しごとガイド

IT・コンピュータ(エンジニア系)系

セキュリティエキスパート(脆弱性診断)

セキュリティエキスパート(脆弱性診断)とはどんな職業か、なり方や仕事内容、年収、悩み、求人に関する情報をご紹介。

セキュリティエキスパート(脆弱性診断)

こんなページもオススメ!

セキュリティエキスパート(脆弱性診断)になるには

続きを読む

2000年頃から生まれた職業であり、まだ定型的な入職ルートはない。高専や専門学校で情報系を学んだ者も、大学卒や大学院卒も居る。大学卒、大学院卒の理系をイメージするが文系も多い。セキュリティ・キャンプ(学生に対して情報セキュリティに関する高度な教育を実施し、次代を担う情報セキュリティ人材を発掘・育成するために情報処理推進機構が実施している事業)に参加した学生は、この分野の基礎は身に着けていると評価される。また、脆弱性診断に関する世界的なコンテストがあり、その上位者は実力が認められ、仕事をオファーされたり、ヘッドハントされたりする。

システム開発を行ってきた者がこの仕事をするようになることも多い。システムの中身を知っていることが脆弱性診断を行う上で強みとなる。デジタルフォレンジックを行っていた者やシステムの運用を行っていた者が移ってくることも多い。ただし、開発を行うエンジニア等が仕事の一部として行っていることは少なく、多くの場合、脆弱性診断を専門に行っている。同業他社間での移動は非常に多い。個人としての転職の動機は「自分の強みを発揮したい」、「新たな仕事にチャレンジしたい」等が多く、会社側は「強化したい分野の人材を求める」等の理由が多い。話題性のある新しい、チャレンジしたい仕事がある会社に専門能力を高めたい人材が流れていく傾向がある。

関係団体が仕事に必要とされるスキルを体系化するプロジェクト(スキルマッププロジェクト)を進めており、「技術に関する基礎知識」、「脆弱性に関する基礎知識」、「診断業務の基礎知識」、「評価に関する知識」、「報告に関する知識」、「関係法令の知識」として整理されている。スキルの体系から教育訓練カリキュラム(シラバス)を作成する動きもあり、さらに資格化も検討されている。ただし、手動診断などでの高度な診断は専門性が非常に高く、状況の変化も激しいため、会社や団体が教育訓練を行うことは難しい。自身の興味、関心から、専門知識を深め実務の経験等を通してスキルを極めていく形で自分の能力を高めていく場合が多い。
必要な情報の大半は英語のため、英語能力も必要であるが、自動翻訳の性能が向上しそれも使いながら情報を得られればよい。

仕事に必要な新鮮な情報は関係コミュニティや業界団体から得ることが多い。新しいセキュリティの問題点等、コミュニティ参加者のSNSで話題になることが多い。
ある程度の知識とスキルを身に着け会社に入り、仕事をしながら力を付けていく。典型的なコースとしては、まず、プロジェクトマネージャ等のもと、診断のガイドラインに沿って、スキャナを使用した自動検査を担当する。診断実施計画書に沿ってこのレベルの作業を行うだけであれば、数か月から半年でもできる。このような自動検査の経験を積み、手動検査を担当するようになる。手動検査では脆弱性の診断実施計画書、ガイドラインに沿って作業を行うが、非定型な要素が多くなり、経験に基づく勘や閃きのようなものが必要となる。このためこのレベルになるには3~5年かかる。

キャリアの次の段階は診断プロジェクトのマネジメントであり、経験を積んだ者が診断案件を担当し、顧客との交渉や診断プロジェクトの管理を行う。診断のスキルに加えてビジネススキルやマネジメントスキルが求められる。
その次の段階がグループのマネジメントであり、会社の課長、部長に相当する。会社の経営計画に沿って、診断プロジェクトのマネジメントを行う者をまとめたり、新たな事業展開を進める。グループを引っ張るリーダーシップ、社会や技術の先を読む先見性、周辺分野の動きが分かる広い視野が求められる。

一方でこのようなマネジメントに進むのではなく、顧客や一般向けの研修の担当者となったり、脆弱性診断の特定分野の専門性を高めていく者もいる。診断スキル以上に、この仕事では高い倫理観と使命感が求められる。診断のスキルや知識を悪用し、情報システムを攻撃したり、情報を盗み取ることもできてしまうためである。脆弱性診断はより高度な細分化された知識が必要になっており、新しいシステムも次々に登場するため、探求心、好奇心が求められる。

