セキュリティエキスパート（脆弱性診断）

2000年頃から生まれた職業であり、まだ定型的な入職ルートはない。高専や専門学校で情報系を学んだ者も、大学卒や大学院卒も居る。大学卒、大学院卒の理系をイメージするが文系も多い。セキュリティ・キャンプ(学生に対して情報セキュリティに関する高度な教育を実施し、次代を担う情報セキュリティ人材を発掘・育成するために情報処理推進機構が実施している事業)に参加した学生は、この分野の基礎は身に着けていると評価される。また、脆弱性診断に関する世界的なコンテストがあり、その上位者は実力が認められ、仕事をオファーされたり、ヘッドハントされたりする。

システム開発を行ってきた者がこの仕事をするようになることも多い。システムの中身を知っていることが脆弱性診断を行う上で強みとなる。デジタルフォレンジックを行っていた者やシステムの運用を行っていた者が移ってくることも多い。ただし、開発を行うエンジニア等が仕事の一部として行っていることは少なく、多くの場合、脆弱性診断を専門に行っている。同業他社間での移動は非常に多い。個人としての転職の動機は「自分の強みを発揮したい」、「新たな仕事にチャレンジしたい」等が多く、会社側は「強化したい分野の人材を求める」等の理由が多い。話題性のある新しい、チャレンジしたい仕事がある会社に専門能力を高めたい人材が流れていく傾向がある。

関係団体が仕事に必要とされるスキルを体系化するプロジェクト（スキルマッププロジェクト）を進めており、「技術に関する基礎知識」、「脆弱性に関する基礎知識」、「診断業務の基礎知識」、「評価に関する知識」、「報告に関する知識」、「関係法令の知識」として整理されている。スキルの体系から教育訓練カリキュラム（シラバス）を作成する動きもあり、さらに資格化も検討されている。ただし、手動診断などでの高度な診断は専門性が非常に高く、状況の変化も激しいため、会社や団体が教育訓練を行うことは難しい。自身の興味、関心から、専門知識を深め実務の経験等を通してスキルを極めていく形で自分の能力を高めていく場合が多い。
必要な情報の大半は英語のため、英語能力も必要であるが、自動翻訳の性能が向上しそれも使いながら情報を得られればよい。

仕事に必要な新鮮な情報は関係コミュニティや業界団体から得ることが多い。新しいセキュリティの問題点等、コミュニティ参加者のSNSで話題になることが多い。
ある程度の知識とスキルを身に着け会社に入り、仕事をしながら力を付けていく。典型的なコースとしては、まず、プロジェクトマネージャ等のもと、診断のガイドラインに沿って、スキャナを使用した自動検査を担当する。診断実施計画書に沿ってこのレベルの作業を行うだけであれば、数か月から半年でもできる。このような自動検査の経験を積み、手動検査を担当するようになる。手動検査では脆弱性の診断実施計画書、ガイドラインに沿って作業を行うが、非定型な要素が多くなり、経験に基づく勘や閃きのようなものが必要となる。このためこのレベルになるには３～５年かかる。

キャリアの次の段階は診断プロジェクトのマネジメントであり、経験を積んだ者が診断案件を担当し、顧客との交渉や診断プロジェクトの管理を行う。診断のスキルに加えてビジネススキルやマネジメントスキルが求められる。
その次の段階がグループのマネジメントであり、会社の課長、部長に相当する。会社の経営計画に沿って、診断プロジェクトのマネジメントを行う者をまとめたり、新たな事業展開を進める。グループを引っ張るリーダーシップ、社会や技術の先を読む先見性、周辺分野の動きが分かる広い視野が求められる。

一方でこのようなマネジメントに進むのではなく、顧客や一般向けの研修の担当者となったり、脆弱性診断の特定分野の専門性を高めていく者もいる。診断スキル以上に、この仕事では高い倫理観と使命感が求められる。診断のスキルや知識を悪用し、情報システムを攻撃したり、情報を盗み取ることもできてしまうためである。脆弱性診断はより高度な細分化された知識が必要になっており、新しいシステムも次々に登場するため、探求心、好奇心が求められる。

