セキュリティの本質とは、システムや情報資産などを攻撃者などの脅威から守ることであり、セキュリティエンジニアとは、それができる技術者だ。そのためには、守るべき対象を詳しく知っている必要がある。つまり、セキュリティエンジニアにとって重要なことは、サイバー攻撃自体に関する知識というより、むしろネットワーク、OS、ミドルウェアのようなシステムプラットフォーム全体に関する知識なのだ。
結論から言えば、セキュリティーエンジニアとは、すなわち「インフラエンジニア」である。インフラ運用をしていれば、セキュリティーは範囲に入る。セキュリティーの担保こそインフラエンジニアの主目的となる。全ての行動がセキュリティーを目的としていると言っていい。
セキュリティーとは、可用性・完全性・機密性の3つの要素を担保することになる。
一方でインフラエンジニアが関わるシステム運用においては、バックアップと監視、そして各構成要素のアップデート、保守期間の管理などが目的となる。これらをしっかりやることがセキュリティー維持になる。
システムと言っても、守備範囲は広範囲に渡る。時代の変遷でITは高度化するがインフラエンジニアが細分化したわけじゃないので何でもかんでもやらなきゃいけない。当然専門性や得意分野はあるが、1つの分野だけやってればいいような楽な時代じゃない。つまりは何でもやらされるのが現実解だ。
大きな組織ではインフラエンジニアが広範囲過ぎるので、その中からセキュリティーだけ切り出したのがセキュリティーエンジニア。だから職域が特別だとは思わない。セキュリティーに特化している分、他の業務をやらなくて良くて専門性を高められるのがインフラエンジニアとの違いと言ったところだ。それでも、上記の通り、ネットワーク、OS、ミドルウェア・・・だけじゃなくアプリケーションのセキュアプログラミングまで口を出さなきゃいけないくらい広範囲になる。
また最近は、アプリケーション開発者のローカルPC経由でランサムウェアの問題も起こるから、社内情シス的な視点も必要になる。
セキュリティーエンジニアを志したい方は、とりあえずインフラエンジニアとして仕事に従事しその中でセキュリティー分野を特化して行けばキャリアパスとしては間違いないはずである。
そういえば、私は情報処理安全確保支援士であり、インフラエンジニアである。こういう発想になるのは経験から、ということを付け加えておく。
※中小企業なので、セキュリティーエンジニアなんて細分化している余裕もなく、全部やらなきゃいけないというのも一理由。
