情シス→セキュリティエンジニア(PM)｜セキュリティインシデントに対する無力感からセキュリティの道へ
「今は、セキュリティ業務のPMを担当しています！」

以前は情報システム部門で「ヘルプデスク」や「キッティング」をやっていました。

その時のヘルプデスク対応で、セキュリティリスクに陥ったユーザさんへ状況確認をさせていただく場面があったのですが、ユーザーさんが感じるであろう、無意識的にセキュリティリスクを犯してしまう不安や、これから責任追及が始まるんじゃないかという恐怖感を、迅速な対応で和らげ、安心させられるセキュリティエンジニアになりたいと思うようになりました。

そんな経緯からセキュリティの学習方法を探していた時に『セキュ塾』を見つけて、カリキュラムで自分に不足していた、セキュリティの土台になる「サーバー」や「ネットワーク」といったインフラ部分の知識と、「活きたセキュリティ対策」が学べるとお見受けし、『サイバーセキュリティ技術者育成コース』を受講することにしました。

独学で具体的な学習が難しい『セキュリティ領域』に対して、基礎的なところからしっかりと学ばせていただけました。

まず受講前に『情報セキュリティマネジメント』の資格を取得したり、『基本情報技術者』の学習を進めることで、講義上で触れる単元に対する「自身の疑問点」を明確にしました。

講座が始まる前に少しでも耳慣れしておきたい気持ちもありまして（笑）

実際に授業を受ける段階になった時には、講義時間や休憩時間を利用して分からないところを分かるまで、先生に質問させていただきました。

「資格」に関しても、この期間までにこの資格を取るという「目標立て」をしていました。実際には計画通りにはいかず、授業についていくので一杯一杯だったところもありますが…。

ただ、先生が丁寧に解説してくださったことや、クラスメイトの方々もとても気さくな方が多くて、一緒に頑張っていこうという共通の思いがあったので、分からないところはお互いにフォローし合いながら、仲良くさせてもらったことも励みになりました。

『クラッキングの実例』の単元では、実際にどう考えていけばいいのかっていうところだったり、資格勉強や独学だけだと学べないところが実践的に経験できたので、インフラエンジニアとして働きたい方、脆弱性診断やペネトレーションテスト、フォレンジックなどを学びたい方には、『セキュ塾の講義』がおすすめです。

「セキュリティ領域」は、抽象的な表現や見慣れない用語が多くて、個人学習ではイメージがしづらい部分があるので、独学で活きたスキルを身につけるのは難しい道かもしれません…。

履歴書や職務経歴書といった応募書類に「何を書くべきか」を、キャリアコンサルタントの方に親身に相談に乗ってもらったことで、 「アピールすべき部分」や「自分の目指すキャリア」の整理が自分の中でついたことが、僕にとっては一番助かりました。

他にも、具体的に「自分の方向性に合った企業を紹介」してもらったり、セキュリティという知識のない業界への挑戦をするにあたって、「精神的にも心強い支援」をしてもらいました。

転職活動に関しては、前職と同じ情報システム部門でセキュリティ領域に明るい社内SEか、セキュ塾で学んだ内容をガッツリと生かしていけそうなセキュリティエンジニアのどちらかに就きたいと思い、二軸で就職活動を進めていましたね。

最終的には、より専門的にセキュリティと向き合い、実務の中で段階的に技術的な知見を深められるセキュリティエンジニアとして働くことを希望していました。

セキュリティ製品の仕様設計を行い、お客様企業への製品導入の為に環境毎にテストしたり、その後の安定的な製品運用に繋げていくフェーズの部署で、『プロダクトエンジニア』として配属いただいています。

具体的な業務としては、進捗管理や報告、予算工数見積もり、タスク管理などのPM業務に挑戦させていただいたり、セキュリティ製品の運用（アラート検知対応等）や製品導入テストの確認を行っています。

「PM業務」に挑戦するにあたって、言葉を慎重に選んで相手に伝えることを意識するようになりました。

PMの特性上、都度確認していかなければならないことや、責任の所在など、様々なことに気を回さないといけないため、一回一回の会議の機会に念入りな準備と段取り思案が必要になること。

そして、セキュリティエンジニアという仕事柄、「迅速性」も求められるので、相互認識の違いがなく円滑に物事を進めるために、どういう言葉を使ったらよいのかを考える必要があること、 そういったある種の「戦略性」の側面が強い仕事だと感じています。

ただこれは、セキュリティエンジニアの種類にもよって違いがあると思うのと、 まだまだ奥深くて僕も全容を知れていないところが大きいので、これから目指される方は「就業前の情報収集」に力を入れてみると良いのかもしれません。

GPOの原理などの直接的に役立つ知識から、 サーバー構築やネットワーク設計など実際に何をやっているのか、未経験者には想像しづらい部分の知見まで、様々な場面で「セキュ塾で学んだこと」は支えになっていると実感しています。

業務上で密にサポートをし合う、セキュリティエンジニアならではの「強い連帯感」を感じられることですかね。

業務内容とは関係ない話ですが、職場の皆さんと一緒にほぼ毎日ランチに行ったりするんです。

個人的には「英語学習」ですかね。技術色の強いセキュリティエンジニアが多いので、 経験も知見も浅い自分でも活躍できる場面を作る意味合いで、語学力を鍛えておけば良かったかなと…。

また、セキュリティエンジニア職の求人では、『CCNA』取得や『LPIC/Linuc』、『情報処理安全確保支援士』が最低資格要件となっていることが多かったりするので、技術的な特色の強いセキュリティエンジニアを目指される場合は、「CCNA取得」などを目指されるのも良いと思います。

今持っている資格としては、『ITパスポート、基本情報技術者、情報セキュリティマネジメント』といったIPAのレベル2までの資格です。

今後取っていきたい資格は『情報処理安全確保支援士』で、私の業務内容を考えると外国語を使う場面がすごく多いので、「英語や中国語の勉強」もしていきたいとも考えています。

僕の場合は、通勤時間などの「スキマ時間」を利用してこまめに触れることで勉強していくことですかね！

ただ、実際には仕事を終えて疲れたなって思った時は、どうしても勉強に向かない時もあるので、そういう時は土日のどちらかは休んで、どちらかは少しでも勉強する自分ルールを作るようにしています。

今後の目標は、担当しているセキュリティ製品の機能要件熟知を達成し、お客様企業向けの仕様設計ができるようになることです。

製品知識がついてきたら、『脆弱性診断』や『ペネトレーションテスト』などの業務領域にも挑戦し、ゆくゆくは『CSIRT』という実際にユーザ対応したり、企業のセキュリティの体制を構築することで、セキュリティリスクを回避していく業務に携わっていきたいです。

セキュリティの求人で未経験歓迎という求人も確かに多いんですが、IT未経験からのセキュリティ転職は結構ハードルが高いように感じます。

未経験者や、IT職種で少し就業していたけれども、私のように下流工程しか担当したことがない場合には、資格取得や『セキュ塾』のようなセキュリティスクールで学んできたという客観的な指標が、熱意をアピールする上で大事になってくるのかなと思います。

あとは、「セキュリティエンジニアになりたい志望理由」もちゃんと見られてるように感じました。

セキュリティ人材が不足してるからとか、セキュリティ関連ニュースを聞いたからという動機がきっかけでもいいとは思うのですが、その上で「セキュリティエンジニアになって何がしたいのか」っていう「自分が成し遂げたい想い」をアピールすることに転職成功の秘訣があると思っています。

一緒に頑張りましょう！