コンピュータ関連のお仕事⑦
社会はいま、あらゆるモノがインターネットにつながるIoT時代を迎えています。インターネットへの接続は私たちの暮らしを便利にする反面、同時に不正アクセスやサイバー攻撃といった外部からの脅威をもたらします。こうしたセキュリティリスクから私たちの生活や企業活動を守るのが、セキュリティエンジニア。ネットワークセキュリティの重要性が増す一方で、セキュリティを担う人材は不足しており、セキュリティエンジニアを求める声が社会全体で高まっています。
めざせる学科
セキュリティエンジニアとは、ネットワークやシステムを外部のサイバー攻撃などから守るエンジニアです。ネットワークやシステムの弱点(脆弱性)を見つけ出し、それを解決するためのセキュリティシステムを提案・構築します。また、サイバー攻撃を未然に防ぐための調査やコンサルティング、社内のセキュリティマネジメントのしくみ作りなど、ネットワークセキュリティに関するさまざまな仕事を担っています。
セキュリティエンジニアは、外部からの脅威に対して、さまざまなセキュリティ対策を施します。主なセキュリティ対策として、次のようなものが挙げられます。
ファイアウォール(Firewall)とは、ネットワークの境界に設置され、内外の通信を監視し、外部の攻撃から内部を守るためのソフトウェアや機器をいいます。その名のとおり「防火壁」の機能があります。
IDSとは、不正侵入検知システムのことであり、ネットワーク通信を監視して不正アクセスや攻撃などを検知します。一方、IPSは不正侵入防御システムのことであり、不正アクセスを検知した上で通信を遮断したり、アクセスログの不正な改ざんを防ぎます。ファイアウォールなどで防ぎきれない攻撃や不正アクセスなどに対処します。
DDos(ディードス)攻撃とは、対象となるWebサイトやWebサーバに対し、複数のコンピュータから大量の通信を発生させることで、正常なサービス提供を妨げる攻撃です。その対策として、アクセス元のIPアドレス(コンピュータなどネットワーク上の機器に割り当てられる番号)を特定し、ブロックするなどの方法があります。
システムを利用している人が、本当にアクセスを許可された人かどうかを確かめる方法です。単純なパスワードのほかに、二段階認証、指紋や虹彩など身体の形状で人物を照合する「生体認証」などがあります。
ネットワーク上に暗号化した仮想のトンネルを作り、特定のユーザーだけが安全にデータをやり取りするしくみです。自宅と会社をインターネットで結ぶ会社員のリモートワークなどには欠かせない技術です。
企業の機密情報などを監視・保護する技術です。不正な持ち出しをリアルタイムで検出し、自動的にブロックします。ファイアウォールが外部からの攻撃を防ぐのに対し、DLPは内部からの情報漏えいを阻止します。
増大するサイバー攻撃
日本におけるサイバー攻撃関連の通信数は増え続けており、2021年は3年前と比べて2.4倍に、6年前と比べると8.2倍に増えています。2021年に観測されたサイバー攻撃数(約5,180億パケット)は、IPアドレス一つ当たり18秒に1回の割合で攻撃関連通信が行われていることに相当します。
また、他人のIDやパスワードを盗んで他人になりすます「不正アクセス」が増えたことなどにより、2000年、不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)が成立しました。その後、国によるサイバーセキュリティ対策が強化されていますが、不正アクセスは減っていません。
求められるセキュリティエンジニア
ネットワークセキュリティの重要性が増すにつれ、セキュリティエンジニアのニーズも高まっています。ところが、欧米に比べると日本はセキュリティを担う人材が大幅に不足しており、国をあげてセキュリティ人材育成を支援しています。
※充足している:「人材が過剰な状態」「充足している(最適な状態)」「どちらかといえば充足している」のいずれかを回答
※不足している:「どちらかといえば不足している」「不足している」のいずれかを回答
出典:「情報セキュリティ白書 2022」(独立行政法人情報処理推進機構)
