見出し画像
Photo by ide_aggy

セキュリティの”求人”について考える

akira

はじめに

私はここ10年、金融機関にてセキュリティ関連の仕事をしています。常に求職者として、各種転職サイトにエントリーだけしている一方、採用もする立場として、現在の転職環境の違和感について書きたいと思います。

求職者として:転職サイトの登録時、「フィットする職種がない」

あくまで私の経験談とはなりますが、おそらくメガクラスを除く中小金融機関において、セキュリティを担当する組織は似たような組織構造だと思っています。
その中でよくあるロール(お仕事)はこんなところ。

  1. 社内システム、公開システムのセキュリティアセスメントや、企画・設計段階での相談対応。

  2. セキュリティ強化施策の企画

  3. セキュリティ監視、アラート対応に係る業務(監視環境の改善やツール導入とか)

  4. インシデント対応およびそれに伴う準備(マニュアル整備や演習の企画運営など)

  5. 社内の啓蒙活動

  6. セキュリティに関するルール・規程類策定

  7. 各ステークホルダーへの報告、社内外組織との連携

  8. その他、第二線業務(SaaS評価、委託先評価など)

2について、「企画」でとどまって、「導入」「運用」まで入っていないのは、これらの仕事はエンジニアリングを伴わないことが多いというか、社内・あるいはシステム関連会社のエンジニアに依頼をしてもらう、ということが多いためです。

8はおいときまして、これらの業務はセキュリティの知識だけではなく、それのベースとなるITの知識が必要となります。いや、考え方は逆でITの知識がないとセキュリティの理解も難しいと考えています。
ですので、これらの業務はビジネス部門・業務部門のものではなく、IT部門となるものなのです。

しかしながら、多くの転職サイトにおけるIT職種の定義においては、自分のロールとフィットしないことが多いです。もちろん、たくさんの業種・業態がある中で、ですので、あくまで私の範囲でのお話。

具体的なケースを見てみます。

ケース1 ”セキュリティ”とつくポジションがない

現在あるいは希望する職種の選択肢において、「セキュリティ」とつくポジションが全くなくて、「社内SE」とか「システム設計」あたりを選んだりします。
これでは「セキュリティ業務をやってきた」「セキュリティ関連業務を希望する」と伝えることが難しいですね。

ケース2 ”セキュリティコンサルタント"しかない

セキュリティはあっても「セキュリティコンサルタント」しかないケースも結構あります。先ほど記載した「1」の業務は社内コンサル的なところはなくはないです。ただ、それは業務のうちの1つでしかないですし、社内向けなわけです。
ここでの「セキュリティコンサルタント」が表している業務は、セキュリティベンダーやコンサルティングファームなどが、顧客企業に対するコンサルティングです。
選ぶものがないので、やむなく「セキュリティコンサルタント」を選んでいると、採用者側は勘違いして「セキュリティコンサルタントしませんか」というスカウトをしてしまうことになります。

ケース3 ”セキュリティエンジニア"しかない

この「セキュリティエンジニア」というのが何を指すのか、解釈などバラバラなんだと考えています。セキュリティに関するエンジニアリングだけでも以下のような分類ができるのではないでしょうか。

  • インフラセキュリティ

  • アプリケーションセキュリティ

  • コーポレートセキュリティ

  • DevSecOps

  • セキュリティオペレーション(SOC)

  • ペンテスター、脆弱性診断士

  • セキュリティサービス・ソフトウェアの開発・運用

お分かりかと思いますが、これらに関する業務で求められるスキル・経験は全然違ってきます。これを「セキュリティエンジニア」と括るのはいささか乱暴かなと思います。アプリケーションエンジニア、インフラエンジニアを「エンジニア募集」と一括りにしているのと同じことです。

採用者として:「募集する際のポジション名が難しい」

一方、逆の立場で私たちのチームに参画してくれるメンバーを募集する際、端的に業務を表すようなポジション名を決めるのが難しい。ちょっとエンジニアリングできた方がいいよね、とおもってセキュリティエンジニア、としてしまうと、これまで述べたように範囲が広過ぎてしまいますし、もちろん「セキュリティコンサルタント」とするのもいけません。「CSIRT」とするのも範囲が狭すぎます。
一方で、「セキュリティマネージャ」としてしまうと、ずっと管理畑にいたりしてITスキルは大丈夫だろうか、と心配になってしまったりもします。

一つの解としては、先ほどのケース2で記載したような、各領域でのセキュリティを担う役割に「エンジニア」をつけると、いったんは概ね表現ができそうです。
たとえば、「DevSecOpsエンジニア」「インフラセキュリティエンジニア」などですね。

とはいえ、「インフラセキュリティエンジニア」は「インフラエンジニア」ではないのか?その違いは?どの組織に配属するのか、セキュリティ統括のラインなのか、インフラ統括のラインなのかといった課題がでてきそうです。

SANSに定義されている役割

SANSの「SANS COOLEST CAREERS IN CYBER」にて、現在におけるサイバーセキュリティに関する20の「Careers」を定義してくれています。これは組織の中におけるポジションのようなので、前述したような、セキュリティコンサルタントやセキュリティサービサーは含まれていないと思うので、これも参考になりそうです。

https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt54d6532c72ff0a96/6580a12a2f46f77f08821fb1/Poster_Coolest-Careers_v0124_WEB.pdf

上記の定義において、「事業会社における」セキュリティポジションという観点で並び替えてみました。

  1. CISO

  2. Technical Director (Information Systems Security Manager)

  3. Security Awareness Officer

  4. Cloud Security Analyst

  5. DevSecOps Engineer

  6. Blue Teamer(Cyber Defense Analyst)

  7. Security Architect and Engineer

  8. Cybersecurity Analyst /Engineer(Systems Security Analyst)

  9. Cyber Defense Incident Responder / Law Enforcement Counterintelligence Forensics Analyst

  10. Intrusion Detection / SOC Analyst

  11. OSINT Investigator / Analyst

  12. Vulnerability Researchar & Exploit Developer

  13. Application Pen Tester

  14. Red Teamer(Adversary Emulation Specialit)

  15. Threat Hunter

  16. Media Exploitation Analyst

  17. Purple Teamer

  18. Digital Forensic

  19. Malware Analyst

  20. ICS/OT Security Assessment Consultant

その結果、1から9あたりまでは、どこの事業会社にもあった方が良いポジションだろうと考えます。
そして、10-19は当初は外注でよく、というかせざるを得ないものと思います。その後、内製を進めたいのであれば、それらのうち内製としたいポジションを雇っていくというのがよさそうです。
なお、個人的な感覚として「Malware Analyst」というポジションは、事業会社においては永遠に不要ではないかなと思いますし、「Security Awareness Officer」はこれだけの仕事をする人、というのもあり得ないかなと考えています。

いずれにせよ、企業の規模や、どの領域に脅威があり、しっかり守るべきかを整理した上で採用を含めた体制づくりをしなくてはなりませんね。

最後までお読みいただきありがとうございます。
このように書き出してみると、ポジションに拡がりを見せているセキュリティの領域は奥が深い、そして面白いです。


この記事が気に入ったらサポートをしてみませんか?