このAI時代に、私がもう一度文系・未経験からセキュリティ業界に入るなら

はじめに

「文系・未経験からセキュリティは無理」
この言葉を理由に、挑戦を諦めてしまう人は多いと思います。

ですが、少なくとも私はこの意見には賛成できません。
私は文系・未経験からIT業界に入り、
現在はセキュリティコンサルタントとして働いています。

このAI時代に

AIの進化によって、
「この先、セキュリティの仕事はAIに奪われるのではないか」
と不安に感じている人は多いと思います。

特に、

• 文系出身
• IT・セキュリティ未経験
• プログラミングや数学が得意ではない

こうした前提条件があると、
「今から目指して意味があるのか」と感じてしまうのも無理はありません。

この記事では、
「もし私が、AI時代の今、もう一度文系・未経験からセキュリティ業界に入るならどうするか」
という視点で、現実的なキャリア形成の考え方を整理します。

筆者の経歴

参考までに、筆者の経歴を簡単に記載します。

• 文系・IT未経験からIT業界に転職
• IT業界歴：4年
• 保有資格
  • CISSP
  • 情報処理安全確保支援士
  • CompTIA Security+
  • 情報セキュリティマネジメント試験
  • etc…

より詳しいキャリアの歩みについては、
私の別記事「高校中退ニートがセキュリティコンサルになるまで」で
未経験からコンサルタントになるまでの具体的な経緯をまとめています。

現在はセキュリティコンサルタントとして、
セキュリティ運用支援、内部不正対策、ガバナンス領域を中心に業務を行っています。

特別なバックグラウンドがあったわけではなく、
文系・未経験から資格で基礎を固め、実務でアウトプットする
という形でここまで来ました。

そのため、本記事で書いている内容は
「理想論」ではなく、自分自身が実際に歩いてきた現実的なルートを前提にしています。

同じように文系・未経験からセキュリティ業界を目指す方の
参考になれば幸いです。

AIによってセキュリティの仕事はなくなるのか

結論から言います。

仕事は、確かになくなります。

ただし、なくなるのは
単純作業で、誰がやっても同じ結果になる定常作業です。

例えば、

• 手順書どおりにアラートを処理するだけ
• ログを機械的にチェックするだけ
• 決まった文言を報告書に貼り付けるだけ

これらは、AIが最も得意とする領域です。

一方で、次のような仕事は今後も残り続けると思います。

• これは事故か、攻撃かを判断する
• どこまで調査すれば十分かを決める
• ビジネスや法務を踏まえて対応方針を決める
• AIが作成したアウトプットをレビューする

