EN

NRIセキュア ブログ

今、アプリケーションエンジニアがセキュリティエンジニアを目指すべき理由

目次

     

     

    少し前にフルスタックエンジニアという言葉が流行ったかと思いますが、近年セキュリティエンジニアがIT業界では注目を浴びています。

     

    しかしながら、普段業務システムの開発やコンシューマー向けWEBアプリケーションの開発をしているアプリケーションエンジニアの方にとっては、セキュリティエンジニアがどんな業務をしているか知らなかったり、目指したいけど業務でセキュリティに関わった経験がないことから、諦めている方が多くいるかと思います。

     

    私も、以前はアプリケーションエンジニアとして働いていましたが、その時は、セキュリティエンジニアがやっている業務を想像ができなかったし、専門性が高く・ギークで・雲の上の存在のエンジニアであるかと思っていましたが、IT業界の時流に乗り、ここ数年はセキュリティエンジニアとして仕事ができています。

     

    そこで本記事では、今、アプリケーションエンジニアがセキュリティエンジニアを目指すべき理由について、ご紹介してみたいと思います。

     

    グローバルなセキュリティ資格CISSP取得のためのガイドブック

    そもそも、セキュリティエンジニアの業務とは?

    当社のようにセキュリティを専業にしているベンダーのセキュリティ業務には、大きくコンサルとエンジニアの2つの職種がございます。

     

    初めに、セキュリティコンサルの仕事ですが、お客様のセキュリティ戦略・ポリシー・規定策定、CSIRT構築支援、PCI DSSなどのセキュリティ認証取得等をお手伝いするお仕事になります。以下、当社のセキュリティコンサルティングのサービスをご参考にお仕事を想像してみて頂けたらと思います。

     

    ※ご参考:NRIセキュア コンサルティングサービス

    https://www.nri-secure.co.jp/service/consulting/

     

    本題のセキュリティエンジニアの仕事ですが、知らない方からすると漠然とドラマや映画でよく見るハッカーみたいな人を想像する人もいるかと思いますが、同じハッカーでも、悪意を持つハッカーからの攻撃を防いだりする活動を行うホワイトハッカーであり、弊社では大きく次の3つの業務をセキュリティエンジニアの業務としています。

     

    SnapCrab_NoName_2019-1-8_9-52-27_No-00

     

    ※セキュリティの職種は、組織により定義が異なり、アナリスト/ペネトレーションテスター/インシデントハンドラー等聞き慣れない職種もございます。ここでは、セキュリティ業界未経験の方にも分かりやすいよう、職種をエンジニア/コンサルの2つに分け、さらに、エンジニアを開発系/運用系/診断系の3つに分けて説明します。

     

    以下、3つのセキュリティエンジニアの業務の詳細になります。

    ①開発系業務

    情報セキュリティ対策製品・サービス等の設計/開発業務になります。

     

    高度化・巧妙化するサイバー攻撃、無くなることのない情報漏洩事故、新たに発見される脆弱性などセキュリティリスクはますます増大していて、それに対抗すべくセキュリティ対策ソリューションの技術も日々進歩しています。

     

    当社でも、以下のように幅広くセキュリティ対策製品・サービスを取り扱っていますが、このような情報セキュリティ対策ソリューションを開発する仕事がセキュリティエンジニアの開発系業務となります。

     

    ※ご参考:NRIセキュア セキュリティソリューション
    https://www.nri-secure.co.jp/service/solution/

    ②運用系業務

    監視・インシデント対応等のサービス提供に関する業務になります。

     

    昼夜問わず世界中から仕掛けられるサイバー攻撃は日々高度化しています。今後、IoTの普及とともに電力や交通などの社会インフラや自動車がサイバー攻撃のターゲットとなるなか、最新の技術と豊富な経験、ノウハウで対抗しなければなりません。

     

    しかしながら、最新のセキュリティデバイスを導入するだけでは解決にならず、それらをいかに運用・監視していくか、その質や、体制、負荷が課題となります。

     

    当社では、さまざまなセキュリティデバイスの導入・運用を支援するとともに、東京・横浜・北米などの各拠点から、約80人のアナリストが24時間365日交代でこれらのセキュリティ監視やログ解析を行っていますが、このような業務がセキュリティエンジニアの運用系業務となります。

     

    ※ご参考:NRIセキュア セキュリティ監視・SOC(SecurePROtechtサービス)

    https://www.nri-secure.co.jp/service/mss/

    ③診断系業務

    セキュリティの脆弱性を診断する業務になります。

     

    高度化し続けるサイバー攻撃に対抗するためには、常に最新の攻撃手法を監視し対応策を開発し続ける専門家に任せる必要があります。組織内の関係者やシステムの開発依頼先とは独立した第三者による診断は、客観的に問題が指摘され、外部監査の報告としても有効です。

     

    当社では、以下のようなセキュリティ診断サービスを、グローバルかつ高度な研修・トレーニングを修了するとともに、各国のセキュリティ資格を保有し、豊富な診断経験・スキルを持ち合わせた人材が行っていますが、このような業務をするのがセキュリティエンジニアの診断業務になります。

     

