セキュリティエンジニアについて

今現在セキュリティ（Webの外部監査業務）の営業をやっています。
非常に小さい会社の為、大手のように大々的な検査などは出来ないのですが、最近になって検査員になりたいという気持ちが強くなったことや、中小企業でカバーできる限界を感じた事もあり、別の会社でセキュリティエンジニアに転職したいと考えています。
私の方でセキュリティエンジニアになるには、どういったスキルが必要となるのかを調べ、最低限の必須項目として「ファイアウォールに関して」「ＯＳ（UNIX・Windows）に関して」「VPNなどの認証・認可に関して」「ネットワークプロトコル」「Web系（Javascript・PHPなど）」
（※本来細かく分けるのであれば、もっとあるとは思いますが）
上記が出来なければ不可能と書いてありました。
元々今の会社に入るまでは、ＰＣなんかにはあまり触れる機会がなかったのですが、自分的には必死にセキュリティについて勉強したつもりです。もしセキュリティエンジニアとして、既に働いている先輩方がいらっしゃいましたら、自分が調べた以外に何が必要か教えていただけませんでしょうか？お願いいたします。

No.2 回答者： atama_pan 回答日時： 2008/10/27 20:35

最低限、初級シスアドと基本情報技術者試験を「理解して」、パスしてください。

幸い今はTACや大原のような資格学校というものがたくさんあって、対面授業ならどこも優秀です。活用するのも手でしょう。
理想を言うなら応用情報技術者試験（今のソフトウェア開発技術者試験）も踏まえてください。
妥協するとしても、最低限、初級シスアドと基本情報技術者試験レベルの基礎知識はどうしても必要です。CASLかC言語、どちらでも良いです。頑張って基本情報技術者試験をパスしてください。
その上でテクニカルエンジニア試験を目指すのも良いでしょう。
あなたが理想とされるセキュリティエンジニアというポジションは、情報処理技術者の発展形です。データベース方面を目指すにせよ、セキュリティ方面を目指すにせよ、ネットワーク方面を目指すにせよ、最低限踏まえていなくてはいけないコンピュータ工学、ソフトウェア工学というものがあります。

今はプログラミングがまったくできない名ばかりネットワークエンジニア、名ばかりセキュリティエンジニア、OSやメモリ管理のできない名ばかりデータベースエンジニアというのがごまんといます。
業界未経験者に最初からオラクルやCisco社の入門試験の勉強をさせる会社は１００％、この手の名ばかり○○エンジニア工場なので、そういう悪い会社の言うことに耳を貸さず、実直に情報処理の基礎から勉強されることをお勧めします。

以上の意味で、情報処理技術者として一番「つぶしがきく」のは基本情報技術者試験のような国家試験です。セキュリティエンジニアに必要なのはとにもかくにもまずは情報処理技術者としての素養です。
「セキュリティエンジニアと呼んでくれる仕事」ならこれらが無くても就けるのかもしれませんが、それはあなたが憧れるセキュリティエンジニアとはおそらく違う、別の何かです。

逆に言えばチャンスです。そこのところを勘違いしている人は今とても多く、OSのこともわからなければ、まったくプログラムも書けない自称ネットワークエンジニアなどが沢山居ます。序盤はともかく、３～４年も業界に居れば基礎知識が無いことがボディーブローのように効いてきます。
情報処理技術者として当り前のことを当たり前にこなしてきた人が、むしろ希少価値があるのです。この業界、人材不足というのはそういう意味です。おいしい話ですので、今は遠回りをしておいた方が後々いい目が見られますよ。
あと、中学英語は完璧にしておいてくださいね。

この回答へのお礼

何事も急がば回れと言うことを、改めて痛感いたしました。

＞「セキュリティエンジニアと呼んでくれる仕事」ならこれらが無くても就けるのかもしれませんが、それはあなたが憧れるセキュリティエンジニアとはおそらく違う、別の何かです。