仕事内容

続きを読む

様々な情報システムが外部からの侵入や攻撃に対して弱点や問題点がないか診断する。そのため情報システムを擬似的に攻撃するが、実際にシステムを壊し、サービスが停止する事態は避ける。脆弱性診断士、脆弱性診断エンジニアと呼ばれることもある。

情報セキュリティ関係の仕事としては様々なものがある。情報システムがセキュリティ上問題ないか監査したり(セキュリティ監査)、情報システムの脆弱性の診断をしたり(脆弱性診断)、攻撃による事故等が発生したときに痕跡や原因を調べたり(デジタルフォレンジック)、そして、システムへの外部からの攻撃や不正アクセスを監視し、インシデント発生時の対応を行うセキュリティエキスパート(オペレーション)の仕事もある。これらの中でここでは脆弱性診断を解説する。

脆弱性診断の対象となるハードウェアはWebサーバーが多いが、スマートフォン、PC、IoT機器等も含まれ、幅広い。さらには最近では自動運転等の開発が進む自動車や、AI(人口知能)のシステムも対象となる。対象となるソフトウェアも、Windows、Linux等OS(オペレーティングシステム)、データベース等ミドルウェア、更にこれらの上で動くアプリ(アプリケーションソフトウェア)等、幅広い。脆弱性を狙った攻撃は政治的、経済的意図による海外からのものが多く、国内からの本格的な攻撃は少ない。

情報システムのセキュリティに関して検討する方法としては「脆弱性診断」と「ペネトレーションテスト」がある。脆弱性診断とはシステムに存在する脆弱性やセキュリティ上の不備についてツール等を使用して網羅的に診断するものである。ペネトレーションテストとは、情報サービスを止める、システムに侵入する、内部情報を不正に取得する等、特定の意図による攻撃が成功するかどうか、テストするものである。情報システムの脆弱性だけでなく、従業員教育も含め組織が様々な攻撃に対して問題ないか検討する。

脆弱性診断の方法としては「自動診断」と「手動診断」がある。「自動診断」では、製品版あるいは無料の自動検査ソフトウェアを使用して脆弱性を診断する。Webサイトの診断ではWebアプリケーションスキャナ(略して「スキャナ」)が用いられる。マニュアルに従って行うこともでき、脆弱性診断にそれほど詳しくなくてもできる。「手動診断」では脆弱性診断の専門知識を持つ者が直接、各種検査を実施する。なお、手動診断の中でも効率的な作業のために各種ソフトウェアは利用される。診断に用いるソフトウェアやツールは大半が米国等海外のものである。

診断は概ね、①診断前の打合せと準備→②診断の実施、脆弱性評価、レポート作成→③診断結果の報告とアフターフォローという流れになる。
「①診断前の打合せと準備」では顧客と打合せをしながら、診断対象を確認し、どこに重点を置くか等診断の順位づけを行う。ここで診断対象となるシステムは様々なため、対象システムについて事前に勉強する必要もある。例えば医療系のシステムであれば、そのシステムがどのように医療現場で利用されるか知っておく必要がある。診断の内容と方法の説明を行い、経費の見積もりを顧客に提示する。また、作業に必要なアカウントや権限を顧客から提供を受けたり、診断対象への接続方法や作業場所の準備も行う。多くは自社からネットワーク経由で接続し、診断作業は自社で行うが、データセンター等顧客のシステムの設置場所で行う場合もある。この診断前の打合せと準備に基づき診断実施計画書を作成する。
「②診断の実施、脆弱性評価、レポート作成」では診断実施計画書を基に、自動診断、手動診断により診断を行う。自動診断、手動診断が適切に行われているか確認し、診断ツールからの出力結果も利用しながら、脆弱性の評価を行い、レポートを作成する。
「③診断結果の報告とアフターフォロー」では、診断結果を顧客に報告し、対処法を顧客と検討する。対処が行われた後、対処が適切に行われ、脆弱性が解消したか、再診断を行い確認する。

脆弱性診断がどの程度の期間になるかは、Webサイトのページ数等、対象システムの大きさ、また、診断実施の難しさ等による。短ければ数日で終わる場合もあるが、1か月程度かかることもある。診断の経費としても数十万円から数百万円、中には数千万円と様々である。
脆弱性診断は2、3人のチームで行うことが多い。これは診断作業を手分けしたり、それぞれの得意分野を組み合わせたり、診断の評価を相互にチェックするためである。

◇ よく使う道具、機材、情報技術等
 脆弱性診断ツール、自動検査ソフトウェア、Webアプリケーションスキャナ、文書作成ソフト(Word、一太郎等)、表計算ソフト(Excel、スプレッドシート等)、プレゼン資料作成ソフト(PowerPoint、Keynote等)、パソコン