• 出典：独立行政法人労働政策研究・研修機構（JILPT）作成「職業情報データベース　解説系ダウンロードデータver.3.00」職業情報提供サイト（日本版O-NET）より2022年7月5日にダウンロード

様々な情報システムが外部からの侵入や攻撃に対して弱点や問題点がないか診断する。そのため情報システムを擬似的に攻撃するが、実際にシステムを壊し、サービスが停止する事態は避ける。脆弱性診断士、脆弱性診断エンジニアと呼ばれることもある。

情報セキュリティ関係の仕事としては様々なものがある。情報システムがセキュリティ上問題ないか監査したり（セキュリティ監査）、情報システムの脆弱性の診断をしたり（脆弱性診断）、攻撃による事故等が発生したときに痕跡や原因を調べたり（デジタルフォレンジック）、そして、システムへの外部からの攻撃や不正アクセスを監視し、インシデント発生時の対応を行うセキュリティエキスパート（オペレーション）の仕事もある。これらの中でここでは脆弱性診断を解説する。

脆弱性診断の対象となるハードウェアはWebサーバーが多いが、スマートフォン、PC、IoT機器等も含まれ、幅広い。さらには最近では自動運転等の開発が進む自動車や、AI（人口知能）のシステムも対象となる。対象となるソフトウェアも、Windows、Linux等OS（オペレーティングシステム）、データベース等ミドルウェア、更にこれらの上で動くアプリ（アプリケーションソフトウェア）等、幅広い。脆弱性を狙った攻撃は政治的、経済的意図による海外からのものが多く、国内からの本格的な攻撃は少ない。

情報システムのセキュリティに関して検討する方法としては「脆弱性診断」と「ペネトレーションテスト」がある。脆弱性診断とはシステムに存在する脆弱性やセキュリティ上の不備についてツール等を使用して網羅的に診断するものである。ペネトレーションテストとは、情報サービスを止める、システムに侵入する、内部情報を不正に取得する等、特定の意図による攻撃が成功するかどうか、テストするものである。情報システムの脆弱性だけでなく、従業員教育も含め組織が様々な攻撃に対して問題ないか検討する。

脆弱性診断の方法としては「自動診断」と「手動診断」がある。「自動診断」では、製品版あるいは無料の自動検査ソフトウェアを使用して脆弱性を診断する。Webサイトの診断ではWebアプリケーションスキャナ（略して「スキャナ」）が用いられる。マニュアルに従って行うこともでき、脆弱性診断にそれほど詳しくなくてもできる。「手動診断」では脆弱性診断の専門知識を持つ者が直接、各種検査を実施する。なお、手動診断の中でも効率的な作業のために各種ソフトウェアは利用される。診断に用いるソフトウェアやツールは大半が米国等海外のものである。

診断は概ね、①診断前の打合せと準備→②診断の実施、脆弱性評価、レポート作成→③診断結果の報告とアフターフォローという流れになる。
「①診断前の打合せと準備」では顧客と打合せをしながら、診断対象を確認し、どこに重点を置くか等診断の順位づけを行う。ここで診断対象となるシステムは様々なため、対象システムについて事前に勉強する必要もある。例えば医療系のシステムであれば、そのシステムがどのように医療現場で利用されるか知っておく必要がある。診断の内容と方法の説明を行い、経費の見積もりを顧客に提示する。また、作業に必要なアカウントや権限を顧客から提供を受けたり、診断対象への接続方法や作業場所の準備も行う。多くは自社からネットワーク経由で接続し、診断作業は自社で行うが、データセンター等顧客のシステムの設置場所で行う場合もある。この診断前の打合せと準備に基づき診断実施計画書を作成する。
「②診断の実施、脆弱性評価、レポート作成」では診断実施計画書を基に、自動診断、手動診断により診断を行う。自動診断、手動診断が適切に行われているか確認し、診断ツールからの出力結果も利用しながら、脆弱性の評価を行い、レポートを作成する。
「③診断結果の報告とアフターフォロー」では、診断結果を顧客に報告し、対処法を顧客と検討する。対処が行われた後、対処が適切に行われ、脆弱性が解消したか、再診断を行い確認する。

