アフィリエイト広告を利用しています エンジニア転職 セキュリティ セキュリティエンジニア

未経験からのセキュリティエンジニア転職ロードマップ

11月 4, 2023

あなたはセキュリティに興味がありますか。

私はインフラエンジニアですが、WantedlyやLinkedIn経由でセキュリティエンジニアのスカウトがときどき届きます。

その経験から、本記事ではセキュリティの実務未経験から目指せるセキュリティエンジニアのポジションや求人セキュリティエンジニアに転職するために何を学びどんな転職活動をすればよいかをまとめました。

ペネトレーションテスターなどセキュリティを仕事にしているエンジニアにインタビューした内容も反映しているので信頼性は高いでしょう。

また、私の古巣であるテンプスタッフ・テクノロジー株式会社(現:パーソルクロステクノロジー株式会社)の先輩や同僚がセキュリティベンダーなどに転職していったので、そのときの実例も盛り込んでいます。

未経験からセキュリティエンジニアを目指すキャリアパス

セキュリティエンジニアのキャリアの入口となるポジション

セキュリティ未経験からキャリアチェンジしやすいのはペネトレーションテスター(脆弱性診断する人)SOCオペレーター/アナリスト(セキュリティ監視を行ってインシデントの検知・特定・分析をする人)のポジションだと思います。

セキュリティエンジニア転職に必要な経験

プログラマやインフラエンジニアが経験年数3年以上になるとセキュリティエンジニアへのキャリアチェンジが見えてくる印象。

ペネトレーションテスターだとプログラマSOCオペレーター/アナリストだとインフラエンジニアがそれぞれ目指しやすいイメージです。

実際、インフラエンジニアの私に対するスカウトもSOCオペレーター/アナリストが中心でした。

インフラエンジニアとして運用監視や運用設計を担当し、自分が構築したオンプレミスの社内サーバに対してOSSの脆弱性診断ツール(NessusやVulsなど)を使ってスキャンした経験がある点などが評価されたようです。

セキュリティエンジニアの求人検索方法

パーソルクロステクノロジー株式会社やパーソルプロセス&テクノロジー株式会社では、dodaにて未経験歓迎でセキュリティに興味があれば応募できるセキュリティエンジニアの求人を掲載しています。

他の転職サイトでもセキュリティエンジニアの求人は探せますが、未経験歓迎の求人はdodaやGreenが見つけやすいので実際に検索してみてどんな企業が募集しているのかチェックしてください。

ちなみに、パーソルクロステクノロジー株式会社の前身であるテンプスタッフ・テクノロジー株式会社は私の古巣なのですが、エンジニアにとって居心地がいい企業なのでおすすめですよ。

他にはKDDIデジタルセキュリティ(KDDIとラックの合弁企業)や株式会社ウェブレッジ(デロイトトーマツグループ)、株式会社ベリサーブ(SCSKグループ)、CTCシステムマネジメントシステム株式会社など大手グループ企業でもセキュリティ実務未経験OKのポジションをdodaで募集しています。

セキュリティエンジニアの転職ロードマップ

セキュリティの基礎知識を学ぶ

セキュリティの情報源

ウェブサイト
piyolog
 セキュリティインシデントやシステム障害についてまとめたブログ
CVE(Common Vulnerabilities and Exposures)
 脆弱性やインシデントにCVE識別番号を割り当ててリスト化したサイト
JVN(Japan Vulnerability Notes)
 脆弱性に関する情報や対策を公開しているポータルサイト

ポッドキャスト
セキュリティのアレ
 SBテクノロジー 辻 伸弘さんの番組

X(Twitter)アカウント
徳丸 浩 さん
Sen UENO さん
辻 伸弘 さん
piyokango さん
Masafumi Negishi さん
Shota Shinogi さん
とある診断員 さん
Isao Takaesu さん
YONEUCHI, Takashi さん

これらの情報源を使ってセキュリティ関連の情報収集を怠らないようにしましょう。

また、最近発見された脆弱性やシステム障害が自社のサービスやインフラにどの程度の影響やリスクを与えるのか常に自分事として考え、必要があれば上司に報告・提案する姿勢を心がけてください。

これらのドキュメントも最新版を読んでおくといいでしょう。

専門家を目指すなら読んでおきたいセキュリティ入門書

徳丸 浩 さんのセキュリティ入門本
上野 宣 さんのセキュリティ入門本
IPUSIRON さんのセキュリティ入門本
黒林檎 さんのセキュリティ入門本
キム ペーター さんのセキュリティ入門本
折原 慎吾 さん などのセキュリティ入門本
ペネトレーションテストを体験できるセキュリティ入門本
マルウェアについてこれ1冊で学べるセキュリティ入門本

ガチのセキュリティ初心者にとって、これらは入門書と思えないほど内容が難しく感じるかもしれません。

しかし、セキュリティを仕事にしたいなら、これらの書籍は一通り読んでおきましょう。

徳丸さんの本も読んでないのにセキュリティエンジニアになりたいと言うのは、セキュリティ業界の人たちからすると「呆れてものも言えない」「聞いているこっちが恥ずかしい」レベルです。

