セキュリティエンジニアって200職あんねん（分類とキャリアの話）

みすてむず¹ アドカレ その2 の14日目の記事です
https://adventar.org/calendars/10269

はじめに

サイバー攻撃が日々進化する現代社会において、セキュリティエンジニアの役割はますます重要になっています。しかし、「セキュリティエンジニア」という肩書きの下には、実に多様な専門分野と役割が存在します。

200職はものの例えですが、今回その多種多様な仕事を分類化してみました。
もしセキュリティに興味があり、今後セキュリティエンジニアになってみたいと思う方の一助になればと思います。

そもそも「セキュリティ」の仕事とは？

（サイバー）セキュリティの仕事と言われて思い浮かべるものは何でしょうか？

• サイバー攻撃が起きたら冷静に解決に導く
• 開発したプログラムにセキュリティホールがないかチェックする
• 企業の製品やサービスの脆弱性を見つけて賞金を稼ぐ
• ハッカーのようにマルウェアや攻撃方法を調査して、次の攻撃に備える
• 実際に攻撃を仕掛けてみて、システムの防御力をテストする

どれも「セキュリティ」の仕事の一部ですが、実際にはそれぞれ異なる側面を持っています。
これらを整理してみると、どんな分野があるのか、少し見えてくると思います。

セキュリティの仕事の分類化

セキュリティの仕事を整理するために、今回は 「オフェンシブ／ディフェンシブ」と「上流／下流」 の2つの軸を使って、4つの象限に分けてみました。
各象限には、具体的な業務例も紹介していますので、どの分野にどんな仕事があるのか、イメージしやすくなると思います。

オフェンシブとは

「オフェンシブ」とは「攻撃的」ということです。
セキュリティの仕事においては、攻撃者の視点で物事を考えるという意味合いになります。

「攻撃者の視点」を考えることに疑問を持つ方もいるかもしれません。
満遍なく防御ができていれば攻撃者の視点を考えなくてもよいと思う方もいるでしょう。

ただし満遍なく防御をするには 途方もないコスト がかかります。

「攻撃者の視点」というのは、システムやネットワークの脆弱性を発見し悪用する視点であり、どのようにシステムを破るのかを理解し 防御側へその知識を還元する ために非常に重要になります。
つまりシステムの強いところ弱いところを把握し、弱いところから強化する、といった優先度付けができ コスパのよいセキュリティ対策 が行えるようになります。

この「攻撃者の視点」で組織のセキュリティ対策を評価するチームは「レッドチーム」と呼ばれています。

オフェンシブ x 上流

「上流」とは、開発工程で言うところの分析、計画立案、設計といった部分です。セキュリティの分野でも、こうした前段階の計画や準備が非常に重要です。

• レッドチーム演習の計画
  • システムに対して攻撃を仕掛け、ブルーチーム（防御担当）の対応能力を評価します。
  • 検証環境で行うこともあれば、本番環境で実施する場合もあります。
  • CISO（最高情報セキュリティ責任者）やCTO（最高技術責任者）を巻き込んで計画を立てたり、抜き打ちで演習を行うこともあります。
• 脆弱性診断の計画
  • システムに潜む脆弱性を見つけるための範囲や検査項目を計画します。
• 攻撃手法の研究
  • 攻撃者がどのようにシステムを侵害し、どんな手法を使うのかを研究します。
  • その結果は、レッドチーム演習やブルーチームの防御策にフィードバックされます。

これらの業務は、大手企業でない場合、経営層がセキュリティの重要性を十分に認識し、予算を確保しない限り、なかなか実現が難しいことがあります。
そのため、この領域の仕事はセキュリティ専門の企業に外注されることが多いです。

この分野でキャリアを積みたい場合は、オフェンシブ系の資格を取得するといったスキルを磨き、セキュリティ専門企業やIT大手企業での仕事を目指すのが一つの道です。

オフェンシブ x 下流

「下流」とは、実際に攻撃を仕掛けたり、システムをテストしたりする領域を指します。

• ペネトレーションテストの実施
  • システムに侵入し、重要なデータにアクセスできるかをテストします。
  • 実際の攻撃を模倣し、セキュリティの脆弱性を見つけ出します。
• 脆弱性診断
  • システムに潜む脆弱性を隅々まで調査し、洗い出します。
  • 疑わしい箇所を発見し、リスクを評価します。
• 脆弱性の検証・再現
  • 脆弱性の報告を受け、その検証や再現方法を確認します。
  • 内部からや外部から報告された脆弱性を実際に再現し、リスクを確認します。

大手企業でない場合、ブルーチームと兼業している方もいるかもしれません。
この分野でキャリアを積みたい場合は、セキュリティ部門のある企業で経験を積むことができますが、スキルをさらに高めるためには、資格取得やセキュリティ専門企業での経験も効果的です。

またこの領域には、個人で企業の製品やサービスの脆弱性を報告し、報奨金を得る「バグバウンティ」という仕事もあります。
ほか、CTF (Capture The Flag) と呼ばれるハッキングコンテストにチャレンジするのもこの領域です。

Webセキュリティの学習については過去に記事を書いたことがありますのでぜひご覧ください。
Webエンジニアでテッペン取るならPortSwiggerでセキュリティを勉強しよう

