セキュリティコンサルティングとは?仕事内容や需要・年収などを解説
セキュリティコンサルティングは、企業のセキュリティ対策をサポートする仕事です。
ITシステムの拡大によってセキュリティリスクが高まり、法整備もあいまって、現代では多くの企業が、万全なセキュリティ対策へと向きあわなければならない時代です。
例えばIoTにおいても、これまでネットに繋がっていなかった機器が接続されることで、その機器に不正にアクセスする人が現れるかもしれません。
この様に、生活や職場環境が良くなる一方で、気をつけなければいけない部分も増えてきたのです。
そんな時代で、このセキュリティコンサルティングという役割は、企業にとって重要なものとなりました。
結果的に、セキュリティコンサルティングの需要が増加し、転職を希望する人も増えています。
この記事では、そんなセキュリティコンサルティングについて、どのような職業なのか、需要と年収、具体的な仕事内容を解説していきます。
また合わせて、セキュリティコンサルティングに求められるスキル、そして転職・活躍する上で役立つ資格も紹介します。
セキュリティコンサルティングとは
セキュリティコンサルティングとは、どのような職業なのでしょうか。
ここでは、セキュリティコンサルティングの主な仕事と、需要・年収についてかんたんに解説します。
企業のセキュリティ対策へ提言
セキュリティコンサルティングは、クライアントとなる企業のITセキュリティに対して、幅広いサポートをする職業です。
最新のセキュリティ事情を把握したうえで、クライアントの置かれた環境や経営戦略に沿ったセキュリティ対策を提案し、導入・実現までを担当します。
セキュリティコンサルティングは、ただ単にセキュリティ対策ソフトを紹介するのではなく、クライアントの意向や予算に合わせて、最適なソリューションを提供することが役割です。
セキュリティのためのソフトは多種多様なもので、下記のようなものがあります。
監視システム
→ビデオ監視、センサー監視、アクセス制御監視、セキュリティカメラなどを使用して、施設や場所を監視するシステム。
アクセス制御システム
→施設やシステムへのアクセスを管理するためのシステム。
例えば、パスワード、生体認証、スマートカードなどを使用して、認証を行う。
検知システム
→ウイルス、マルウェア、不正アクセス、侵入などを検知するシステム。
例えば、ファイアウォール、侵入検知システム、セキュリティ監視システムなど。
セキュリティ管理システム
→セキュリティポリシーや手順を管理するためのシステム。
例えば、セキュリティ情報とイベント管理システム (SIEM)、ログ管理システムなどが。
リスク評価システム
→セキュリティリスクを特定し、評価するためのシステム。
例えば、リスクアセスメントソフトウェアやペネトレーションテストツールなど。
バックアップシステム
→データのバックアップや災害復旧を行うためのシステム。
例えば、バックアップソフトウェアやレプリケーションソフトウェアなど。
暗号化システム
→データや通信を暗号化するためのシステム。
例えば、SSL/TLS暗号化、VPN、ディスク暗号化、データベース暗号化など。
フィルタリングシステム
→ネットワーク上のトラフィックをフィルタリングし、有害なトラフィックをブロックするシステム。
例えば、スパムフィルタ、コンテンツフィルタ、Webフィルタなど。
こういったシステムを、全て導入すると、予算がいくらあっても足りません。
そのため、IT知識のみならず、経営知識も求められるのが、セキュリティコンサルティングです。
現在は、ほぼすべての企業で何かしらのITシステムを運用しています。
セキュリティの重要性を理解し、より高いレベルのシステム構築を目指す企業も増えてきているため、取り組みを支援するセキュリティコンサルティングという職業が注目されています。
また近年は、世界中で問題となったランサムウェア「WannaCry」をはじめとする、より高度なサイバー攻撃が激増していることもあり、企業の規模によらず、セキュリティ対策は不可欠な時代です。
セキュリティコンサルティングの需要と年収
こうした背景を踏まえると、セキュリティコンサルティングの需要はさらに増加することが予想されます。
また現状の日本において、ITセキュリティとコンサルティング両方のスキルを持つ人材は大きく不足しています。
セキュリティコンサルティングの求人案件には、年収1,000万円を超えるものが少なくありません。
(参考:https://doda.jp)
また、グローバル企業をクライアントに持つ人材となると、年収2,000万円を超えるというデータもあります。
セキュリティコンサルティングは、最新のITスキルに加えて、高いコンサルティング能力も求められる職業です。
なので、一般のIT職やコンサルタントと比較しても、需要が高く、高い収入を得られる職業です。
また、セキュリティに関する仕事であるため、失敗や知識不足が許されにくい分野でもあります。
「知りませんでした。」
では通らず、お客様に被害が発生している可能性があります。
そのため、責任が重たいことも年収の高さに影響していると考えられます。
セキュリティコンサルティングの仕事内容
企業のセキュリティ対策について、あらゆる支援をおこなうセキュリティコンサルティング。
担当する仕事は、大きく「立案・マネジメント・実行支援」という3つの段階に分けられます。
ここでは、それぞれの場面で担う役割について、解説していきます。
セキュリティ対策の立案
まずはクライアントが現在置かれている状況を分析し、セキュリティ上の問題を明確にします。
そのうえで、クライアントが目指すべき環境を示して、それを実現するための方法を立案します。
セキュリティコンサルティングはここで、将来的なビジョン・戦略をクライアントに提示することが求められます。
セキュリティは変化の激しい分野で、新しい技術やサイバー攻撃が日々生まれています。
そのため、現状の課題を解決するのにとどまらず、長期的な対策を考えることが、セキュリティコンサルティングの仕事となります。
セキュリティマネジメント
