セキュリティアナリストになるには?仕事内容や給料・必要な資格まとめ

現在、多くのシステムが企業に導入され、誰しもがITを活用して仕事をする様な時代になりました。

そしてIoTのように、これまではネットに繋がらなかった機器も、ネットに接続できるような時代になりつつあります。

この時代において重要な仕事の一つに
「セキュリティアナリスト」
というものがあります。

今回はこのセキュリティアナリストについてお話していきます。

セキュリティアナリストとは

まずは、セキュリティアナリストという仕事について説明します。

セキュリティアナリストの仕事内容

セキュリティアナリストの仕事内容は、
「セキュリティの専門家としての知見を持ち、サイバー攻撃に対する攻撃手法の分析や対応をする」
というものです。

冒頭でもお話したように、現代は多くの機器がネットに接続しています。

ということは、それだけ多くのサイバー攻撃対象があると考えられます。

また、企業において重要な情報の多くが、クラウドサービスなどを利用して、ネット上で保管されています。

もしもサイバー攻撃を受けて情報が漏洩してしまえば、ビジネスの存続が難しくなるケースもあり、セキュリティアナリストは、非常に重要な仕事と言えます。

企業により求められる仕事内容には差がありますが、下記の様な内容もセキュリティアナリストの仕事と考えられます。

セキュリティリスクの評価:現状のセキュリティの状況の把握や、脆弱性などを評価します。

セキュリティポリシーの策定:企業において「どの様にセキュリティを考えるのか」をルール化し、実際にユーザーが利用できるようトレーニングなどを行います。

インシデント対応:実際にサイバー攻撃を受けた際に、異常検知をしたり、復旧作業などを行います。

セキュリティアーキテクチャの設計:どこをどの様に監視するのかや、アクセス管理・認証管理などを設計します。

セキュリティ意識の向上:実際にユーザーに対してトレーニングなどで、意識を変えていく様にトレーニングをします。

セキュリティアナリストが対応すべきセキュリティリスクの種類

セキュリティアナリストが対応すべきセキュリティリスクには、いくつかの種類があります。

これも仕事内容と同様に、企業によって異なりますが、一般的には下記のような物に対応するべきでしょう。

マルウェア攻撃:ウイルス、トロイの木馬、スパイウェア、ランサムウェアなど、悪意のあるプログラムが組織の情報システムに侵入することによる攻撃。

フィッシング攻撃:偽のWebサイト、偽のメールなどを使用して、社員がパスワードや機密情報などの個人情報を漏洩させるように仕向ける攻撃。

DoS/DDoS攻撃:サービスを拒否するために、一時的または永続的に組織のサーバーに大量のトラフィックを送信する攻撃。

SQLインジェクション攻撃:Webアプリケーションを攻撃して、データベース内のデータを取得する攻撃。

パスワード攻撃:暗号化されたパスワードを破り、情報システムにアクセスするために使用する攻撃。

ネットワークの不正アクセス:不正な手段でネットワークにアクセスし、機密情報を入手する攻撃。

ファイル共有のセキュリティ:ファイル共有サービスを介して、不正に機密情報を入手する攻撃。

デバイスの紛失または盗難:スマートフォン、タブレット、ラップトップなどのデバイスを紛失または盗難された場合、機密情報が漏洩する可能性があります。

セキュリティポリシー違反:社員が、社内規則に違反して、機密情報を外部に漏洩させるなどの行動を取る場合。

セキュリティアナリストになるには

では、具体的にセキュリティアナリストとして就職することに関する内容に触れていきましょう。

給料

給料としては、大手のIT求人を見ていくと、800~900万円程度の求人が多いです。

中には、1000万円を超える様な求人も存在します。

IT業界と一言で括っても、その内容や給料は様々ですが、セキュリティアナリストはその中でも比較的給料の高い仕事と言えます。

因みに、一般的に開発などを行うシステムエンジニアは、平均が450万円前後と言われる事が多いため、セキュリティアナリストの給料の高さが伺えます。

その理由としては、セキュリティに関するリスクが増え、且つ企業が重要な情報を多く保有することに加えて、セキュリティアナリストという仕事自体が、広く浸透しておらず、人材が少ないことも影響しているでしょう。

必要な資格

セキュリティアナリストになるために、必ず必要な資格というものはありません。

セキュリティ関連の実務経験や、特定の業務範囲に関する知識だけが、募集の必須要件になっている事もあります。

一方で、業務を行う中で必要と考えられる資格としては、次のような物が考えられます。

CISSP(Certified Information Systems Security Professional)
CEH(Certified Ethical Hacker)
CISA(Certified Information Systems Auditor)
CISM(Certified Information Security Manager)
CompTIA Security+
GIAC Certified Incident Handler(GCIH)
GIAC Penetration Tester(GPEN)
GIAC Certified Intrusion Analyst(GCIA)
GIAC Certified Forensic Analyst(GCFA)
Offensive Security Certified Professional(OSCP)

