セキュリティエンジニアが教える本当のセキュリティエンジニアとは?【新社会人も必見!】
はじめに
皆さん、スマートフォンやPC、タブレット端末、IoT(Internet of Things)製品など、様々なIT製品が現代社会の生活において、欠かせないものとなっているのは、説明するまでもないかと思います。しかしながら、新しくて便利なIT製品の普及により、皆さんの生活がより良くなる反面、実は目に見えない「リスク」が生じていることにお気づきでしょうか?
まず、インターネットセキュリティにおける根本的な考え方として、「ITが実装された製品を使うということは、ITによる脅威に晒される「リスク」が生じるということ」を理解する必要があります。
例えば、ペットや泥棒を監視するために家庭用の「Webカメラ」を購入したケースを例に挙げます。普通は、説明書に従って、カメラを設定した後、スマホのアプリなどからカメラの映像が確認できれば対応完了とする方が大多数かと思います。パソコンの場合は、ウイルスに感染すると怖いから「ウイルスバスター」などのアンチウイルス製品をインストールする等、ある程度対策を考えるかもしれませんが、「Webカメラ」はPCのように、怪しいサイトを見るわけではないので、ウイルス感染もしないし、コマンド操作もされないので大丈夫だろうと考えたりしているのではないでしょうか?
この言い回しから分かると思いますが、「Webカメラ」はマルウェアに感染しますし、コマンドも処理されます。何より、パスワードをそのままにしていると、攻撃者は容易にWebカメラの映像を見ることができます。また、もしも、この「リスク」を知っていたとしても、「この「Webカメラ」のアクセス先は自分しか知らないはずだし、わざわざ自分のところが狙われるわけ無いだろう」などという考えをしている方がいらっしゃいます。が、「Webカメラ」を一例にすると、全ての攻撃者はわざわざ色んなところにアクセスして調べる必要はありません。なぜなら、どのIPアドレスが「Webカメラ」を使っているのかをまとめているサイトや、パスワードを変更していないWebカメラの映像をリアルタイムで普通に公開しているサイトがインターネット上に存在するからです。
これが、「リスク」に気づいていない例です。つまり、「リスク」を知らないと、何をすればよいのかわからないため、「対策」ができないのです。現代社会において、製品を販売している会社は、基本的にこのような「リスク」を教えてくれません。もし教えると怖くて製品を買ってくれなくなるためです(理由は他にもありますが)。その結果、セキュリティに対する認識が薄れてしまうことになります。
こんなの気づけるわけがない!国民全員にこの「リスク」を理解させるのは無理だ!と思うかと思います。そうです。だからこそ、「セキュリティエンジニア」が必要なのです。
セキュリティエンジニアとは
前述した内容は、個人・法人(会社や組織、政府等のこと)問わず言えます。つまり、個人・法人向けのセキュリティエンジニアが必要となっているわけですが、経済産業省は2020年までに約20万人のセキュリティエンジニアが不足していると公表しています。そのため、各セキュリティベンダや組織は、AIなどの先進技術を駆使して、次世代の監視システムを構築しようとしていますが、現在においては、未だセキュリティエンジニアの代わりにならないというのが実情です。
それでは、本題です。セキュリティエンジニアの必要性はある程度理解できたかと思いますが、実際に「セキュリティエンジニア」は何をする担当者なのでしょうか?
具体的なセキュリティエンジニア例
・セキュリティ製品のサポートセンター
・セキュリティ製品開発に携わるエンジニア
・セキュリティ製品の運用担当者
・セキュリティコンサルタント
・セキュリティサービスベンダ
・SOC(セキュリティオペレーションセンター) ※セキュリティアナリストなど
・CSIRT(Computer Security Incident Response Team)
※引用元:「https://www.nca.gr.jp/activity/imgs/recruit-hr20170313.pdf」 p.6
・・・などが該当します。基本的には、上記CISRTにほとんど含まれています。アウトソーシングする場合もありますが、やっていることはほぼ同じです。
※分かりやすいと思うので、引用させていただきました。
セキュリティエンジニアに求められるもの
セキュリティエンジニアは、一般のIT担当者よりも幅広く、深い知識が求められます。例えば、ネットワーク、プログラミング、OS、セキュリティなど、全ての専門知識が求められます。更に、担当業務によっては、実際のセキュリティ運用経験が必須になりますし、新しい技術の理解についても必須です。こんな人材がたくさん余っているわけないですよね。だからこそ、セキュリティエンジニアが不足しているのです。では、何を学習すれば、セキュリティエンジニアになれるのかという点ですが、筆者の経験をもとにすると、下記のスキルがあれば、ある程度通用するのではないでしょうか。
※資格はあくまでも目安です。分かりやすくするためなので、別に保持したいなくてもよいと思います。
