリティエンジニアリング、ネットワークセキュリティと通信、アイデンティティとアクセス管理、セキュリティ評価とテスト、セキュリティ運用、ソフトウェア開発セキュリティの8領域に及びます。


また、CISSPの取得には、直近の5年間に、上記8領域の少なくとも2領域で実務経験を持っていることが必要です。

主に初級〜中級レベルのセキュリティエンジニア向けの国際資格です。

ネットワークセキュリティ、コンプライアンス、リスク管理、データの保護など、情報セキュリティに必要な基本的な知識を保有していることを証明できます。