セキュリティエンジニアの仕事に興味がありますか?
セキュリティエンジニアの仕事は、ITインフラにおいてサーバーの構築や運用・保守を専門とし、セキュリティに配慮したネットワークやシステムの設計および運用と、外部からのサイバー攻撃を防ぐための調査や対策などを行います。特に、個人情報を扱う機関や企業、そして国家の機密保持において最重要項目の一つと言っても過言ではありません。サイバーセキュリティは今や、私たちの生活になくてはならない存在であり、それを支えるセキュリティエンジニアへの需要が世界的に高まっています。
日本の各大学でもサイバーセキュリティの分野を含む情報系学科や学部を志望する学生が増加しており、仕事としても日本の平均給与より高くなる傾向にあります。
「セキュリティエンジニアになるにはどうしたらいいの?」
「何となく最新のサイバーセキュリティに興味があるけど、仕事内容を具体的に知りたい」
「セキュリティエンジニアの仕事内容は、激務なのではないかと不安」
ExpressVPNでは、このような疑問にお答えすべく、ExpressVPNの優秀なセキュリティエンジニアのLeeさんに、サイバーセキュリティの専門家として仕事をするとはどういうことなのか、インタビューしました。
VPNはサイバーセキュリティにおいて欠かせないツールであり、VPN業界をリードする弊社のセキュリティエンジニアは世界中から集まったエキスパートです。
弊社のエンジニアの1日の仕事内容や、何を勉強してどのような資格をもち、どのような経緯でエンジニアになったのか、そしてこれからサイバーセキュリティの新しいスキルを身につけたい方に向けてのメッセージを掲載しています。ぜひインタビューの内容を参考にしてみてください。
セキュリティエンジニアにインタビュー
Lee さんに聞きました
セキュリティエンジニアの仕事内容
仕事でのタスクの例を教えてください。
Lee:主に以下3つのタスクがあります。
- 社内教育を通じた全社的なセキュリティ態勢の強化
- 全社員に向けて、優れたセキュリティとは何かについて認識を広める取り組みをします。例えば、強固なパスワードを設定する、同じパスワードを再利用しない、知らない送信者からのメールを開くときは慎重になる、などのアクションをとってもらい、万全のセキュリティ態勢が整うようにします。そして、セキュリティの重要性と安全に保つ方法を理解してもらうためには、例外なくすべての社員を教育する必要があり、役割によって教育内容も異なります。例えば、私たちのウェブサイトに関わる社員は、サイトを安全に設定、維持、管理する方法を知っておく必要があります。
- 脆弱性を発見するためのセキュリティツールの導入
- 例えば、弊社のウェブサイトでは、サイトが脆弱であるかどうか、誰かが攻撃できるかどうかといった、コンプライアンスに準拠しているかを判断し、脆弱性を発見するためのツールを設置しています。脆弱性を発見することで、開発者は次に何をすれば、より安全なウェブサイトを構築できるかがわかるようになります。
- セキュリティレビュー
- 例えば、第三者機関を採用しようとするとき、その会社がどのようにサーバーを保護しているかなど、セキュリティ態勢が整っているか背景をチェックします。重要なデータを預けるわけですから、セキュリティの審査は重要です。一例を上げるとしたら、人事ツール会社を利用する場合、私たち従業員のデータを渡すことになるので、情報が安全に保管されていることを確認する必要があります。
セキュリティエンジニアの典型的な1日の仕事にはどのようなものがありますか?
Lee:私たちは数多くのプロジェクトに取り組んでいます。中には他のチームとの共同作業もありますが、多くの時間は、これまで手作業で行っていたセキュリティに関する作業の自動化に取り組んでいます。自動化によって効率や効果を高め、将来的にコストを削減することができます。それと並行して、他チームや第三機関からの問い合わせ対応やコーチング、コードレビューなどを行っていきます。
サイバーセキュリティの基本
サイバー攻撃とは何か、どのように防ぐのか、簡単に例を挙げて説明してください。
Lee:サイバー攻撃とは何かを説明するために、家屋への侵入を例にとって説明してみましょう。犯人は、ある家に侵入したいので、すべてのドアや窓を押してみます。ドアの隙間から、鍵をかけるためのチェーンが見えるかもしれません。 鍵のかかっていないドアや窓を利用して、うまく鍵を開けて侵入することができれば、犯人は家屋の弱点を突いたことになり、侵入者としての目的を達成することができます。攻撃を防ぐためには、毎日すべてのドアが閉まっていることを確認し、もし鍵がかかっていなければ、家の中にいる人に「鍵をかけ忘れていますよ」と知らせます。私たちの仕事は、これを自動的に行うツールを設定し、家の中を監視することです。
鍵がかかっているかを確認するために実際にホームページを攻撃することはありますか?攻撃されるとどうなるのでしょうか?