募集中の関連求人

勤務地:

脆弱性診断・セキュリティエンジニア募集/サイバーセキュリティ専門企業/東証マザーズ上場

グローバルセキュリティエキスパート株式会社

  • 東京都港区
  • 年収500万円〜700万円
  • 正社員
グローバルセキュリティエキスパート株式会社 【脆弱性診断・セキュリティエンジニア募集】サイバーセキュリティ専門企業/東証マザーズ上場 【仕事内容】 【脆弱性診断・セキュリティエンジニア募集】サイバーセキュリティ専門企業/東証マザーズ上場 【具体的な仕事内容】 【サイバーセキュリティ専門企業で確かなスキルを身に付けませんか?】 当社は中堅・中小企業のセキュリティ教育、脆弱性診断、組織体制づくり、セキュリティ製品導入、緊急対応などをフルラインナップで提供する業界唯一の存在です。 ご入社頂いた際には、Webシステムに加え、ブロックチェーンやクラウド、エンドポイント端末など、様々なシステムを対象に擬似続きを見る

スタンバイ

求人をもっと見る

※求人情報や一部記事コンテンツは、求人検索エンジン「スタンバイ」のサイトに移動します。

働き方の特徴

続きを読む

脆弱性診断を専門に行う会社で働いている場合が大半であるが、情報システムを運営する会社や情報システムを開発する会社に所属し、脆弱性診断を行っている場合もある。顧客となる大手企業が東京等大都市に集まっているため、脆弱性診断を行う会社も都内に集中している。診断はリモートでもできるため地方に拠点がある会社もある。脆弱性診断を専門に行っているのは日本の企業であり、外資系の企業はほとんどない。

新しい職業でもあり、就業者数、年齢構成、男女比等の統計はない。この分野の専門家が集まるコミュニティの構成人数等から、日本全体で数百人程度、年齢は30歳代が多く、20歳代が次いで多く、女性は1割程度であると考えられる。

顧客のセキュリティ、機密情報に接することから、大半は正社員であるが、中には高い診断スキルを買われ、フリーランス、請負等で診断プロジェクトに参加する者もいる。
賃金、労働時間、休日等は勤務先の規定によるが、通常のIT企業の会社員とあまり変わらない。特殊なスキルを必要とされることから、賃金が高い場合もある。

システムやソフトウェアの脆弱性やバグを発見すると、賞金を出すというような仕組みがあり(バグバウンティ;脆弱性報奨金制度;バグ報奨金制度)、その賞金が副収入となったり、また、脆弱性やバグの発見能力を買われて、海外の会社に転職する者もそれほど多くはないがいる。バグバウンティで副収入を得ることは大半の会社が認めている。

情報システムの利用が広がる中で、サイバー攻撃の件数も年々増加傾向にあり、攻撃手法自体も高度化、複雑化していることからセキュリティの重要性は増しており、仕事も就業者も増加傾向である。システムの開発や運用において、脆弱性診断を義務づける動きもあり、このことからも仕事が増える傾向にある。
診断ツールが良くなり、これまで3人で行っていたものを一人でできるようになったりはするが、それ以上に仕事が増えている。自動車の自動運転のような新しい技術が出てくると、そこにはまた新たにセキュリティの問題も生じる。新しい情報システムが生まれれば、セキュリティの仕事も増えるという具合に仕事は広がり続けている。

年収などの統計データ

  • 就業者数

    176,120

    (出典:平成27年国勢調査)

  • 労働時間

    163時間

    (出典:令和3年賃金構造基本統計調査)

  • 賃金(年収)

    558.8万円

    (出典:令和3年賃金構造基本統計調査)

  • 年齢

    41

    (出典:令和3年賃金構造基本統計調査)

  • 求人賃金(月額)※1

    29万円

    (令和3年度)

  • 有効求人倍率※2

    0.9

    (令和3年度)

  • ※1 ハローワークの無期フルタイム求人の賃金欄の中間値の平均(実数値)
  • ※2 ハローワークの「無期又は4ヶ月以上の雇用期間のあるフルタイム」の求人数を同条件を希望する求職者数で除したもの(実数値)

この職業に関する悩み・相談

質問をもっと見る

人気の質問をチェック

「年収」に関する質問

「資格」に関する質問

同じ分野の職業

求人選びに迷ったら転職エージェントに相談

転職エージェントは、無料で転職について相談できるキャリアアドバイザーです。
初めての転職に不安を抱えている人や、効率良く転職活動を進めたい方におすすめです。

関連記事・コンテンツ

転職エージェントとは

転職サイトとの違いや利用の流れ、活用ポイントを徹底解説

総合系転職エージェント
求人数ランキング

<いつもと違うしごとも見てみませんか?>

覆面調査に関する求人(東京都)