取れる範囲から徐々に取得していくか、もしくは就職したい企業が必要としているものから優先的に取得していくのが望ましいでしょう。

必要なスキル

次に、必要なスキルです。

単にセキュリティに関する知識だけでは、セキュリティアナリストは務まりません。

例えば、プログラミングスキル。

プログラムの脆弱性を考慮した上で分析や対応を行う必要があります。

そうなると、プログラミングスキルも重要になります。

また、場合によっては、社内で内製しているシステムに対して
「分析に必要な情報をログとして出力する機能追加」
を依頼する可能性もあるでしょう。

それらを考えると、システムの設計に関する知識やネットワークに関する知見、他にもコミュニケーションスキルなどが必要と考えられます。

セキュリティアナリストとしてキャリアを積む方法

次に、セキュリティアナリストとしてキャリアを積むための方法を説明します。

直接セキュリティアナリストに就職

1つめの方法としては、直接セキュリティアナリスト職につくケースです。

求人の中には、「未経験歓迎」のような求人があります。

また、新卒/第二新卒での求人も存在します。

ただ、数としては非常に少なく、狭き門と言えそうです。

<h3>セキュリティ関連の実務経験を積む

次に、セキュリティ関連の業務経験を付けてから転職をする方法です。

多くのセキュリティアナリストの求人において
「セキュリティ関連の実務経験2年以上」
のような応募資格があります。

この条件を満たすために、セキュリティ関連の実務経験を積んでから転職をしていきます。

セキュリティ関連の職種としては、次のような物があります。
・セキュリティコンサルタント
・セキュリティエンジニア
・セキュリティオペレーター
・セキュリティアーキテクト
・セキュリティマネージャー
・セキュリティオフィサー
・セキュリティプログラマー
・セキュリティテスター
・セキュリティトレーナー
・セキュリティリサーチャー
・セキュリティデータサイエンティスト
・ペネトレーションテスター
・フォレンジックアナリスト
・セキュリティプランナー
・セキュリティアドバイザー
・セキュリティアジャイルコーチ
・セキュリティオペレーションセンター(SOC)アナリスト
・デジタルフォレンジックアナリスト
・サイバーセキュリティアナリスト

セキュリティ関連の職種の中で、就業のハードルが低そうな部分から就職を考えてみるのも良いでしょう。

IT企業内での部署異動

次に、IT企業への就職から、部署異動を希望するパターンです。

自社にセキュリティアナリストの部署があればその部署に異動を希望し、そうでない場合には、セキュリティ関連の業務に異動を希望します。

そのためには、ある程度の規模のIT企業に就職する必要性がありますが、プログラマーやオペレーターなどは、未経験募集をしている企業も多いため、一度IT業界へ就職してからの職種変更を考えましょう。

プログラマーとして活躍してからの転職

前述したように、セキュリティアナリストにおいて、開発経験は重要です。

システムの脆弱性についての知見を現場で学べるため、プログラマーやシステムエンジニアを一旦目指す方法もあります。

求人の中には、
「セキュリティ関連の実務経験は不問。開発経験が必須」
というものもあります。

これらの求人を視野に入れた上で、開発経験を積むのもありでしょう。

セキュリティアナリストとして働くメリット・デメリット

次に、セキュリティアナリストという仕事をすることのメリット・デメリットを見ていきましょう。

メリット

メリットとしては、大きく3つあります。

1つめは、今後需要が高まる事が予想される点。

セキュリティは、インターネットにシステムが繋がることや、人が利用することで様々なリスクが生まれます。

今後、IT技術が進歩すれば、それに合わせた対応が必要で、需要はどんどんと高まる可能性があります。

2つめは、収入が高いこと。

前述したように、一般的なIT職と比較しても、かなり収入が高いです。

3つめは、グローバルなキャリアを目指せることです。

セキュリティは、日本だけの問題ではなく、世界中で必要とされます。

そのため、人によっては海外での就職など、グローバルなキャリアを目指せることがメリットとなります。

デメリット

次に、デメリットです。

1つめは、ストレスの多さです。

セキュリティアナリストは、常に危険に晒される企業のIT環境を整備・監視・対応する必要があります。

また、仕事内容としても、攻撃された場合には緊急性が非常に高く、場合によっては夜間勤務なども必要になるでしょう。

このような環境で働くことにストレスを感じるひとも多いでしょう。

また、企業全体に影響を及ぼす危険性があることからも、責任の重さがストレスに感じる人も多いです。

2つめは、技術進歩が早い点。

IT業界は常に勉強が必要と言われます。

その中でも、セキュリティは常に攻撃者とのイタチごっこです。

攻撃者は自分の利益のために、常に脆弱性やシステムの穴を探しています。

それも、1人(1組織)から狙われるのではなく、不特定多数の攻撃者から狙われています。

このような状況の中では、常に最新の情報や技術が必要なため、非常に難しい仕事と言えます。

3つめは、幅広い知識が必要なことです。

攻撃する側は、穴を1つ見つければ、それで攻撃が可能になります。

一方で、守る側は様々な要因を考えた上で、事前に出来る準備をしていきます。

どうしても、守る側の方が、後手に回る可能性が高く、また広い範囲を守る必要があります。

そのため、一般的な開発業務などに比べても、勉強する範囲が非常に広いというデメリットがあります。

システムの見直しはAMELAに

今回は、セキュリティアナリストについて見てきました。

今後も非常に重要視される職業であると言えます。

現在、多くの企業ではシステム導入がされていますが、古いシステムには脆弱性が残っている可能性も十分に考えられます。

ある程度古くなったシステムは、作り直すか、脆弱性が無いかを調査するなどの対応をおすすめします。

AMELAには、専任のITコンサルタントも在籍しており、セキュリティ関連の内容に関してもご相談頂ければと思います。

監視システムの導入や、独自の運用保守用の仕組みの開発など、最適なご提案を致します。