Lee:セキュリティチームの中に、オフェンシブセキュリティ (Offensive Security) といわれるチームあり、彼らは敵に発見される前に脆弱性を見つける方法として、実際に自分たちのウェブサイトを攻撃することがあります。これは一般的に「侵入テスト (Penetration Testing) 」と呼ばれています。私自身は、セキュリティエンジニアリングチームに所属しており、侵入テストには直接関与していませんが、代わりに自動化されたツールをセットアップして、ウェブサイトに脆弱性がないか継続的に監視しています。
私たちが攻撃されているとき、SOC(セキュリティオペレーションセンター)チームは通常、最初の防衛線になります。残念ながら皆さんがテレビや映画から思い浮かべるハッカーやプログラマーのようなドラマチックな展開ではありません(笑)。SOCチームが行うのは、IR(インシデントレスポンス)と呼ばれる調査プロセスで、ウェブサイトチームと協力して、誰が攻撃しているのか、その目的は何か、攻撃者はどこまで到達したのか、被害やデータの喪失はないか、などを調べます。そして、その攻撃に対して適切な対処を行います。
ExpressVPNのセキュリティは頑丈であり、脆弱性を見つけ攻撃することは労力必要とする為、実際に私たちが外部からの攻撃を受けることは殆どありません。多くの場合は、メールやLinkedinなどを介して偽装URLを送り、クリックすると個人情報が盗まれるようなフィッシング詐欺です。私たちは、全従業員がフィッシング詐欺を受け取った際にすぐに発見し、セキュリティチームに報告できるようにするための意識向上トレーニングを実施しており、発見した場合はSOCチームがこれらのメールをブロックまたは削除して、さらなる拡散を防止できるようにしています。
サイバーセキュリティはなぜ重要なのでしょうか?
Lee:あらゆるものがデジタル化する中で、盗難もデジタル化に向かっています。多くの人は気づいていませんが、私たちは毎日スマホを使って決済やメッセージの送信を行うなど、大切な個人情報がスマホにはいっており、その結果、攻撃の窓口もグローバル化しています。再度、家屋の例で考えてみましょう。通常、家屋を攻撃するには、犯人はあなたの家の近くにいなければなりません。しかし、今はオンライン上に家があるようなものですので、世界のどこからでもあなたの家にアクセスできます。怖いですよね?現代社会はすべてがオンラインで進行しており、私たちはその利便性を求めているのです。だからこそ、サイバーセキュリティが重要なのです。
サイバーセキュリティがない場合、私たちの日常生活やビジネスに最も直接的な影響を及ぼすのは何だと思いますか?
Lee:セキュリティなしのオンラインの家は、警察や警備員がおらず、警報機もないのと同じ状態です。誰でもやって来て、あなたの資産を奪うことができ、個人や企業に損害を与えることができます。より良いセキュリティに取り組んでいる企業は多くありますが、サイバーセキュリティに対する個人の意識も重要です。自分の家がオンラインであることと、そのリスクを理解することで、セキュリティを確保するために何をすべきかを知ることができます。
セキュリティエンジニアの仕事に必要な資格やスキル
どのようにExpressVPNでのサイバーセキュリティの仕事にたどり着いたのでしょうか?何を勉強しましたか?
Lee:私は、セキュリティ業界の出身でもなければ、セキュリティに関する大学を卒業しているわけでもありません。セキュリティは非常に幅が広く、日々変化しているため特に必要なスキルはありませんし、5年前に使っていた技術はもう今は通用しません。知識の学び方を学ぶことは、単に知識を持つことよりも重要です。知識や情報の学び方を学べば、どんな状況にも自分を適応させることができます。家のドアを守る方法だけを学んでも、将来ドアの形が違っていたり、ドアがながない家だったりする可能性もあります。家ごと、会社ごとに状況が違うように、セキュリティの方法も家ごとに異なります。新しいセキュリティの知識を身につける方法を知っていれば、常に状況を把握し、理解することができるのです。
セキュリティエンジニアに必要な資格はありますか?
Lee:これは企業のニーズによって異なり、時間の経過とともに変化もします。ExpressVPNでは、一般的なセキュリティの知識に加えて、スクリプトやAWSなどのパブリッククラウドの経験があり、ネットワークの概念を理解している人材を希望しています。OSCPなどのセキュリティ資格は必須ではありませんが、この資格はセキュリティに関する知識を証明するのには役立ちます。
サイバーセキュリティに関する法律は国によって異なりますか?
Lee:私の仕事に関して言えばどの国も一緒だと思います。監査やコンプライアンスについては、国や業界によって異なるので、そうかもしれません。
関連した職務経験がなくても、サイバーセキュリティの仕事に就くことは可能ですか?
