2018年10月20日に、セキュリティエンジニアリングを中心としたIT業界のキャリアデザインに関するセミナー「エンジニアのキャリアアップと転職の現実」に参加しました。前回の量子コンピュータのセミナー速報をTwitterでやった時はそこそこ好評でしたが、Twitterだと見直すことが難しいので、ブログに書いていこうと思います。

イベント概要と講師紹介はこちら

セキュ塾 | IT未経験者からセキュリティのエキスパートを育てます ヒートウェーブ HEATWAVE IT Academy

では始めます。

------------------------------------------------------------

イントロ

セキュリティエンジニアは、何でもできる人・何でもできないといけない人。業務を通して様々な技術分野に携われるが、逆に言うとキャリアがぶれやすい。

年齢よりやる気！

30代でキャリア固定説は嘘！(これは筆者も大いに賛成。海外ではありえないが日本では割と未だにあると思っていたが、セキュリティ業界はそれが弱い印象)

外資系だからと言って人間関係が全てドライでフェアな実力主義というわけではない。ドロドロした部分あるしコネの重要性はある意味日本より上(これは筆者も賛成。ただしコネの持つ意味・ニュアンスが日本のそれとちょっと違う印象。業種や国や会社によって違うと思う)。

日本国内で、セキュリティエンジニアが働く場所の大まかなカテゴリーは以下の三つに分けられる。

1. ユーザ企業 (Zozoとユニクロとかセブンイレブンとか)
2. SIer (アクセンチュアとか)
3. ベンダー (CISCOとかMacFeeとか)  

ユーザ企業

ユーザー企業だと情シス部門、CSIRT(Computer Security Incident Response Team)、CSO(Chief Security Officer) などがポジションにになる。経営が安定していることが多いのでポジションが安定する。また、他部署への点部もあるのでセキュリティ以外のことも勉強できる(金融取引とか)。「業務を知る」という強みが持てる。

半面、手広く色々やる分、技術的深度が狭いので物足りない。さらに、貢献度が見えにくいし問題を指摘する立場なので他部署から陰口叩かれることが多い。監査のための現場チェック・調整のためブラック化することが多い。また、ユーザー企業からSIerやベンダーへの転職は非常に難しい(会社と心中状態になりがち)。転職するには資格やコネが必要。 

SIer

SIerだとSOC(Security Operation Center)、脆弱性検査、インシデント対応エンジニア、調査・マーケティングなど幅広くする。日本ではこの職種が一番幸せかも。日本独特の職種。技術的な意味では一番面白いところ。大手はピンキリだが(大量に新卒という名の兵隊を雇うので)、スキルレベルは高い。専門外のことも知ってるしシステム全体の絵を描くことが出来る。多分、日本で一番セキュリティの知識がある層。

ただし、SIerが一番ブラック。「SIerって今後存続するの」問題があるが、大手は生き残っていくと思う。しかし、とにかくブラック。勉強、勉強、また勉強。

また、製品の中身が見れないのでブラックボックス的なテストしかできない。さらに、急に全然違うジャンルのエキスパートになることが求められることがしばしばある。例えば、去年はブロックチェーンのエンジニア欲しいという企業いっぱいあった(しかし、今年は完全に下火)。現場じゃない人への怨嗟も強い。これらが耐え切れなくなってユーザ企業やベンダーに移るが、技術的に面白いので結局戻ってくる人も多い。 

 ベンダー 

特定のセキュリティ分野を深堀出来る。逆に言えば自分の守備範囲しか知らない(自助努力なしでは知ること不可能)。ベンダーのセールスエンジニアとかポストセールスエンジニアだとSIerと仕事できるので現場感覚が保てる。MS者に倣って「仕様です」といえばクレームを突き返せるので、ブラック化はしにくい。転職は同業種間でぐるぐる回る事が多いが、SIerやユーザ企業への転職は可能。海外も可能(Oracle USに転職とか)。CISCOとかマカフィーとかシマンテックとか大きいベンダーなら安定も望める。

ただし、組織内での職種転換はほぼ不可能(転職エージェントはこのことを知らない・嘘をつくことがあるらしい)。業務面のデメリットとしては、SIerがマニュアル読んでくれないのにベンダーが悪いことにされる傾向にある。また、小さいベンダーだといきなりオフィスがなくなったり会社が変わったりする(HPの子会社にいた時は子会社そのものが在職中に売られた。また、転勤中に社内整理が行われて帰ってきたら席がない人を見たことがある)。また、法的な問題があるために内部コミュニケーション(例：営業とエンジニア間のコミュニケーション)がSIerなどに比べてとりずらい。開発メーリスにメール投げて質問しただけで大問題になる。SIerからの転職踏みは大体セールスエンジニア(SE)やポストセールス(PS)エンジニアになる。開発には移れない事が多い。

ユーザ企業、Sier、ベンダーの比較(Source SIOS Technology, Inc.) 