東京/業界職種未経験コンビニの覆面調査・リーダー候補/ローソン100%出資で安定残業月10h

株式会社ベストプラクティス

正社員

年収400万円〜410万円

株式会社ベストプラクティス 【東京】業界職種未経験◎コンビニの覆面調査・リーダー候補/ローソン100%出資で安定残業月10h 【仕事内容】 【東京】業界職種未経験◎コンビニの覆面調査・リーダー候補/ローソン100%出資で安定残業月10h 【具体的な仕事内容】 ~社会インフラのコンビニを支えるお仕事・・SV(スーパーバイザー)に調査結果を伝えて現場の改善・様々な地域への出張を楽しめる方◎リーダー候補としての募集~ ■業務内容:・自店および競合店調査を行い、調査書を作成いただきます。 (1)調査の準備、集計業務(2)調査報告書作成、納品提案資料作成(3)チームマネジメント(スタッフ職登用後)※調査続きを見る

提供:doda

調査員/覆面調査員/未経験者歓迎/未経験OK

(株)大倉ビル

正社員

月給35万円〜55万円

<仕事内容> 覆面調査員(未経験者歓迎) 稼ぎたい方、必見です! 弊社では、高収入を実現したい野心的な社員を求めています。 成果に報いる文化を大切にし、あなたの努力に対して対価を提供します。 あなたのスキルや経験を活かし、稼ぎたい願望を叶えるお手伝いをします。 「覆面調査のお仕事」 お客様に扮して店舗を利用し、自社店舗の問題点や改善点を確認、運営の向上を目指します。 具体的には店舗の清掃状況やスタッフの接客対応、運営状況などを調査し、改善点を指摘します。 PowerPointやExcelを使用し、報告書作成からプレゼンまでをお願いします。 <おすすめポイント> □賞与 (年6回) □早期昇級可続きを見る

提供:エンゲージ

未経験歓迎/店長スタッフスタンダード上場企業のグループ会社/ケンタッキーや牛角の運営/賞与4か月

株式会社さわやか

正社員

年収360万円〜410万円

株式会社さわやか 【未経験歓迎】店長スタッフ◆スタンダード上場企業のグループ会社/ケンタッキーや牛角の運営/賞与4か月 【仕事内容】 【未経験歓迎】店長スタッフ◆スタンダード上場企業のグループ会社/ケンタッキーや牛角の運営/賞与4か月 【具体的な仕事内容】 【賞与年3回/ケンタッキーフライドチキンや牛角など有名フランチャイズを展開/日東富士製粉(株)の100%子会社・安定基盤を保有/5連休可等、働き方改革中/社宅有り】 ケンタッキーフライドチキンをはじめ、牛角、ピザハットなどのフランチャイズ店舗や自社オリジナルプラン度の店舗を運営する当社にて店舗スタッフを募集します。「KFC」または「牛角」の続きを見る

提供:doda

リモート可_Java/PM/調査サービス基盤構築案件_経験者のみ/フリーランス

レバレジーズ株式会社

業務委託

月給115万円

リモート可_【Java/PM】調査サービス基盤構築案件 【支払単価】:月収1150000円(上限) 【職種・ポジション】:PMO 【職務内容】: ・覆面調査サービスの基盤構築を企画から携わっていただきます。 ・企画から実装までをお任せします。 【精算・お支払い】: 精算基準時間:140~180時間 【おすすめポイント】: 上流工程の仕事,急募続きを見る

提供:レバテックフリーランス

東京・上野/遊技機の映像制作プロデューサー・ディレクターパチンコ・パチスロ業界特化で豊富な実績

株式会社チャンスメイト

正社員

年収360万円〜700万円

株式会社チャンスメイト 【東京・上野】遊技機の映像制作プロデューサー・ディレクター◆パチンコ・パチスロ業界特化で豊富な実績 【仕事内容】 【東京・上野】遊技機の映像制作プロデューサー・ディレクター◆パチンコ・パチスロ業界特化で豊富な実績 【具体的な仕事内容】 パチンコ・パチスロなどの遊技機の映像制作を行っている当社。まだ若い会社ですが、業務拡大中につき、品質/スケジュール/予算などトータル的にマネージメントできるメンバーを募集しております。経験者はもちろん優遇ですが、パチンコ・パチスロが大好きな方、ぜひご応募頂けると嬉しいです! ■職務内容: <遊技機の映像制作全般> 企画、デザインからエフェ続きを見る