クライアントが持つセキュリティシステムの運用・維持を支援することも、セキュリティコンサルティングの業務です。
具体的には、外注先のセキュリティ支援やセキュリティポリシーの策定、ISMS認証取得のための支援などが挙げられます。
また、企業のシステム監査支援を担う場合もあります。
このように、セキュリティコンサルティングは、対策の立案だけでなく、セキュリティ対策のマネジメントも仕事となります。
セキュリティ対策実行への支援
セキュリティコンサルティングは、セキュリティ対策の立案にとどまらず、企業におけるデータ運用のルール作りや、セキュリティシステムの導入・運用などを支援します。
クライアントがセキュリティ対策を実行していく中で、当初立てた戦略通りに実現できているかを監視し、問題を発見して対処していくことが求められます。
システムにセキュリティホールがないかといったテストを主導することも大切です。
長期的なセキュリティ対策の実行のため、問題解決や最適化といった施策を持って、クライアントを支援していくことが、セキュリティコンサルティングの仕事となります。
セキュリティコンサルティングに求められるスキル
セキュリティ対策の立案から実行支援までを担うセキュリティコンサルティング。
幅広いスキルが求められる職業ですが、ここでは、特に重要な3つのスキルである「ITセキュリティ・ITシステム・プレゼンテーション」について解説します。
ITセキュリティにまつわる知識
セキュリティコンサルティングは、ITセキュリティにまつわる深い知識が必要不可欠です。
ここでいうITセキュリティの知識とは、さまざまなセキュリティシステムにまつわるものから、先行するセキュリティ事案とその対策、さらには最新のサイバー攻撃についての知識までを指します。
日々進化を続けるセキュリティ対策手法や、年を追うごとに巧妙化するサイバー攻撃について深く理解した上で、既存のセキュリティシステムを組み合わせて対策を練ることが求められます。
ITシステムへの知識
セキュリティ対策を立案するためには、ネットワークやアプリケーションといった、ITシステム全般にまつわる知識も必要です。
企業によってIT環境は大きく異なり、ネットワークやアプリケーションのヴァージョンもバラバラです。
クライアントの環境を理解して、セキュリティ対策をおこなう上では、こうしたさまざまなITシステムに対応できなければなりません。
ITセキュリティ同様、ITシステムも変化の激しい分野であるため、常に情報を集めて勉強を続けることが大切です。
プレゼンテーション能力
立案したセキュリティ対策をクライアントへ提案する際、重要になるのがプレゼンテーション能力です。
セキュリティの分野には専門用語や複雑な理論が多いため、セキュリティコンサルティングは、それらをかみ砕いて、クライアントが納得できるようにプレゼンする必要があります。
クライアントのITリテラシーには大きな差があるため、相手に合わせた説明が求められます。
セキュリティコンサルティングは技術職と営業職が合わさった職業であるため、プレゼンテーション能力を初めとする営業スキルも重要なのです。
セキュリティマネジメントとして活躍するための資格
セキュリティコンサルティングは、その職業の性質上、基本的には実務経験を通してスキルを磨いていくことになります。
ですが、スキルアップや転職をするとき、有利になる資格は存在します。
そこでここでは、セキュリティマネジメントとして活躍するうえで役立つ資格をいくつか紹介します。
ITストラテジスト試験
ITストラテジスト試験は、独立行政法人であるIPAが実施する国家資格で、ITスキルを駆使して、企業の経営方針に沿った戦略を立案・推進する能力を測ります。
経営ストラテジーとIT技術、両方のスキルが求められる高度な資格であるため、セキュリティコンサルティングとしての能力を証明できます。
ITストラテジスト試験は、合格率15%前後と低く、なおかつ国家資格であるため、挑戦する価値がある資格といえます。
システム監査技術者試験
システム監査技術者試験は、ITストラテジスト試験と同じくIPAが実施している国家資格です。
ここでは、独立した監査として、情報システムの点検・評価・検証をおこない、システム利用者に対して適切な報告や立案をするための、マネジメントやコンサルタントとしてのスキルが問われます。
企業の情報システムを適切に評価するためには、ITシステムについてのみならず、経営にまつわる知識も求められます。
セキュリティ分野のスキルも問われるため、セキュリティコンサルティングとして活躍するのであれば、取得しておきたい資格です。
CISA(公認情報システム監査人)
CISAは、ITセキュリティ技術にまつわる国際団体ISACAが実施する資格で、日本では「公認情報システム監査人」の名称で知られています。
特に米国での知名度が高いので、セキュリティコンサルティングとしてグローバル企業で活躍するうえで、強みとなる資格です。
CISAでは、システム監査やセキュリティ、保守・運用にまつわる高度なスキルが問われ、知識だけでなく、一定期間の実務経験が求められます。
国際的なシステム監査の資格であるため、セキュリティコンサルティングとしての能力を証明するだけでなく、広いキャリアプランを実現するうえでも有用です。
セキュリティレベルの高い開発はAMELAに
今回は、セキュリティコンサルティングについて見てきました。
企業は、今では多くの個人情報や機密情報を、自社システムに保管・分析しています。
そのため今後は、更にこのセキュリティの重要性が増すと考えられます。
そんな中で、システム開発においてセキュリティのレベルと言うのは、企業によって異なります。
専門的な知識や経験を持った上で開発するのか、それとも実務経験が少ない若手が開発するのか。
これだけでも、セキュリティレベルは大きく異なります。
AMELAでは、オフショア開発により、海外の技術レベルが高いエンジニアをプロジェクトに参画させることが可能です。
国内のIT人材不足が叫ばれる昨今、より高いレベルでの開発をするなら、是非AMELAにご相談下さい。