脆弱性診断がどの程度の期間になるかは、Webサイトのページ数等、対象システムの大きさ、また、診断実施の難しさ等による。短ければ数日で終わる場合もあるが、1か月程度かかることもある。診断の経費としても数十万円から数百万円、中には数千万円と様々である。
脆弱性診断は２、３人のチームで行うことが多い。これは診断作業を手分けしたり、それぞれの得意分野を組み合わせたり、診断の評価を相互にチェックするためである。

◇　よく使う道具、機材、情報技術等
　脆弱性診断ツール、自動検査ソフトウェア、Webアプリケーションスキャナ、文書作成ソフト（Word、一太郎等）、表計算ソフト（Excel、スプレッドシート等）、プレゼン資料作成ソフト（PowerPoint、Keynote等）、パソコン

• 出典：独立行政法人労働政策研究・研修機構（JILPT）作成「職業情報データベース　解説系ダウンロードデータver.3.00」職業情報提供サイト（日本版O-NET）より2022年7月5日にダウンロード

脆弱性診断を専門に行う会社で働いている場合が大半であるが、情報システムを運営する会社や情報システムを開発する会社に所属し、脆弱性診断を行っている場合もある。顧客となる大手企業が東京等大都市に集まっているため、脆弱性診断を行う会社も都内に集中している。診断はリモートでもできるため地方に拠点がある会社もある。脆弱性診断を専門に行っているのは日本の企業であり、外資系の企業はほとんどない。

新しい職業でもあり、就業者数、年齢構成、男女比等の統計はない。この分野の専門家が集まるコミュニティの構成人数等から、日本全体で数百人程度、年齢は30歳代が多く、20歳代が次いで多く、女性は１割程度であると考えられる。

顧客のセキュリティ、機密情報に接することから、大半は正社員であるが、中には高い診断スキルを買われ、フリーランス、請負等で診断プロジェクトに参加する者もいる。
賃金、労働時間、休日等は勤務先の規定によるが、通常のIT企業の会社員とあまり変わらない。特殊なスキルを必要とされることから、賃金が高い場合もある。

システムやソフトウェアの脆弱性やバグを発見すると、賞金を出すというような仕組みがあり（バグバウンティ；脆弱性報奨金制度；バグ報奨金制度）、その賞金が副収入となったり、また、脆弱性やバグの発見能力を買われて、海外の会社に転職する者もそれほど多くはないがいる。バグバウンティで副収入を得ることは大半の会社が認めている。

情報システムの利用が広がる中で、サイバー攻撃の件数も年々増加傾向にあり、攻撃手法自体も高度化、複雑化していることからセキュリティの重要性は増しており、仕事も就業者も増加傾向である。システムの開発や運用において、脆弱性診断を義務づける動きもあり、このことからも仕事が増える傾向にある。
診断ツールが良くなり、これまで3人で行っていたものを一人でできるようになったりはするが、それ以上に仕事が増えている。自動車の自動運転のような新しい技術が出てくると、そこにはまた新たにセキュリティの問題も生じる。新しい情報システムが生まれれば、セキュリティの仕事も増えるという具合に仕事は広がり続けている。

• 出典：独立行政法人労働政策研究・研修機構（JILPT）作成「職業情報データベース　解説系ダウンロードデータver.3.00」職業情報提供サイト（日本版O-NET）より2022年7月5日にダウンロード