近年、サイバー犯罪が激増し手口も巧妙になっていることから、サイバーセキュリティ人材への需要が増加しています。今回はサイバーセキュリティ分野を中心に転職支援を行うMWH HR Products株式会社 転職コンサルタントの佐藤 徹次 氏が、サイバーセキュリティの業界動向から、サイバーセキュリティ分野の採用動向、求められる人材像、サイバーセキュリティ分野の転職市場の特徴、転職を成功させるために抑えておくべきポイント等を解説します。

MWH HR Products株式会社　佐藤 徹次

プロフィール詳細

サイバーセキュリティ業界の動向

まずは、サイバーセキュリティ業界の動向からご紹介します。注目しているのは、次の３点です。

1.新しい技術の普及に伴う新たな脅威への対応

まず、1つ目は「新しい技術の普及に伴う新たな脅威への対応」です。新たな技術が登場する際には、最初はメリットばかりが強調され、その技術を使うとどんなセキュリティ的な問題が起こるか不明または軽視される傾向があります。そして、技術が普及に向かうにつれて一部で懸念されていた問題や予想しなかった問題が浮かび上がり、後追いでセキュリティ技術が考案されていくという流れに陥ります。

現在、クラウドやIoT/OT、ブロックチェーン、Connected Car、AIなどの新しい技術が続々と登場していますが、セキュリティ対策を考えて施す側とセキュリティ脆弱性を悪用する側のイタチごっこが続いているのが現状です。

2.激増する国際的なセキュリティ犯罪への対応

2つ目は、「激増する国際的なセキュリティ犯罪への対応」です。現在、フィッシングやランサムウェアなどに代表されるセキュリティ犯罪が、国境を越えて国際的に行われています。さらに、特定の相手のセキュリティ脆弱性を狙った標的型攻撃という手法が取られることが多く、完全な防御は難しい状況です。犯罪者の追跡や特定も困難で、仮に特定できたとしても直ちに逮捕してその犯罪者やその組織を完全に除去することは難しく、根本的な問題の解決まで長期間を要するケースが増えています。

そのため、被害に遭わないように対策するのはもちろん、万が一被害に合ってしまった場合に備えて対処を事前に準備しておくことも求められています。そして、セキュリティ業界では、こうした課題に沿ったソリューションの提供が求められています。

3．地政学的問題に伴う国家間のサイバー攻撃への対応

3つ目は、「地政学的問題に伴う国家間のサイバー攻撃への対応」です。国家間の利害関係によって、国家機関だけでなく関係する民間企業までもが攻撃の標的となっており、官民挙げてのセキュリティ対策や運用する人材の育成や流通が不可欠となっています。

サイバーセキュリティ分野の採用動向

サイバーセキュリティ分野における採用動向として、大きく４つの動きがあります。

1.事業会社でのセキュリティ人材の需要が急増

まず大きな動きとして、特にここ3〜4年で事業会社におけるセキュリティ人材のニーズが非常に高まっています。特に、インターネットを事業の基幹プラットフォームとして活用しているEC企業やSaaS企業、ゲーム企業などのBtoC向けのサービスを展開していてアプリ等の更新頻度が高い企業ではこの動きが顕著です。背景として、セキュリティ事故の発生は大きなビジネスリスクとなり、外部に頼らず自社で迅速にセキュリティ対策を行いたいという考えがあると思います。

2.テクニカルスキルを有する人材により高いニーズ

2つ目は、セキュリティポリシー策定、セキュリティ啓蒙・研修、セキュリティ規準準拠等を担うセキュリティマネジメント面の人材ニーズよりも、脆弱性対策、セキュリティ攻撃・被害の監視・分析・対処などを担うテクニカル面の人材ニーズがより高まっているように感じます。狙われると完全に防御することは難しい標的型攻撃が多発している状況のなかで、セキュリティ事故の疑いが発生した場合に、状況の把握や対策など技術的に対応できる人材のニーズが高まっているのだと思います。

3.プロダクトセキュリティ人材のニーズが上昇

3つ目は、コーポレートセキュリティに加えて、プロダクトセキュリティ人材のニーズも高まっています。従来からある社内のネットワーク、サーバー、デスクトップ、業務アプリケーションなどが対象のコーポレートセキュリティに対する人材は、それなりに確保が進んでいます。しかし、喫緊の課題である企業の商品となっているサービスや製品に関するセキュリティ対策に対応できる人材はまだまだ不足しており、需要が高まっています。

4.DX推進においても欠かせない存在

4つ目は、DX推進のための必須要素としてセキュリティ人材が求められています。DX推進は、官民問わず大きなトレンドです。セキュリティサービス企業はDXを成功させるためのセキュリティ対策のサービス開発に努め、クライアント企業はDX推進の一角を担う人材としてセキュリティ人材を求める動きがあります。

サイバーセキュリティ分野で求められる人材像

セキュリティサービス企業、事業会社で共通して求められているのは、「自分が携わっている技術領域のセキュリティに関する知見がある人材」です。

背景として、セキュリティサービス企業はセキュリティ技術について教えることはできても業界特有の技術については知見がなく、反対に事業会社では業界特有の技術に対する知見はあるもののセキュリティ技術を教えることはできません。そのため、得意とする技術領域とセキュリティをセットで語れる人材は、非常に強いニーズがあるのです。