セキュリティの仕事は、
「作業」から「判断」へと比重が移っていると言えます。

文系・未経験が最初に捨てるべき考え方

文系・未経験の人が最初につまずきやすいのが、次の考え方です。

セキュリティをやるにはネットワークもOSも暗号も全部理解しないといけない

これは、AI以前の時代の発想です。

現在は、

• コマンドやログの意味
• 英文アラートの翻訳
• 技術ドキュメントの要約

といった作業は、AIがかなりの精度で補完できます。

文系・未経験者が最初に身につけるべきなのは、
技術知識そのものではなく「判断の軸」 です。

• 何がリスクになりうるのか
• どの時点でエスカレーションすべきか
• どこまで調べれば「十分」と言えるのか

知識は後からでも追いつきます。
判断の軸がないまま知識だけを増やすのは、効率がよくありません。

文系出身がセキュリティで活躍できる理由

日本ではいまだに
「セキュリティ＝理系・技術者の仕事」
というイメージが強いですが、必ずしもそうではありません。

実際、セキュリティの現場で求められているのは、

• 技術的に何が起きているのかを理解する力
• それがどんなリスクになるのかを整理する力
• 非技術者にも分かる言葉で説明する力

です。

この点において、文系出身者は決して不利ではありません。

• 文章を書く力
• 抽象化・構造化する力
• 利害関係者を調整する力

これらは、セキュリティの実務で非常に重要です。

技術を「作る」人は多くても、
技術を「翻訳し、判断につなげる」人は多くありません。

アメリカでは法学出身者がセキュリティ分野で活躍している

海外、特にアメリカでは、
文系出身者、なかでも法学出身者がセキュリティ分野で活躍するケースは珍しくありません。

理由は明確です。

セキュリティは、単なる技術課題ではなく、
リスク・責任・ルール・説明責任を扱う分野だからです。

• どの情報が保護対象なのか
• どこまで対策すれば「十分」と言えるのか
• インシデント時に、誰が・いつ・何を説明すべきか

これらは、技術知識だけでは答えが出ません。

日本でも「法×セキュリティ」の需要は高い

日本においても、
セキュリティは法制度と切り離せない領域になっています。

• 個人情報保護法
• GDPR
• サイバーセキュリティ基本法
• 各種ガイドライン・業法・契約条項

実務では、これらを前提にしたうえで、

• 技術的に何ができるのか
• 法的に何が求められているのか
• 現実的にどこまで対応すべきか

を整理し、意思決定する必要があります。

現場ではよく、

• 技術者の説明が法務に伝わらない
• 法務の懸念が技術者や経営者などに伝わらない

という断絶が起きます。

このギャップを埋められる人材は、
今後ますます価値が高まります。

文系出身者が狙うべき立ち位置

文系出身者がセキュリティ分野で価値を出すうえで、
必ずしも「技術を極める」必要はありません。

ただし、
技術を理解しようとする姿勢は不可欠だと感じています。

文系出身者にとって最も相性が良い立ち位置は、

• 技術そのものを作る人、ではなく
• 技術を理解し、整理し、意思決定につなげる人

です。

具体的には、

• 技術者の説明を理解し
• それをリスクや影響として整理し
• 非技術者（経営・法務・現場）に説明する

という役割です。

セキュリティの現場では、

• 技術的には正しいが、判断につながらない説明
• リスクは高いが、現実的でない対策案

が往々にして生まれます。

ここを埋める役割は、
技術力だけでは担えません。

文章力、構造化力、説明力といった
文系出身者の強みが、そのまま活きる領域です。

この役割は、
AIが進化しても完全には代替できません。

なぜなら、

• 何を重要とみなすか
• どこまで対応すべきか
• 組織としてどう判断するか

といった意思決定は、
常に文脈と人間の判断を必要とするからです。

文系出身者が目指すべきなのは、
「技術 × セキュリティ × ガバナンス」
この交点に立つポジションだと思います。

この領域の重要性は、今後さらに高まっていくはずです。

いきなり上流は目指さない、ただし視点は上流に持つ

文系・未経験から、
いきなりセキュリティアーキテクトやCISOを目指す必要はありません。

現実的な入り口は、

• SOC
• セキュリティ運用・監視

といった運用寄りの領域です。

ただし重要なのは、
作業者の視点で終わらないことです。

例えば運用業務の中でも、

• このルール、誤検知が多すぎないか
• 人が少ない前提で、この設計は回るのか
• このアラートは誰が見て判断する想定なのか

こうした問いを持てる人は、
単なるオペレーターではなく改善できる人材になります。

AI時代に残るのは、
作業をこなす人ではなく、構造を変えられる人だと思います。

文系・未経験こそ、早く「AIを使う側」に回る

AI時代のキャリアで、最も差がつくのはここです。

AIを恐れる人と、
AIを前提に仕事をする人では、数年後に大きな差が出ます。

例えば、

• ログをAIに読ませて「何が起きているか」説明させる
• インシデント報告書のドラフトをAIに作らせる
• 海外事例や英文アラートを要約させる

最初から完璧である必要はありません。
レビューする前提で使うことが重要です。

この経験を積むことで、

• AIの弱点や限界が分かる
• 「ここは人が判断すべき」という感覚が身につく

結果として、
AIの価値が上がるほど人材価値が上がる側に回れます。

それでも私は「資格取得」をおすすめする

特に文系・未経験からの場合

ここまで読んで、
「結局、何から勉強すればいいのか分からない」と感じた人もいると思います。

結論をはっきり言います。

文系・未経験からセキュリティ業界に入るなら、資格取得は強くおすすめします。

理由はシンプルです。

資格は、セキュリティの基礎を体系的に学べる最短ルートだからです。

資格が有効な理由

文系・未経験者が独学でつまずきやすいのは、

• 何が重要で、何が重要でないか分からない
• 知識が点で覚えられ、つながらない
• 実務でどう使われるかイメージできない

という点です。

資格試験は、

• 基礎として必要な範囲が整理されている
• 概念が構造的にまとめられている
• 実務との対応関係をイメージしやすい

という意味で非常に相性が良いです。

資格＝インプット、実務＝アウトプット
この形が、最も成長しやすいと感じています。
資格で基礎を学び、基礎知識を用いて実務で応用していく。
このサイクルを繰り返すことで、格段に成長できると思います。