セキュリティ初心者向けの勉強会

勉強会(ハンズオン)
 脆弱性診断研究会 (OWASP ZAPで脆弱性診断)
 MBSDセキュリティ勉強会 (Burp Suiteで脆弱性診断)

カンファレンス
 AVTOKYO
 CODE BLUE

OSSコミュニティのイベント
 OWASP Night
 Burp Suite Japan LT Carnival
 Vuls祭り

セキュリティのトレンドを学んだり、脆弱性診断などのスキルを身につけたりするのに勉強会参加は効果的です。

セキュリティ業界内での人脈形成もできるので積極的に参加しましょう。

これ以外の勉強会(オンラインのものも含む)は connpass / Doorkeeper / TECH PLAY などのサイトで探すことができますよ。

セキュリティの大学院進学

神奈川県横浜市にある情報セキュリティ大学院大学。

私事ですが、当時の勤務先を辞めてここに入学することを一時期本気で検討しました。

WEBオープンキャンパスも開催されているので、興味があれば参加してみてはいかがでしょうか。

セキュリティの資格取得

駆け出し時代に取得したい資格
 compTIA Security+
 情報セキュリティマネジメント試験

転職活動前にできれば取得したい資格
 情報処理安全確保支援士試験
 認定脆弱性診断士

セキュリティ専門家を目指すなら取得したい資格
 CISSP
 認定ホワイトハッカー(CEH)

compTIA Security+や情報セキュリティマネジメント試験は新卒が入社1年目に取得を目指すレベルの資格なので、将来セキュリティに関わりたいなら合格しておきたい資格です。

情報処理安全確保支援士として登録するか否かは各々の自由ですが、合格したあとで登録しなくても合格が無効になることはない様子なので、転職時にアピールするためにも合格はしておきたいところ。

セキュリティのスキルアップ

セキュリティ競技の大会に出場する

SECCON CTFHardening Projectなどのセキュリティに関するスキルを競う大会に出場することで実力を高めましょう。

大手SIerや通信キャリアなどの社員がチームを組んで参加することもあるので、セキュリティ業界内での横のつながりを作ることも可能です。

Udemyのセキュリティ講座を受講する

Udemyではセキュリティについてハンズオン形式で学べる講座が多数公開されています。

講座内容やレビューを確認し、興味がわくテーマがあれば受講してみてはいかがでしょうか。

定期的にセールを実施しているので、そのタイミングで購入するのがおすすめです。

脆弱性診断ツールなどを実機で独学する

自宅でできる独学の一例

Vuls(脆弱性検知ツール)でローカルのサーバをスキャンする

ローカルのOWASP BWAに対してOWASP ZAPで脆弱性診断を行う

Open Source Tripwireをサーバに入れて改ざん検知を試す

自宅にあるサーバやパソコンにインストールしたツールを用いて実機で脆弱性診断などを試すのもいいでしょう。

手順は有志がブログやQiitaなどで公開しています。

セキュリティ初心者で何から準備すればいいのかわからない場合、Web脆弱性診断ツール「OWASP ZAP」をテーマにした脆弱性診断研究会やローカルプロキシツール「Burp Suite」を使うMBSDセキュリティ勉強会などの勉強会に参加するのもおすすめ。

ちなみに、脆弱性診断などの練習はローカル環境(自宅の閉じたネットワーク内)で自分が管理しているサーバに対してのみ行うようにしてください。

インターネット上で公開されている第三者が管理するサイトに対して行うと不正アクセスと見なされる恐れがあります。

おすすめ転職エージェント

TechClipsエージェント

・年収UP率93%
・求人は自社サービスを持つ事業会社に特化
・現役エンジニアがキャリアコンサルタント

クラウドリンク

・100%自社内開発求人に強い
・平均58.3万円の年収アップ
・多数のフルリモート案件を取り扱い

テックゲート転職

・Web開発会社が運営
・未経験OKの求人豊富
・専任アドバイザーがフルサポート

  • この記事を書いた人

たけし

30代インフラエンジニア。DPro卒業生。

テンプスタッフ・テクノロジー株式会社などの正社員として特定派遣やSESで働く。
炎上案件や元請けSIerプロパーのパワハラに嫌気が差し自社サービス開発企業に転職。

充実した日々を送る中で、駆け出し時代に1から仕事を教えてくれた上司や助けてくれた先輩、病んでいたとき支えてくれた仲間のおかげで今があると気づき、悩めるエンジニアたちのキャリア相談にのりはじめる。

未経験からエンジニア転職したい方、客先常駐を辞めてサービス開発したい方にプログラミング独学法や未経験可・Web系求人探しのコツ、ブラック企業の見抜き方を紹介。

転職サポートをした10名ほどからWebエンジニアの内定報告をもらう。

-エンジニア転職, セキュリティ, セキュリティエンジニア