■セキュリティ基礎知識(テクニカル)
- セキュリティに特化したテクニカルなスキルを身に付けるには、以下いずれかの資格を学習すればよいかと思います。セキュリティに対する考え方だけではなく、インシデントハンドリングの基礎知識や、暗号化技術など、セキュリティに特化した技術の理解などが含まれます。
【推奨】
・GIAC (GSEC) ※受験料がかなり高額です。(現在で約21万円くらい)
・情報処理安全確保支援士
・情報セキュリティマネジメント
・Comptia Security+
■セキュリティ基礎知識(マネジメント)
- どちらかというと、経営者層に理解してほしい内容です。そもそも、まずセキュリティに対する知見を持つべきなのは確実に経営者層ですので。理解に乏しい経営者層や上層部が原因で、セキュリティに対する不適切な対応や、遅れが生じることはよくあることだと理解しています。だからこそ、皆さんが理解を深めて教えてあげなければならないのです。
【推奨】
・CISSP
・セキュリティポリシー、リスクマネジメント、多層防御、CIS Critical Security Controls(CSC)・・などなどの理解
・経済産業省 情報セキュリティ政策などの理解
【最低限】
・CISMなど
■プログラミング言語
- プログラミングは、特に「リバースエンジニアリング」で重要です。全ての言語に精通しろとは言いませんが、ある程度プログラムを読み解くスキルは必要です。また、基本的に、何かしらの言語は最低限使えないと調査や分析に限界がありますので、特定の言語でスクリプトが組めるスキルは必要です。
・Python、Javascript、PHP、C、Perl、Java、sql、Shell・・・などなど。
【推奨】
・3つ以上(サーバサイドスクリプト、クライアントサイドスクリプト、DB言語など)
【最低限】
・1つ
■ネットワーク
- ネットワーク技術を知らないと話になりません。TCP/IPなどの基礎知識だけではなく、主要プロトコルの仕様(RFC)や通信制御の技術に関しても、ある程度理解しておくべきです。
【推奨】
・ネットワークスペシャリスト
【最低限】
・CCNAなど
■OS
- そもそも、セキュリティは、仕組みなどを知らないと的確なことは何もできません。その中でも特にOSに関しては、仕組みなどを知っておくべきです。別にすべてを知っておく必要があるとは言いませんが、最低でもWindowsかLinux、仮想化技術の仕組みや、コマンド操作の理解は必須です(サーバが構築できるレベル)。
・Windows、Linux(Cent、Ubuntu、Debian・・など)、OSX、仮想化技術(VMWare、HiperV・・など)
・MCP、LPIC(LinuC)、VCP・・など
■IT経験
- どれだけ机上学習しても、やはり経験で得る知識には勝てませんし、教科書に書いていないことには対応できません。インターネットにも全ての解決策は公開されていませんし、問題が起きた場合に自分自身で解決できるスキルは絶対です。ただ、この経験について、必須とは言いませんが、「経験あり」と「経験無し」では、スキルや信用にとてつもなく大きな差が生じます。しかし、そんなこと言ってしまうと、セキュリティエンジニアになれるのは、かなり制限されてしまいます。そんな時に筆者がお勧めするのが、下記のような対個人向けの仕事です。ITエンジニア向けの仕事が複数あり、また自分が経験したい仕事を選ぶことができます。(当然ですが、お仕事なので、知識無しで出来るものではありません)一応、副業的なものなのですが、お金がもらえますし、何より「経験」を得ることができるのは、大きいと思います。「そもそも、副業禁止なんだけど・・・」という方は、働き方改革による副業促進に伴って就業規則が改善されていませんか?就業規則を今一度見直してみてはどうでしょうか?
【役に立ちそうな経験の例】
・プログラミングでのソフトウェア開発
・サーバ構築・運用経験
・ネットワーク構築・運用経験
・SIer経験
- ■語学スキル
インターネットセキュリティは、グローバルな問題です。そのため、ほとんどの文献が英語で書かれていますし、セキュリティカンファレンスなども、基本的に海外で開催されています。必須ではないですが、世界のセキュリティ動向を把握しておくためにも、確実に英語は使えるようにしておくべきです。
【推奨】
・TOIEC 650点
自己学習や毎月の駅前留学だと続かなかったり、英語を学習する優先度を落としたり、無駄が多いと思うので、お金をかけてでも短期間で集中して学習することをお勧めします。多少なりとも、英語スキルが身に付けておけば、セキュリティをやっているうちに勝手に向上するはずです。一応補足ですが、海外で働くセキュリティエンジニアの年収は、1000万を超えるらしいですね。どこまでのスキルを求めるかは、読者の方次第です。
今回はここまで
皆さんいかがでしたでしょうか?セキュリティエンジニアに関して、少しは疑問点が解消できたでしょうか?
正直書くことが多すぎて長くなりそうだったので、最低限の情報までしかご紹介できませんでしたが、また次の機会で様々なことに触れてみたいと思います。
ここまで読んでいただいてありがとうございました♪