キヤノンMJ/サイバーセキュリティ情報局
成長するサイバーセキュリティ業界におけるキャリアパスの選び方
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「サイバーセキュリティ業界でのキャリアの歩み方」を再編集したものです。
脆弱性を調査したり、システムを保護あるいは廃棄したりと、サイバーセキュリティ業界には、さまざまなタイプの仕事がある。自分に合ったキャリアパスは見つかるだろうか?
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
無数に存在するサイバー攻撃の脅威、高いスキルを持つ人材の不足、そして、高額な給与と興味深い仕事内容を考慮すると、サイバーセキュリティ業界でのキャリアは魅力的な選択肢の一つと言える。過去の記事でも、この成長する業界に入るかどうか検討している人に向け、細かい点について解説している。
しかし、キャリアパスを選ぶのは容易ではない。なぜなら、そこには多数の選択肢があり、それぞれで求められる要件やスキルが異なってくるからだ。また、全てのサイバーセキュリティの職種で大学の学位が必要なわけではないことも押さえておきたい。
もし、人気のある情報セキュリティ職に就きたいと思うのであれば、自分の保有スキルと就きたい仕事に求められるスキルを見極めておく必要がある。「マルウェア対策の日」を記念する本記事では、サイバーセキュリティ業界でのキャリアを歩むために必要なステップを紹介する。
システム管理者
システム管理者は、サイバーセキュリティのキャリアに至るまでの足掛かりとなるステップの一つだ。サイバーセキュリティのキャリアプランについて様々な情報を提供するWebサイト「CyberSeek」では、システム管理者はネットワークに関する基礎的な職種に分類されている。つまり、システム管理者は厳密にはサイバーセキュリティの専門職ではない。しかし、その職務を全うするには、サイバーセキュリティについて相応の知識が求められるのも事実だ。システム管理者に向けた10個の行動規範では、サイバーセキュリティがいかにその業務に関わるかを示している。また、CyberSeekでは、大学の学位は前提ではないものの、ネットワーク管理の学士号が推奨されるとしている。学位ではないが、そのキャリアを志す人には、著名な組織から発行される様々な認定資格を取得する方法もある。
システム管理者は多くの企業にとって必要不可欠な存在だ。システムの設定・維持・運用やサーバーのセキュリティ対策、そして、他の従業員に対するサポートやトラブルシューティングを行っている。システム管理者になりたいのであれば、必要な能力としてLinuxや主要なネットワーク機器の知識、ネットワーク管理、技術サポートの知識が挙げられる。そして、そこからサイバーセキュリティの道へ進むのなら、情報セキュリティ、システム管理、ネットワーク・セキュリティ、セキュリティ運用をスキルに加えることだ。cyber.orgのデータによると、米国におけるシステム管理者の平均給与は約6万2,000ドルと推定されている。
インシデント・レスポンダー
インシデント・レスポンダーは、サイバー攻撃やインシデントの調査・分析を担当する。ただし、受動的な対応だけではなく、能動的にシステムやネットワークへの侵入を監視し、セキュリティ監査を実施して、対応計画の立案も行うことが求められる。さらに、サイバー攻撃が発生した場合に備え、事業継続計画に精通しておく必要もあるだろう。サイバー攻撃が発生すれば、インシデント・レスポンダーは攻撃がどのようにして起きたか、将来に備えて何をすべきかを報告書にまとめる。インシデント・レスポンダーになるのに学位は必要ないが、サイバーセキュリティや情報科学の学位は有利に働くだろう。また、求められる重要なスキルとして、情報セキュリティ、Linuxの知識、ネットワーク・セキュリティ、情報システム、プロジェクトマネジメントなどが挙げられる。この職種はセキュリティ業界では初級レベルに分類されるが、CyberSeekによると、米国における平均給与は約8万5,000ドルとなっている。
サイバーフォレンジック・アナリスト
サイバーフォレンジック・アナリストは、サイバー空間における探偵と言える。様々な情報漏えいやセキュリティ・インシデント、電子機器に保存されたデータの復元や分析、失われたデータを取り出すためのシステム再構築などの職務を担う。また、電子記録が訴訟に用いられるときに、弁護士に意見を述べたり、データの信頼性を評価したりすることで、捜査当局を手助けする役割も期待されている。
サイバーフォレンジック・アナリストになるには、サイバーセキュリティか情報科学に関する学士号が必須となるが、コンピューター・フォレンジックの修士号があればさらに強みとなる。企業から求められるスキルには、コンピューター・フォレンジックの習熟度、情報セキュリティの知識、そして、家電製品やハードディスクを分析できることなどが挙げられる。こちらも初級レベルの職種であるが、米国における給与はかなり高く、平均給与は9万3,000ドルと推定されている。
ペネトレーション・テスター
ペネトレーション・テスターは、悪意のあるハッカーとは真逆の存在だ。ペネトレーション・テスターの役割は、指定されたシステムにアクセスするための脆弱性を見つけ出すことだ。しかし、サイバー犯罪者と大きく異なるのは、(企業の依頼に従って)合法的に作業を行う点であり、企業が修正すべきシステムの弱点や維持すべき強みを特定することだ。これにより、企業はサイバーセキュリティに対し具体的な対策をとれる。
セキュリティ業界では、ペネトレーション・テスターは中級レベルに相当する。彼らは、情報セキュリティに精通し、JavaやPythonといった複数のプログラミング言語を使いこなす。CyberSeekによると、ペネトレーション・テスターの平均給与は、その人の経験や知識に応じて、約10万4,000ドルに達する。なお、脆弱性報奨金制度を副業として利用し、収入を増やすことができ、中には脆弱性調査をフルタイムの仕事として取り組む人もいる。
サイバーセキュリティ・エンジニア
サイバーセキュリティ・エンジニアの仕事を最後に紹介するのは、いくつかあるサイバーセキュリティの職種の中でも最も高度な職種だからだ。この職務には、少なくとも情報科学かサイバーセキュリティの学位が求められ、脅威の検出・分析・保護に関する高いスキルを持ち合わせている必要がある。
また、サイバーセキュリティ・エンジニアは高い技術力だけでなく、創造的な能力も求められる。なぜなら、本番環境におけるセキュリティ問題を解決するためのプロセスを作成する、脆弱性テストを実施する、さらには、インシデントの処理や追跡を助ける自動化スクリプトの開発まで含まれるからだ。また、セキュリティや侵入検知のシステムを設定・導入・運用する職務も担う。これらを遂行するためには、情報セキュリティやネットワーク・セキュリティに精通しているだけでなく、暗号化技術に関する高い実務経験が求められるのだ。米国では平均給与が約9万9,000ドルとなっている。
1つ以上のキャリアパスを選ぶ
サイバーセキュリティの仕事には多くの選択肢があるが、この業界の良い点としては、全ての仕事が何らかの形で相互に関連していることだろう。十分な意欲があるなら、システム管理者の仕事から始めて、自分が目指す職種に就くまでサイバーセキュリティのキャリアを着実に歩んでいけるだろう。
[引用・出典元]
Cybersecurity careers: Which one is right for you? by Amer Owaida 13 Nov 2020 - 11:30 AM
https://www.welivesecurity.com/2020/11/13/cybersecurity-careers-which-one-right-you/