    ※ご参考:NRIセキュア セキュリティ診断・ペネトレーションテストサービス

    https://www.nri-secure.co.jp/service/assessment/

    セキュリティエンジニアを目指すべき理由

    セキュリティエンジニアの業務が分かったところで、ではなぜ、今アプリケーションエンジニアがセキュリティエンジニアを目指すべき理由なのか解説していきます。

    理由1:セキュリティ人材の需要が増加中↑である

    年々高度化する脅威や攻撃に対し、それらに対応できるような人材が多くの企業では不足してきています。特に日本企業は、海外企業と比べ圧倒的にセキュリティ人材の不足を訴えていて、当社が実施した調査結果レポート「NRI Secure Insight 2018」では、実に、日本企業の86.9%がセキュリティ人材不足していると回答しているのです。

     

    jinzai

    人手不足ということは、同時にセキュリティ人材の需要がそれだけ増加しているということでもあり、希少価値が高く・職に困らないエンジニアとしてのキャリアを積むことができるようになります。

    理由2:アプリケーションエンジニアの経験が生かせる

    二つ目の目指す理由ですが、アプリケーションエンジニアの経験で得られるアプリ開発のスキル/基盤のスキルの2つのスキルが、セキュリティエンジニアをする上でスキルの土台となって活かせるからになります。どのようにスキルが生かせるかについて、以下、解説していきます。

     

    SnapCrab_NoName_2019-1-7_20-9-18_No-00

    ①アプリ開発のスキル

    企画・設計・実装・テストといった開発の進め方は、業務システムやコンシューマー向けWEBアプリケーションから、セキュリティ対策製品のアプリ開発になったところで全く変わりありません。そのため、これまでアプリケーションエンジニアとして経験したアプリ開発のスキルは、セキュリティエンジニアの「開発系業務」で全て役立たせることができます。

     

    逆に、セキュリティスキルが必要になるのは、どのようなセキュリティの脅威・ニーズがあり、それをどのようにアプリケーションで対策するかを検討する企画段階で必要になってきます。また、OpenIDなどのプロトコルやAPI認証等のセキュリティと密接に関わる技術知識が設計段階では必要になってきます。

    そのため、アプリ開発で培った企画・設計・実装・テストのスキルに、このようなセキュリティ知識を実務や研修を通して学習しさえすれば、情報セキュリティ対策製品・サービス等の開発業務でより一層活躍できるようになります。

     

    このアプリ開発のスキルですが、開発系業務だけでなく「診断系業務」でも生かすことが可能です。

    アプリ開発未経験者は、どこにセキュリティの脆弱性が入りこみやすいかを、想像することは難しいですが、アプリケーションエンジニアの経験者は、体系的には分かっていないものの、様々なアプリケーションを開発して、毎回セキュリティテストを受けて、それを修正していることを繰り返していく内に、脆弱性が入る勘所が徐々に蓄積されてくるかと思います。

     

    そのため、アプリケーションエンジニアの経験を土台にセキュリティの知識を外部の高度な研修等を通して体系的に学び、加えて、最新の脆弱性を押さえてさえいけば、診断系業務も未経験者に比べて、時間がかからずにできるようになります。

     

    ②基盤のスキル

    企業によっては、アプリケーションエンジニア/インフラエンジニアが分かれていて、アプリケーションエンジニアが基盤のスキルを磨くのが難しい場合もありますが、近年ではAWSを始めとしたインフラを容易に構築できるIaaS/PaaSのクラウドサービスや、そもそもインフラ構築が不要なSaaSのクラウドサービスがでてきたことを背景に、エンジニアが担当する領域にアプリ/基盤の境界がなくなり、アプリケーションエンジニアが基盤のスキルを磨ける機会は増えてきているように感じます。

     

    基盤のスキルをどのように生かせるかという点ですが、こちらは「運用系業務」で生かすことが可能です。運用系業務では、ログ解析基盤であるSIEMWAF等のセキュリティ脅威対策製品などのミドルウェアを構築して、それを上手く使いこなし、自動化運用していくことがSOC等の運用系業務では肝になってきます。

     

    アプリケーションエンジニアでも、ミドルウエアの構築・運用はWeb/DBをはじめとして、年数が経つごとに監視・ジョブ運用等の様々なミドルウェアを容易に使えるクラウドサービスを取っ掛かりに活用する経験を積んでいくかと思います。アプリケーション開発・運用で利用するミドルウェアを構築・運用した経験さえあれば、セキュリティ運用業務で使うSIEMやWAF等のミドルウェアの知識を学ぶのはそれほど難しいことではなく、時間がかからずにできるようになるかと思います。

    おわりに

    アプリケーションエンジニアが、セキュリティエンジニアを今目指すべき理由が少しは分かって頂けたかと思います。業務システムやコンシューマー向けWEBアプリケーションの開発にマンネリしているアプリケーションエンジニアの方は、「世の中に求められていて、これまでの経験が生かせる」希少価値の高いセキュリティエンジニアを、目指してみるのはいかがでしょうか。

     

    弊社でも、セキュリティエンジニアを募集しています。ぜひ、ご検討して頂ければと思います。

     

    ※ご参考:NRIセキュア中途採用サイト

    https://www.nri-secure.co.jp/career/

     

    グローバルなセキュリティ資格「CISSP」取得のためのガイドブック