セキュリティエンジニアは、システム開発、ネットワーク環境の構築、セキュリティ診断やコンサルティングなど、セキュリティに関するさまざまな仕事を担います。特にECサイトなどのシステム開発においては、要件定義から運用・保守・監視まで、すべての工程に携わり、各工程でセキュリティ対策を実施します。その内容も、セキュリティ機器の導入や設定、プログラミング、不正アクセスの監視など多岐にわたっており、セキュリティ全般の業務を行います。
ネットワークエンジニアは、ネットワーク機器やネットワーク管理ソフトウェアを導入して、最適なネットワークシステムを稼働させることが仕事です。一方、セキュリティエンジニアは、そのネットワークシステムを安定的に稼動させ、サイバー攻撃などからシステムを守ることが仕事です。構造的には、ネットワークエンジニアの仕事の上にセキュリティエンジニアの仕事が乗る形ですが、重複する部分も多く、セキュリティエンジニアがネットワークエンジニアの仕事を担うケースもたくさんあります。
企業の既存システムや新しく開発しているシステムに対して、セキュリティ診断を行うこともセキュリティエンジニアの仕事です。セキュリティ診断には、システム全体に対して網羅的な検査を行ってリスクを見つける「脆弱性診断」と、実際にシステムに侵入・攻撃して問題点を見つける「ペネトレーションテスト」があります。
また、情報セキュリティに関する企業の課題を洗い出し、セキュリティレベルを向上・維持するコンサルティング業務も大切な仕事です。企業のセキュリティポリシーや、サイバーセキュリティ対策の具体的なガイドラインの策定などは、多くの企業で求められています。
セキュリティエンジニアが活躍する会社は、システム開発を請け負う「SIer系企業」と、自社内でシステムを運用している「ユーザー企業」に大きく分かれます。
SIer(エスアイヤー)とは、Systems Integrator(システムインテグレーター)の頭文字をとった略称で、システム開発の全工程を請け負う受託開発企業をいいます。NTTデータ、富士通、NECなどが代表的な企業です。SIer系企業の多くは発注元の企業にセキュリティエンジニアを派遣し、セキュリティエンジニアたちが常駐してシステムの開発や運用に当たります。
一方、ユーザー企業で働くセキュリティエンジニアの主な役割は、システム開発をSIer系企業などに発注する際、社内の要件をまとめてSler系企業とすり合わせることです。また、自社内のセキュリティポリシーを策定したり、ISMS認証(社内の情報セキュリティ管理が適切かどうかを認証する国際規格)や、プライバシーマーク(個人情報の取扱いが適切であるかどうかを評価する国内の認定制度)の取得なども行います。中小企業などでは、一人のセキュリティエンジニアが、セキュリティに関する社内教育、パソコンの購入や選定、自社サーバ管理など、セキュリティに関連するあらゆる業務を担うこともめずらしくありません。
その他にも、セキュリティコンサルティングだけを行う会社や、セキュリティ診断を含めたトータルサービスを提供する情報セキュリティ会社など、セキュリティエンジニアはさまざまな会社で活躍しています。
セキュリティエンジニアになるためには、セキュリティエンジニアとしての基本的な知識とスキルを身につけることが大切です。実務経験の有無は関係なく、特別な資格も必要ありませんが、セキュリティエンジニアに関連する資格はいくつかあり、それらを取得すれば必要な知識やスキルが効率よく身につきます。あらかじめスキルや資格について知っておくと、今後の学習の指針になるでしょう。
セキュリティエンジニアは、ネットワークセキュリティに関するさまざまな仕事を担います。そのため、ウィルスや不正アクセスの手法などに対する知識、脆弱性を見つけるスキル、ファイアーウォールなどのさまざまなセキュリティ対策に関する知識と実装スキル、外部からの攻撃を監視するスキルなど、幅広い知識とスキルが求められます。
セキュリティリスクの多くは、ネットワークにつながっていることに起因するため、セキュリティエンジニアにもネットワークの知識は不可欠です。場合によっては、ルータなどネットワーク機器の設定やIPアドレスの設定など、ネットワークエンジニアの仕事を担うこともあります。ネットワークの知識を深めれば、仕事の幅も広がります。
個人情報保護法や不正アクセス禁止法など、ネットワークセキュリティに関する法律がいくつかあります。そのすべてを知らなくても、最低限の知識は必要です。正しい法律の知識がなければ、法律に則ったシステム運用はできません。また、セキュリティポリシーを策定したり、ISMS認証やプライバシーマークなどを取得する際にも、セキュリティに関する一定の法的知識が必要になります。