提供:doda

求人をもっと見る

おすすめの社員クチコミを見てみよう

約10年近く働いています。仕事では特に女性の方の育児休暇も取りやすい雰囲気づくりができており、仕事面でもやりにくい作業や、女性にやりやすい工程作りができています。とくに昇格なども、女性の方の活躍の場を設けてメンバーを引っ張っていくのにさいきんはすごくちからをいれているように感じます。他にも産休前の妊娠中など、現場で働くのに体が辛い状況などは、常に昼勤務の対応や、ディスクワーク作業に率先して変えてもらえる点もよいとおもいます。職場にもよりますが、職場の雰囲気も良く、女性に対しての配慮や気配りを良くしてくれる人や上司も多いため、心配事や相談事もしやすい環境だと思います。 続きを見る

製造 正社員 男性 役職なし 現職

2022年頃の話

トヨタ自動車株式会社

仕事の満足度評価4.2点

小さい子供がいる中働いていましたが、融通はかなりききました。急な休みもたまにあったが「お大事に」の一言でした。ただ大きい営業所の場合です。その後小さな営業所に異動しましたが、基本1人なので中々休みは取りづらかったです。他のパートの人たちが出てくれたりするので何とかなっていました。小さい営業所は仕事内容を一通り覚えれば、自分のタイミングで仕事ができるので本当に楽でした。 続きを見る

事務 パート・アルバイト 女性 退職済み

2023年頃の話

ヤマト運輸株式会社

仕事の満足度評価3.6点

いい点は成長出来ることだと思います。教育制度はしっかりしているので、なかなかしんどいですが、できることが増えていってスキルも身につくと思います。ただトレーナーとマネージャーがしんどい。たかがアルバイトなのにここまでしないといけないのかという仕事量を任せられます。 続きを見る

調理 パート・アルバイト 女性 現職

2024年頃の話

日本マクドナルド株式会社

仕事の満足度評価3.8点

私の部署は休み希望を自由に記入でき、ほぼ希望が通ります。残業も繁忙期の時は多少ありますが、いつも定時通りに上がることができます。子育て中の方も、子育てを終えた方も多くいらっしゃるので、急な欠勤や早退にも快く対応していただけますし、退勤後にそのまま買い物をして帰ることもできてとても助かっています。半年に一度上司との面談があり、勤務日数や時間についても相談できるため、その時その時の状況に合わせた働き方ができます。最近では賃上げにも積極的に取り組んでいるようで、お給料にも満足度が高いです。 続きを見る

販売 パート・アルバイト 女性 現職

2024年頃の話

イオンリテール株式会社

仕事の満足度評価3.5点

基本的に年功序列であり、最近ではベアの影響もあり一年目から15,000円ずつ上昇している。院卒は8年目、学部卒は10年目まで自動的に昇給し、され以降にMS試験というものを受験し固定残業代付きの給与体系になる。大体750万円〜のレベルである。ただ、近年この給与体系が見直しされ、MS試験もなくなる予定であるのでこれから入社される方は注意する必要がある。今後は一年目から実力を重視した評価になるとのことだがそこまで変わることはないだろうと思われる。 続きを見る

経理 正社員 男性 役職なし 現職

2022年頃の話

三菱電機株式会社

仕事の満足度評価3.8点

ワークライフバランスに関しては満足している。有給休暇も基本的には自由に取れ、残業も10時間以内と働きやす環境となっていた。休日出勤も厳しく、ほとんどなかったが、出勤した場合も振替休日が取れ、リフレッシュできるような環境下が整えられており、心身ともに健康的な生活を送ることができた。ただ部署によってはなかなか残業時間を減らせないこともあるようで、上司次第になる。また古い体質であるため、お酒好きな方が多く、仕事終わりなど飲みに行くような機会が多いように感じられる。 続きを見る

営業 正社員 男性 役職なし 退職済み

2022年頃の話

パナソニックホールディングス株式会社

仕事の満足度評価4.0点

他の企業のクチコミを探す

よく見られている職業

人気職業ランキングを見る

転職・就職で人気の企業をチェック

転職エージェント求人数ランキング

転職エージェントの比較を見る

エージェントとは?
  1. Yahoo!しごとカタログ
  2. 特集一覧
  3. しごとガイド
  4. IT・コンピュータ(エンジニア系)系の職業
  5. セキュリティエキスパート(脆弱性診断)