全くもっておっしゃる通りだと私も思います。
元々やるからには、なぜそうなるのかという基本の部分を理解するまで、徹底的に理解したいタイプですが、歳も２０代中盤になった事が少し影響し、取り敢えずやってみなければという漠然とした考えも持っていたのが正直なところでした。

やはり”atama_pan様”がおっしゃる通り、まずはセキュリティエンジニアとしての基盤を習得し、実際のシステム管理等にも触れ、この業界でやっていこうと思います。

因みに中学英語なのですが、これについても勉強します………（笑）

私のような駆け出し（少し遅れ気味ですが）に対して、貴重な情報、ご意見をいただき誠にありがとうございました。
せっかく先輩方にご教授いただいたことを無碍にしないためにも、一日でも早く、そして肝心な部分はあせらずやっていこうとおもいます。
本当にありがとうございました。

お礼日時：2008/10/29 10:42

No.1 回答者： cev87700 回答日時： 2008/10/22 22:42

IT系で管理職をしているものです。

私見ですのでご参考までに。

質問者様の現状のお仕事でセキュリティの「知識」は十分ではないかと思います。
また、セキュリティ「だけ」できるIT技術者が役立たずであることもおそらく認識されていると思いますので、セキュリティを取り巻く、ネットワークや各種ハードウェアの知識についての必要性も十分ご認識されているかと思います。

それを踏まえたうえで、セキュリティを強みとしている技術者に必須なのは「システム運用経験」だと思います。

残念なことに知識だけの頭でっかちの技術者や営業担当が多いのです。
こうすれば、セキュリティインシデントは防げるとか、モラルがあるのないの、リスクがどうとか、コンプライアンスがなんだとか…。

それでもセキュリティインシデントは起きるんです。
残念なことに。
そこには、システムを運用している担当者やユーザーのやむを得ない理由が必ずあるわけです。
誰だって起こそうとしてセキュリティインシデントを起こす人はいないわけですから。

承認ルートが非常に面倒で、ついつい確認を取らずにやってしまったとか。
周囲が忙しくて、レビューや確認を十分にしてもらえないとか。
家に持ち帰らないと終わらないほど忙しいとか。

「やってしまう側の立場に立て」と言うのは簡単なのですが、実際に使っている担当者の「感情」のレベルまでを知っているセキュリティエンジニアは決して多くありません。

それを知らないセキュリティエンジニアは残念なほどたくさんいます。

ですので、長々としたものではなくて良いと思いますので、知識の学習と並行してシステムの運用を経験されるのがよろしいと思います。

特に一般ユーザー直結のシステムやコールセンターなどは、実に色々なセキュリティリスクが発生しますので、手っ取り早く経験を積みたいのであればお勧めです。辛いですけどね。

この回答へのお礼

>残念なことに知識だけの頭でっかちの技術者や営業担当が多いのです。こうすれば、セキュリティインシデントは防げるとか、モラルがあるのないの、リスクがどうとか、コンプライアンスがなんだとか…。

正直言うと、上記の点については非常に頭が痛い限りです。
やはりどうしても広義に分けると、無形物のサービスに当てはまるので、システムを実際に利用している方々の「感情」についてまで、理解する必要があることに、改めて痛感いたしました。

また基本である「なぜこうなる？」という”Why”の部分を、狭い視野で捕らえてしまっていたことにも気づきました。

私はどちらかと言えば、慎重に物事を進めるタイプ（よく言えばですが……）ですので、”ANo.1様”がおっしゃっている、いわゆる頭でっかちになりがちですので、非常に勉強になりました。

これからは勉強と平行して、まずは「システム運用」を実行し覚えてみます。今までの浅い経験値の中で、”辛い”ということには、何かしらの意義があると考えていますので、ユーザー直結のシステム運用や、コールセンター系の視野に入れて考えてみます。
みすぼらしいご質問に丁寧にご回答いただきまして、誠にありがとうございました。

お礼日時：2008/10/23 09:27