セキュリティエンジニアは、サイバー攻撃の標的になりやすいサーバやOS、アプリケーションなどに対してセキュリティ対策を実装します。また、システムが完成した後も、運用段階でOSやアプリケーションのアップデートを行います。そのため、サーバやOSなどに関する基本的な知識が不可欠です。
不正アクセスやサイバー攻撃は脆弱性を突いて行われるため、システムをプログラミングする段階で脆弱性をなくしておくことが重要です。このようなセキュリティに配慮したプログラミング手法を「セキュアプログラミング」、または「セキュアコーディング」といいます。セキュアプログラミング専用の言語はなく、セキュリティエンジニアはアプリケーションごとに、PHPやJavaScript、Pythonなどを使ってプログラミングを行います。
システム開発の現場はチームで動くことが多いため、コミュニケーションスキルは欠かせません。ユーザーの要望を汲み取り、要望に沿ったシステムを提案するためにもコミュニケーションスキルは大切です。システム開発のほかにも、セキュリティ診断やコンサルティング、社員に対するセキュリティ教育など、セキュリティエンジニアは多くの人と接する仕事なので、コミュニケーションスキルは重要です。
経済産業省が認定する「情報処理技術者試験」の中の一つであり、サイバー攻撃などの脅威から継続的に組織を守り、組織の情報セキュリティの確保に貢献するための基本的なスキルを認定します。システムの利用者としてのスキルを認定する資格であり、システムの設計・構築スキルは問いません。また、プログラミングの知識も必要ないため、比較的チャレンジしやすい資格です。
「情報処理技術者試験」の中で、もっとも上位に位置する資格です。サイバーセキュリティに関する実践的な知識やスキルを認定する資格であり、システム管理や情報セキュリティマネジメントなど、広範かつ高度な知識・スキルが問われます。
いずれもシスコシステムズ社が認定する世界共通の民間資格です。CCNAは小規模ネットワークを構築するためのスキルを評価し、CCNA Securityはセキュリティインフラの開発スキルなどを評価します。シスコシステムズ社の技術者認定は業界の認知度が高く、これらを取得すれば就職活動などで大きなアピール材料になります。
いずれもLinux OSに関する技術力を認定する資格です。LPICが世界180カ国以上で実施されているグローバルな資格であるのに対し、LinuCは2018年にスタートした日本国内向けの新しい資格です。LPICをベースに、日本市場のニーズに合わせて策定されました。
セキュリティに特化したワールドワイドの認定資格です。脅威や脆弱性の分析、セキュリティを考慮したネットワーク設計、リスクマネジメントやアイデンティティ管理などのスキルを網羅する認定資格です。最新のセキュリティトレンドも取り入れており、デジタル・フォレンジック(デジタル鑑識)やクラウド運用などの知識も問われます。
セキュリティエンジニアをめざすなら、日本工学院ITカレッジで学んでみませんか。日本工学院ITカレッジでは、セキュリティエンジニアになるために最適な学習環境を整え、希望者一人ひとりをプロのセキュリティエンジニアに育てています。
特長1
日本工学院のカリキュラムは、学習内容を段階的に明示し、学生一人ひとりの習熟度に合わせて無理なくスキルアップできるように作られています。だから、ITの初学者でも大丈夫。最初は、キーボードのタイピングやパソコンのしくみを覚えることから始めます。そして、最先端のIoTデバイスを使ってものづくりの感動を味わい、ハンズオン学習(体験学習)を通して、少しずつITスキルを身につけていきます。セキュリティの知識やスキルについても、初歩から教えています。
特長2
ITスペシャリスト科(4年制)とネットワークセキュリティ科では、ネットワーク業界をリードするシスコシステムズ社のネットワーク技術者養成カリキュラム『シスコ・ネットワーキングアカデミー』を教育に導入しています。これは、情報ネットワーク基盤に関わる実践的な知識・技術を学べる世界標準の教育プログラム。ネットワーク業界の定番資格である「CCNA」や「CCNA Security」に対応しており、シスコ認定インストラクター(CCSI)の資格を持った教員が実践的な指導を行っています。