人材紹介会社

人材紹介会社は、年収の3割の報酬を雇用企業から貰っている。実際に転職するには入りたい企業のHRやリファラルで直接応募すること。ただし、自分のワーキングパーソンとしての市場価値や市況を知るために関わるのは有り。

資格 

資格は絶対必要。外資だろうが何だろうが。実力さえあれば良いは嘘。「実力主義」を謡っていてもあったほうが良い。今は圧倒的に景気が良いからその重要性が認識されてないだけ。

CISSPの資格は独学でとれる。専門のオフィシャルな本を買って読む。あと、無料でオンラインで模擬テストを受けるサービスがあるので(英語だと特に多い)、それをひたすらやる。

その他 

最先端の技術に触れたいなら、日本にいるより海外に行ったほうが良いよ！！ 

Q and A 

Q　セキュリティエンジニアになる前に、アプリエンジニアとかネットワークエンジニアになったほうが良いのか。

A　意識次第だと思う。一番良いのは、勉強会に顔を出すこと。Linuxとかセキュリティ系のやつとか。そういうところで周りから感化されることで質問したり勉強していくようになっていく。業種を変更するのは難しいができないことはない。一番大事なのは、やりたいという意思。(筆者補足：確かにセキュリティにはアプリやネットワークが関わってくるが、専業並みに知見が必要とは思わない、というのが筆者の今の見解。その分野で自分よりキャリア長い人に聞いた話では、例えば、PHPの簡単な書き方やAPIサーバーの立て方とかは知っといたほうが良いけど、クラウドPaaS(AWSとかGCPとかAzureとか)やフレームワークに精通している必要はない。必要になったら学んでキャッチアップできるレベルで良いらしい)

Q　セキュリティ分野で個人事業をしたり起業したりするにはどんなことをすればよいか？どれくらいのスキルセットや経験が必要か？

A　まずコネを作る。そして、とりあえずやってみるのが良いと思う。Sierのところに行って金の動きや予算の立て方や客対応も含めてやるのも良いと思うが、肝となるのはコネ。業務経験よりコネ。自分でプロダクトを作ってみたりサービスを作ってコネを使って売り込む。

Q　日本から飛び出して海外で働くなら、どんな職種・ポジションが良いか？

A　プレゼンで話したように、ベンダーで働くのが一般的な手だと思う(Oracle, Cisco, Buffalo, McAfeeなどネットワークやセキュリティソフトの製品)。

Q　海外の企業から直接雇用してもらって日本から飛び出して海外で働くために、地力をつけるためにSIerで働くのは有りか？

A　日本に限定すればSIerが一番実力付くが、日本で日本企業のSIerになると、SIerというが業態そのものが海外にないので、海外に出にくい。IBMくらいしかない。また、GoogleやAmazonなど外資ユーザ企業の日本支社は海外には行けない。日本の仕事をさせたるために、日本支社を作っているから。(筆者補足：個人的にGoogle Japanに籍を置き海外によく行っている人を一人知っている。しかし、その方はアメリカ大学院に留学・卒業しGoogleに就職してからGoogle Japanに来た。)

Q　役に立つ資格は何か？CCNAとかCCIEとかLPIC1、2、3とか本当に役に立つのか。CompTIA Security+を強く勧めているソースを見つけたがこれはどうなのか？SSCPは？

A　日本の情シスよりもCCNAの方がずっと食っていける。間口が大きい、世界的に認知されている資格だから。取るならワールドワイドな資格が良い。そういう意味ではCompTIA Security+は良い(筆者補足：日本国内でも有効かという所までは言及していない)。シスコ系(CCNAとかCCIEとか)はベンダーの資格だが公的機関のそれ並みの大きな認知・知名度がある。LPICはあまりセキュリティには関係ない。所詮LINUXオペレーションの資格なので。ネットワーク系資格のほうが良い。CEHはニッチに刺されば良いが、多くの企業にとっては刺さらないので微妙。 CISSPはセキュリティエンジニアの登竜門的資格。ボランティアで人に教えたりするとCISSPの資格を維持するのに必要なポイントを稼ぎやすい。

ーーーーーー

(追記)

セキュリティ業界における資格取得の順番は、以下が参考になると思う。 私が他のソースから見聞きした情報と一致している。

What is the Best Security Certification Path | Get Certified Get Ahead

個人的にはSSCPはとらなくて、一気にCISSPで良いんじゃないかと今のところ思っている。