セキュリティエンジニアとは
情報セキュリティの重要性の高まりに応じて、エンジニアに求められるセキュリティ対策のレベルも高度なものになっています。そこでこのセキュリティ対策に関し高度専門的なスキルや能力を持つ人材が不足しており、CISSPやGIACのような専門資格を有することは必ずしも求人の必須条件ではないようです。そもそもセキュリティ対策に関する専門家としては、セキュリティエンジニアとセキュリティコンサルタントに分けられます。
同じくセキュリティを扱うとはいえ、エンジニアであれば具体的なIT技術に重点を置くのに対し、コンサルタントの場合には、例えばセキュリティポリシーの確立や認証の取得といった、管理面における最善の方策の提案など、コンサルティング業務に重点を置くという違いがあります。
このうちセキュリティエンジニアには、例えばシステム開発に関わる場合、企画・設計・実装・テスト・運用の各段階において、それぞれに果たすべき役割があります。
まず企画段階では、最終的な運用までを考えた上で、最善のセキュリティ対策を講じるようなコンサルティングが中心となるでしょう。次に設計段階では、セキュリティのためだけの独立した業務というのではなく、セキュリティを充分に考慮した上での設計が求められます。そのため様々な幅広い知識が必要とされるのです。そして実装段階においても、ネットワークを構築する上で必要となる機器の設定や、様々なOSの設定、そしてアプリケーションプログラミングなど、すべてにおいてセキュリティ対策を講じることができるような、幅広いスキルや知識が求められることになります。ようやくテスト段階に入ると、セキュリティエンジニアが本領を発揮する場面です。例えばネットワークやシステムの脆弱性情報を収集したり、脆弱性の再現テストや、各種脆弱性対策など、様々なセキュリティ検査を抜かりなく行います。更に運用段階は、一番大切な局面となります。サイバー攻撃や情報漏洩が世間を賑わすなど、その影響も大きく、そのため細心の注意を払った上で、迅速な事故対応(インシデントレスポンス)や不正侵入の調査(フォレンジック)などによって、被害を最小限に食い止める必要があります。もちろん求められるセキュリティエンジニア像は、各企業の事情に応じて異なります。
はっきりとしたセキュリティエンジニアという定義があるわけではない以上、その業務内容も、専業系かコンサル系か、メーカー系か、ソフトウェアメーカー系か、商社系か、SIer系か、ユーザー系か、といった個々の案件に応じて決まるというのが現状です。