特長3
IT業界は日進月歩で技術が進化しているので、知識やスキルを常にアップデートすることが大切です。そのため日本工学院ITカレッジでは、第一線で活躍するIT企業のエンジニアを招き、最新技術に関するさまざまな特別講義を行っています。また、シスコ・ネットワーキングアカデミーの教育内容も都度アップデートされているので、最新のネットワーク技術やセキュリティ技術を学ぶことができます。
特長4
日頃の学習でどれだけスキルが身についたのかを学生自身が感じられるように、毎年セキュリティコンテストへの参加をサポートしています。チャレンジするのは、情報セキュリティ企業が主催する専門学校・高等専門学校対象のセキュリティコンテスト「MBSD Cybersecurity Challenges 」。現実味のある課題に取り組むことで、セキュリティ業務の一端を疑似体験することができます。この第1回大会(2016年)でITスペシャリスト科(4年制)の学生チームが見事最優秀賞を受賞。第6回大会(2021年)でも、ネットワークセキュリティ科の学生チームが6位入賞を果たしました。結果もさることながら、努力をカタチとして残せることが、このコンテストに参加する大きな意義です。
特長5
「就職に強い日本工学院」。その理由は、充実した就職サポートにあります。日本工学院では、就職支援の専門機関であるキャリアサポートセンターと各学科が連携し、二重のサポートを学生に提供しています。キャリアサポートセンターは、長年にわったて蓄積してきた就職ノウハウを生かし、学生たちの就職活動をしっかりバックアップ。一方、ITカレッジでは、IT業界とのネットワークを生かし、IT企業のエンジニアを招いて仕事について講話を行ったり、卒業生に就職活動の体験談やアドバイスを聞く機会を設けるなど、就職に対する意識を高めるさまざまなサポートを行っています。
特長6
初めてIT系の資格にチャレンジする人が、いきなり難しい資格に挑戦してもなかなかうまくいきません。めざす資格を確実にゲットするには、取得計画を立て、効率よく勉強することが大切です。日本工学院ITカレッジでは、学科ごとに資格ロードマップを作り、学生が計画的に資格を取得できるようにバックアップしています。セキュリティエンジニアをめざす人には、「CCNA」や「CCNA Security」の資格対策を授業で行うほか、学生たちの習熟度に応じて個別に資格取得をサポートしています。
ネットワークセキュリティ科
西山 睦 先生
担当科目:ルータ実習、Linux実習、
クラウドコンピューティング など
【プロフィール】
日本工学院を卒業後、プログラマとしてシステム開発に従事。その後、携帯電話関連会社や保険会社などで、ネットワークエンジニア、セキュリティエンジニアとして活躍。
セキュリティエンジニアをめざす人がいまできること
もし可能なら、Webページを作って何かを発信してみてください。ブログでも何でもかまいません。おそらくその過程でちょっと苦労したり、Webページを更新していく中で、いろんなつまずきも経験すると思います。でも、どんな技術が使われているかわかりますし、得るものも多いと思います。
また、セキュリティエンジニアはいろんな人と話す機会が多く、相手の意図を正しくヒアリングする能力や、ロジカルに考えて話す能力が不可欠です。それらのもとになるのがコミュニケーションスキルですので、いまのうちから友だちといっぱいコミュニケーションを取っておいてください。できれば先輩や先生など、目上の人とのコミュニケーションも積極的に取ってみるとよいと思います。その経験は将来、必ず生きてきます。
セキュリティエンジニアをめざすみなさんへ
個人情報を守ったり、さまざまな脅威から社会を守るセキュリティエンジニアは、社会にとってなくてはならない存在です。セキュリティ技術の進化は早いので常に学び続ける必要がありますし、企業の重要情報に触れるので倫理観や責任感も求められますが、それだけに大きなやりがいがあります。セキュリティの仕事に興味がある、将来はセキュリティエンジニアになりたいという夢を抱いている人は、ぜひ夢をあきらめずに追い続けてください。私たちがみなさんの夢をサポートします。一緒に夢を実現しましょう。