例えば、システム開発やアプリケーション開発に携わっている方であればセキュアな開発やアプリケーションの脆弱性診断に関する知見、クラウドに関する業務に携わっている方であればクラウドのメリットだけでなくセキュリティの観点を踏まえて必要な対策等についても知っていると非常に有利になります。

AIに関しては、これからが普及期であり、脅威やセキュリティに関してまだ研究を進めている段階です。ただ、フェイクニュースなどAIに関わる問題も少しずつ表面化してきており、今後AIセキュリティは必ず立ち上がってくるため、AIの問題にもアンテナを張っておく必要があります。

また、心構え・姿勢という面では、「セキュリティが好き」「セキュリティで社会貢献したい」という姿勢が非常に大事です。特にセキュリティ企業の役員面接などでは、この観点が問われるケースが多いです。セキュリティの世界は非常に変化が早いため、新しい脅威や技術にアンテナを張り常に学ぶ姿勢を持つことが大事です。

サイバーセキュリティ分野の転職市場の特徴

資格が有利に働く

サイバーセキュリティ分野は、他のIT領域に比べて「資格」が物を言う世界です。常に脅威と対策がイタチごっこの関係にあるため、単にファイアウォール等のセキュリティ対策製品を導入して終わりではなく、PDCAを回し続けることが必須となっています。

そのため、広い視野を持ち新しい知識と技術を習得していく熱意と素養が求められ、転職市場においてはセキュリティの専門性を客観的に証明してくれる資格が効果を発揮するのです。一例を挙げると、国際資格のCISSPや国内資格の情報処理安全確保支援士などの資格は、望ましい保有資格として広く求人要件に挙げられています。また、セキュリティの業界団体やコミュニティへの参加や登壇も、アピールにつながり情報収集にも役立ちます。

転職寿命が長い

脅威と対策が「イタチごっこ」ということもあり、人材としての付加価値が陳腐化しにくいというのも特徴の一つです。さらに、セキュリティ事故は企業の社会的地位を失墜させる危険性もあるため、経営的な観点を持つ社会経験豊富なセキュリティ責任者が求められています。そのため、ベテランでも転職機会は多くあり、「サイバーセキュリティ分野はIT業界分野のなかでも転職寿命が非常に長い分野」と言えます。

サイバーセキュリティ分野へ転職を目指す皆さまへアドバイス

サイバーセキュリティ分野への転職を成功させるために、抑えておくべき4つのポイントを紹介します。

1.「やれること」「やりたいこと」を明確にする

1つ目は、「やれること」「やりたいこと」を明確にすることが大事です。サイバーセキュリティ分野は新しい技術の登場に伴い新しいセキュリティが登場するため、非常に幅が広い分野となっています。面接においても「今、やれること」「入社したら、何がやりたいのか」「将来はどうなりたいのか」ということは高確率で質問されますし、しっかり答えられるようにしておきましょう。

イメージしやすいように、具体例を一つ紹介します。例えば、将来やりたいこととしては、業務の幅を広げることが一つ挙げられます。脆弱性診断に知見があり幅を広げていきたいのであれば、「ネットワーク機器やWebアプリケーションに対する脆弱性診断は長い歴史がありますが、今後はIoTやOT機器、ブロックチェーンに関わるプログラムなどにも対象を広げて脆弱性診断に取り組んでいきたいです」が一つの回答例となります。

また、転職先を選ぶ前提としてセキュリティサービス企業と事業会社で、実現できることは異なることを理解しておく必要があります。セキュリティサービス企業は、対応する技術領域が幅広いためキャリアパスも多様です。一方で、事業会社では自社のビジネスに沿ったセキュリティが求められるため、セキュリティサービス企業に比べると取り組める技術領域は限定される場合が多いです。しかし、自社のビジネスをセキュリティという観点から支えるというやりがいがあります。

企業選びや選考対策は、こうした企業の特性も踏まえて行う必要があります。

2.セキュリティに関する情報感度を高める

2つ目は、「セキュリティ事件・事故や注目すべき新技術へのアンテナを張っておくこと」です。面接では日頃からセキュリティに関して学び、情報を得ているのか、確かめられることがよくあります。こうした質問にも的確に答えられるように、セキュリティに関する情報をしっかりとチェックしておく必要があります。

3.資格取得を目指そう

3つ目は、資格をとりましょう。ご紹介したようにサイバーセキュリティ分野の転職では、資格が有利に働きます。現在資格を保有していない場合でも、「この時期にこの資格を取得するために、現在こうした勉強をしています」というように、資格取得に向けた具体的な計画を履歴書や職務経歴書に記載することでも十分なアピールにつながります。

4.自分の得意分野に関わるセキュリティ課題について語れるレベルになろう

4つ目は、未経験の方は自分が関わる技術分野のセキュリティ課題を語れるようにしておきましょう。未経験からサイバーセキュリティ分野への転職を目指す場合は、まずは自分が携わってきた技術分野におけるセキュリティ課題についてきちんと調べて情報を得ておくことが重要になります。

今回は4つのポイントを紹介しましたが、ご相談いただいた際には求職者様が目指すキャリアに合わせて、市場の動向や企業の特性、面接の傾向等を踏まえてアドバイスをさせていただきます。ぜひお気軽にご相談ください。