文系・未経験におすすめの資格ルート

以下の順番で勉強することをお勧めします。

1. 情報セキュリティマネジメント試験
2. CompTIA Security+
3. 情報処理安全確保支援士
4. CISSP

①情報セキュリティマネジメント試験

• セキュリティ用語に慣れる
• 全体像を掴む
• 文系でも取り組みやすい

最初の一歩として最適です。

②CompTIA Security+

• 攻撃・防御の考え方
• ネットワーク・クラウドの基礎
• 実務との対応が分かりやすい

この段階で、現場の話がかなり理解できるようになります。

③情報処理安全確保支援士

• 技術だけでなく運用・管理視点
• 日本企業の実務と強く結びつく
• 「考えさせる」試験

支援士を取る頃には、基礎を身につけ、
実務を通してこの業界の歩き方が見えてくるはずです。

④CISSP

• セキュリティ全体を横断的に理解
• 上流・判断側の視点
• 専門分野を深めるための土台

この頃には、自分の得意分野・好きな分野が見えてきます。

文系・未経験なら「最初の1年」はこう動く

ここまでの話を踏まえ、
文系・未経験の立場であれば、最初の1年は次のように動くのが現実的だと思います。

0〜3ヶ月

• 情報セキュリティマネジメント試験、またはSecurity+の学習
• SOCや運用業務でログ・アラートに慣れる
• 分からない用語はAIで即調べる

理解できなくて当然の時期です。

3〜6ヶ月

• 実務で「なぜこの対応なのか」を意識する
• 誤検知や運用負荷に目が向き始める
• 情報処理安全確保支援士の学習を開始

点だった知識が、少しずつ線でつながり出す時期だと思います。

6〜12ヶ月

• 実務と試験範囲が結びつく
• 自分の得意・苦手分野が見えてくる
• 次に伸ばす分野を考え始める

この頃には、
セキュリティ業界の歩き方が分かってくるはずです。

セキュリティの魅力

セキュリティの面白さは、
すべての領域に関われることだと個人的に思います。

• インフラ
• クラウド
• アプリケーション
• 内部不正
• 法務・監査・経営

まずは資格で基礎基本を固める。
その後、自分の好きな分野・得意な分野を見つけて、
そちらに進むことをおすすめします。

よくある不安への補足Q&A

Q. 文系・未経験でも本当にやっていけますか？

A. やっていけます。

ただし、 「凄腕のホワイトハッカー像」を追うと厳しいと思います。

テクニカルな領域、特にホワイトハッカーやペンテスターは、

• 大学などでコンピューターサイエンスを体系的に学び
• その後も膨大な時間を使って技術力を磨き続ける

という前提で成り立っている世界です。

昨今のセキュリティ業界を見ると、

• セキュリティサービスのコモディティ化が進み
• トップレベルの技術力を持つ層に需要が集中し
• 中途半端な技術力だと
  • 単価が上がりづらい
  • 他社と案件の奪い合いになりやすい

という構造になってきていると感じます。

もちろん、
文系・未経験からでもホワイトハッカーやペンテスターを目指すこと自体は不可能ではありません。
ただ、自分が同じ立場なら、コストパフォーマンスを考えてその道は選ばないと思います。

「好きこそ物の上手なれ」ですので、
純粋に技術が好きな方は、ぜひその道を突き詰めてほしいとも思っています。

一方で、

正直、そこまで技術に強い興味はない
ずっと最前線で技術を追い続けるのはしんどそう

と感じる方には、別の戦い方があります。

その場合は、
判断・説明・調整に価値を出す方向を強くおすすめします。

• 技術的な事象をリスクとして整理する
• 非技術者にも分かる言葉で説明する
• 組織として現実的に回る判断を下す

この領域は、
文系・未経験でも参入しやすく、かつAI時代でも価値が落ちにくい分野です。

Q. プログラミングは必須ですか？

A. 必須ではありません。

ただし、コードを怖がらずに「読もう」とする姿勢は重要です。

実務の話をすると、
私自身、仕事上でコードを読む機会はほとんどありません。

セキュリティの仕事＝常にコードを書く・読む、
というわけではありません。

Q. 資格だけ取っても意味がないのでは？

A. その通りです。

資格はインプット、実務でアウトプットして初めて意味を持ちます。

資格を取ること自体がゴールになると、
実務ではほとんど役に立ちません。

ただし、文系・未経験の立場では、
資格は非常に有効なインプットの材料になります。

• 何を学ぶべきかが整理されている
• 基礎概念を体系的に理解できる
• 実務で出てくる用語に戸惑いにくくなる

という点で、独学よりもはるかに効率的です。

資格はあくまで、
「良質に整理された教材」 と考えるのがちょうど良いと思います。

資格で得た知識を、

• 実務の中で「あ、この話だ」と結びつける
• 分からない部分を深掘りする
• 自分なりの理解に書き換える

このサイクルを回すことで、
資格は初めて 「意味のあるもの」 になります。

まとめ

AIの進化で、セキュリティの仕事は確かに変わっていると実感しています。
ただし、それは「なくなる」のではなく 「形が変わる」 だけです。

• なくなるのは、考えなくてもできる仕事
• 残るのは、判断・レビュー・設計の仕事

文系・未経験であっても、

• 資格で体系的にインプット
• 実務でアウトプット
• AIを使って学習を加速

この回し方を意識すれば、
AI時代でもセキュリティ業界で十分に戦えると思います。
むしろAI時代だからこそ、これまで以上の学習効率で成長できる可能性も秘めています。

未来のセキュリティ人材に祝福を