ディフェンシブとは

「ディフェンシブ」とは、つまり「防御的」のことです。
ディフェンシブはシステムを守るために、攻撃やその他の脅威を検知・分析し、それらを封じ込めたり、復旧したりする対応を行います。
攻撃を受けた場合、被害を最小化し、事業の継続（サイバーレジリエンス）を確保するために必要な視点です。

この「防御側の視点」で組織のセキュリティを守るチームは「ブルーチーム」と呼ばれています。

ディフェンシブ x 上流

組織やシステムのセキュリティを整備し、リスク管理やポリシー策定を行う領域です。

• セキュリティポリシー策定
  • ISMS（情報セキュリティマネジメントシステム）に準拠した情報セキュリティ方針を作成し、権限管理、暗号化基準、ログ保存ポリシーなどを策定します。
• リスク評価・スコアリング
  • システムやサプライチェーンのセキュリティリスクを評価し、リスクのスコアをつけます。
• セキュリティ要件レビュー
  • システムの権限、暗号方式、監査などの非機能要件をレビューします。

この領域は、大きな企業では専任の部署やチームとして存在していることが多いです。
また求人も多く、情報処理安全確保支援士やCISSPなどの資格を持っていると、採用で優遇されることが多いです。

ディフェンシブ x 下流

システムへの攻撃や侵害などを検知し、対処や封じ込めなどの運用業務をする領域です。

• セキュリティ監視運用
  • システムの異常検知などを監視する業務です。
  • 専任チームはいわゆるSOC (Security Operation Center) と呼ばれており、24時間365日の体制を取ることが多いです。
• インシデント対応
  • システムが侵害され、破壊や情報漏洩などセキュリティインシデントが発生したら迅速に対処し、復旧作業を行い、事業を正常化する業務です。
  • 専任チームはいわゆるCSIRT (Computer Security Incident Response Team) と呼ばれています。
• パッチ管理
  • 保有しているシステムのバージョンとパッチ適用状況を管理します。
  • ASM (Attack Surface Management; 攻撃対象領域) のツールなどを利用し、効率的にIT資産の脆弱性を管理します。

この領域は、多くのIT企業で専任部署や担当者が存在します。
情報システム部門の担当者が兼任している場合もあります。
求人も多いため、セキュリティキャリアのスタートとしては入りやすい領域です。ただし、運用監視業務が中心となるため、物足りなさを感じることもあるかもしれません。その場合は、上流やオフェンシブ領域を目指すとよいでしょう。

余談：パープルチームとは

「パープルチーム」とは、レッドチームとブルーチームの双方の業務を担うチームで、その名の通り、赤（レッド）と青（ブルー）の混合色にちなんでいます。レッドチームが攻撃側、ブルーチームが防御側を担当するのに対して、パープルチームはその両方の視点を持ち、攻撃と防御の橋渡しを行います。

余談ですが、私の所属している部署は、レッドチーム寄りのパープルチームです。
大規模な企業や専門的なセキュリティ企業でない限り、セキュリティに十分な人員を確保するのは難しいため、1名～数名の少人数で、レッドチームとブルーチームの両方の業務を兼任する「パープルチーム」のような混合業務を行っている企業が多いと思います。

セキュリティの資格

参考までに海外の資格にはなりますが、以下のようなロードマップがあります。

Security Certification Roadmap

これらの資格の分類と今回のセキュリティの仕事の分類を当てはめると以下のようになると思います。
日本の資格も独断で追加しています。ほかにもこういう日本の資格があればぜひ教えてください。
日本版のロードマップも欲しい…。

• オフェンシブ x 上流
  • Security Operations の Penetration Testing や Exploitation
  • Security Architecture and Engineering
  • 【日本】Securist 認定セキュアWebアプリケーション設計士
• オフェンシブ x 下流
  • Security Operations の Penetration Testing や Exploitation
  • Software Security
  • 【日本】Securist 認定脆弱性診断士
  • 【日本】ウェブ・セキュリティ基礎試験(徳丸基礎試験）
• ディフェンシブ x 上流
  • Security Architecture and Engineering
  • Security and Risk Management
  • Security Operations の Forensics や Incident Handling
  • 【日本】IPA 情報処理安全確保支援士
• ディフェンシブ x 下流
  • Security Operations の Forensics や Incident Handling
  • Security Assessment and Testing
  • Asset Security
  • 【日本】IPA 情報セキュリティマネジメント

まとめ

200職とはいきませんでしたが、セキュリティエンジニアの仕事を4つの象限に分類し、ほんの一部ですが例を挙げました。
もしセキュリティに興味があれば、ぜひこの記事を参考にどの象限を目指すのか考えながらキャリアを一歩ずつ歩んでいただければ幸いです。

セキュリティエンジニアはネットワークエンジニアやアプリケーションエンジニアからの転身が多いですが、ネットワークとアプリケーションの両方の知識が求められます。
僧侶の回復呪文と魔法使いの攻撃呪文の両方が使えるまさに賢者のような存在をぜひ目指しましょう！

関連するかもしれない記事

• エンジニアって200色あんねん

1. みすてむず いず みすきーしすてむずはMisskeyサーバーの1つで、ITに関わる人が参加する分散型SNSです。 ↩