Lee:可能です。私はソフトウェア、DevOpsエンジニアからセキュリティに転職しました。好奇心旺盛なマインドセットを持つことが重要だと思います。私自身は、常に物事がどのように動くのか、どうすれば問題を適切に解決できるのかに興味をもっています。先ほども言ったように、(ソフトウェアエンジニアになるためにも)私はコースやクラス受けずに、ほとんどのことを独学で学びました。しかし、特定の資格を条件とする企業もあります。ExpressVPNのエンジニアの一人には、以前は弁護士でしたが、セキュリティに関するオンラインコースを受講してキャリアを変更した人もいます。問題を解決するには、さまざまなアプローチを試してみる必要があるため、レジリエンス(回復力、困難な状況でもすぐに立ち直る力)や、細かいところにまで注意を払う能力も大切です。セキュリティやエンジニアリングのバックグラウンドがまったくない場合は、関連したクラスを受講するのもいいでしょうし、まずはソフトウェアエンジニアリングの仕事に就いたり、同様の経験を積んでからセキュリティに進むのもいいと思います。
セキュリティエンジニアの仕事のやりがい
仕事で一番楽しいことは何ですか?
Lee:セキュリティの問題を自動化とエンジニアリングで解決することです。きちんと自動化が作動しているのをみるのは、ロボットを組み立ててちゃんと動いているところを見た時のようなやりがいがあります。また、セキュリティは会社全体を守っているようでかっこいいと思っています!
仕事で一番大変なことは何ですか?
Lee:会社やさまざまなチーム全体でセキュリティ標準を設定することです。全員と話し合い、全員にとって最適な方法を見つける必要があります。幸いなことに、私たちの会社ではそうではありませんが、多くの企業では、セキュリティ部門は他の部署から敬遠される傾向にあります。何をすべきか、何をすべきでないかを人々に伝える必要があるからです。
これからのセキュリティエンジニア
サイバーセキュリティ業界の今後について、どのように考えていますか?
Lee:サイバーセキュリティはすでに日常生活の一部になっているので、今後さらに重要視されていくと思います。 ほとんどの人がスマホを持っていますし、企業も今はPCがないと成り立たないので、安全に過ごすためにサイバーセキュリティとその理解も必要になるでしょう。
また、サイバーセキュリティの仕事も事件も増えていくと思います。近年、企業はサイバーセキュリティの重要性を理解するようになり、セキュリティに多くの予算を割くようになったと思います。以前は、ほとんどの企業がまず製品やウェブサイトを作り、それからサイバーセキュリティを考えていました。IT業界では、製品やウェブサイトを作る前に、最初からセキュリティをチェックする、シフトレフトという動きがあります。
サイバーセキュリティの仕事に興味がある人にアドバイスはありますか?仕事を薦めますか?
Lee:もちろん!とてもホットな業界ですからね。
興味がある人は、セキュリティに対する好奇心や意識を持つこと、CTF(キャプチャー・ザ・フラッグ*)に参加することなどをオススメします。
CTFは、サイバーセキュリティ企業や個人によってオーガナイズされるゲームです。セキュリティのスキルを磨くための訓練であり、私たちもサイバーセキュリティチームとして複数のCTFに参加しています。picoCTFやHackTheBoxなど、誰でも参加できる国際的なCTFもあります。CTFは、エンジニアリングについて全く分からない人でも、サイバーセキュリティを理解する入口になると思います。CTFが得意ならセキュリティの仕事に就職できるとは言いませんが、面接をパスするために必要となるセキュリティの概念を多く理解しているということになるでしょう。
*キャプチャー・ザ・フラッグ (Capture the Flag, CTF)とは、コンピュータセキュリティにおいて、意図的に脆弱なプログラムやウェブサイトに「旗」を密かに隠して行う演習のこと。競技用と教育用がある。(出典:ウィキペディア)
日本では、セキュリティエンジニアの仕事は大変な仕事だと思われていますが、それは本当だと思いますか?
Lee:会社によります。私も以前は残業が必要な会社に勤めていましたが、ExpressVPNでは社員を大切にしているので、仕事のバランスが取れていますよ。
ExpressVPNではじめるサイバーセキュリティ
ユーザーのプライバシーを第一に考えるExpressVPNにとって、サイバーセキュリティほど重要なことはありません。弊社は、オンラインでの自由な活動とプライバシー保護を提唱し、毎年、学生に奨学金プログラムを用意するなど、将来のデジタルプライバシーの発展に貢献するさまざまな取り組みを行っています。
弊社はプロダクトにおいても、業界を牽引しています。優秀なエンジニアが開発した弊社のVPNは超高速かつ、高度な暗号化でユーザーに高い匿名性を提供します。今後VPNユーザーは世界的に増えていくと予想されており、VPNは今後デジタルライフに欠かせないものになっていくでしょう。
まだVPNを試したことがない方も、既に利用されている方も、最高のVPNでサイバーセキュリティ対策をはじめてみませんか。
ExpressVPNでは、30日間の全額返金保証をご用意しています。まずはお試しください。