セキュリティエンジニアの知識地図

セキュリティエンジニアの知識地図

2026, Jan 11    

貴方はセキュリティエンジニアですか?セキュリティエンジニアを名乗るにふさわしい役割を会社で果たしていますか? この本はセキュリティエンジニアにとっては入門書レベル。新しい何かを得られるものではありませんが、1年の初めに改めて自分の役目・目指すべき道を再度思い出す良い機会を作ってくれました。

セキュリティエンジニアの役割は

  • 1.CIAの確保
  • 2.リスクアセスメント
  • 3.インシデント対応
  • 4.コンプライアンス準拠
  • 5.セキュリティ意識の向上

胸に手を当てます。1と2はPマーク取得活動で役割を担ってきました。5も従業員へのセキュリティ啓発活動を行っています。3についても会社が提供するサービスのインシデント対応手順を作成済。4はどうだろう。4は法律や業界ニュースの継続的キャッチアップが必要です。自分は法律については読んでも頭に入ってこない苦手分野。しかし今私たちの手元にはチャットAIがあります。彼らの助けを借りて、自社の現状がコンプラ違反をしていないのか、考えて行きましょう。

セキュリティエンジニアは企業の以下を守ります。

  • 1.情報資産
  • 2.システム・インフラ
  • 3.ビジネスの継続性
  • 4.評判とブランド価値
  • 5.法令順守と規制対応
  • 6.従業員のプライバシーと安全
  • 7.物理的資産
  • 8.取引先や第三者との関係

単なる技術者ではなく、組織全体に対して俯瞰して、総合的・網羅的なセキュリティ施策を提案実施する。ということは各事業部のメンバーとのコミュニケーションも非常に大事。知らない間に現場が勝手にソフトウェアをインストールしていた、利便性重視のためアンチセキュリティルールな働き方を行っていた・・・自分も経験あります。

セキュリティエンジニアの業務内容は、セキュリティエンジニアの役割と被りますが

  • 1.セキュアシステム設計と実装
  • 2.リスク評価と管理
  • 3.インシデント管理
  • 4.セキュリティポリシーの策定と実施
  • 5.従業員教育
  • 6.脅威情報の収集・分析
  • 7.コンプライアンス対応
  • 8.経営層へのアドバイス

昨年の私の仕事を振り返ります。AWS Well Architected Frameworkに準拠したインフラ・運用体制を構築したり、Pマーク取得のため会社の個人情報に対するリスクアセスメントを行ったり、eラーニングの教材を作ったり、情報セキュリティSlackや脆弱性公開サイトのRSSをチェックしたり、経営層に昨今のセキュリティをトレンドを基にやるべきセキュリティ対策を提案したり・・・。うん、それなりにやっているな。

セキュリティエンジニアと一言に行っても、細かく分類することができます。

  • 脆弱性診断士(ペネトレーションテスター)
  • マルウェアアナリスト
  • フォレンジックエンジニア
  • インシデントレスポンダー
  • セキュリティ運用エンジニア

などなど。

私の今までのキャリアをまとめると、この本に書かれている「セキュリティシステムエンジニア」がいちばん近いようです。 セキュリティの知識経験に加えて、ソフトウェア・ネットワーク・ハードウェアすべてのジャンルの知識経験を持っている必要があります。 この本に書かれている”セキュリティシステムエンジニアの代表的な資格”は以下になりますが

  • セキュリティ(情報処理安全確保支援士・AWSセキュリティ専門知識)
  • クラウド(AWSソリューションアーキテクトプロフェッショナル)
  • ネットワーク(ネットワークスペシャリスト)
  • 設計・開発(応用情報処理技術者・AWS DevOpsプロフェッショナル)

全部持っています( ・´ー・`) 私の目指すキャリアは「上級セキュリティアーキテクト」「セキュリティマネージャ/セキュリティディレクター」のようです。現状自分で作戦を決めて、自分で手を動かしていますが、司令官と作業担当は別人のほうが精度の高い仕事ができますからね。ここまでの経験を糧にマネジメント業務を行いたい。「セキュリティコンサルタント」というキャリアもあるようですが、どうも「コンサルタント」という職種が自分には合っていないように思えて…自分はアドバイスするよりは現場で手を動かしたいです。

この本はサイバーセキュリティの基礎知識や単語がたくさん紹介されますが、セキュリティエンジニアとしてキャリアを積んできている人であればだいたい知っている用語が紹介されます。そのうえで私の考えとしては、すべてを覚える必要あアリません。こんな用語もあるんだな、くらいでよいと思います。しかしSBOM(Software Bill Of Materials:ソフトウェア部品表)が紹介されていたのは意外性を感じました。比較的最近生まれた(かつ重要である)用語なので。新しい内容も抑えているなと思いました。

セキュリティエンジニアに必要なスキルについても記載があります。しかしこの記事を書いている昨今、必要なスキルはこれだ、と語るのは難しいと思います。AIの進化が凄まじく、1年後でさえもどのように利用されるのか私想像つきません。5.1章で書かれている”技術的スキル”の大半はAIがカバーできてしまうのではないでしょうか。今やエージェント型AIソフトウェア設計から開発、デプロイまでやってくれますが、Infrastructure as a Codeの時代、AWSのようなインフラもAIがぱぱっと設計してデプロイしてしまうのだろうなぁ、という気持ちが強いです。もちろんログを精査するのもAIのほうが断然早い。なので、現代で必要なのは5.2に書かれている”ソフトスキル”。「この人となら一緒に仕事したいな」というコミュニケーション能力、率先してメンバーを引っ張るリーダーシップ、その下でチームのために貢献するチームワーク、言い換えれば人間力が求められると思います。人間力がなければ、純粋なスキル勝負ではAIに人間はかなわないでしょう。

総じて書かれている内容はこれからセキュリティの世界に入ろうとしている人向けの平易なレベルでした。紹介されているツール、用語、サービスは豊富なので、基礎知識を抑えることはできますが、自分の中で知らなかった、というものはありませんでした。もっと深く知りたければこれまでこのブログで紹介してきた本が有用と思います。

Twitter Facebook Google+
# security