セキュリティは『未経験から入れる門』があるエンジニア職
セキュリティエンジニアは需要過多・人材不足の代表的職種で、未経験から参入できる入り口があります。とくにSOC(セキュリティ監視センター)アナリストは未経験可の求人が多く、入り口として現実的です。公開情報をもとにすると、未経験からセキュリティ職への転職は6〜12ヶ月の学習期間で実現するケースが多くあります(個人差あり)。本記事では、未経験からセキュリティエンジニアになる学習ステップ、資格戦略、転職活動を編集部の視点で整理します。全体像は セキュリティエンジニアへの転身ガイド もご参考に。
未経験者の入り口は『SOCアナリスト』
(1) SOCアナリスト:セキュリティ監視・ログ分析・インシデント検知の初動。未経験可の求人が多い。(2) 脆弱性診断・テスター:経験者が中心だが、ジュニア枠もある。(3) セキュリティ運用:SOCの一段上、運用と改善を担う。(4) GRC(ガバナンス・リスク・コンプライアンス):規制対応・監査。文系出身者も活躍。(5) セキュリティアーキテクト:シニア向け。まずはSOCで基礎を作り、その後に専門性を深めるルートが王道です。
学習ロードマップ(6〜12ヶ月)
(1) 第1段階(1〜2ヶ月):IT基礎:ネットワーク・OS・サーバの基本理解。(2) 第2段階(2〜3ヶ月):セキュリティ基礎:OWASP Top 10、暗号、認証、攻撃手法の概要。(3) 第3段階(3〜5ヶ月):CompTIA Security+取得:セキュリティ基礎の体系化と証明。(4) 第4段階(5〜8ヶ月):実践演習:TryHackMe・HackTheBox等で攻撃・防御を体験。(5) 第5段階(8〜10ヶ月):SIEM・ログ分析:Splunk・ELK等でログ分析の体験。(6) 第6段階(10〜12ヶ月):ポートフォリオ + 転職活動:CTF実績・分析レポートをアピール材料に。セキュリティエンジニアへの転身ガイド もご参考に。
資格戦略
(1) CompTIA Security+:セキュリティ基礎の入門資格。未経験者の最初の1枚。(2) 情報セキュリティマネジメント試験:国内のセキュリティ基礎の証明。(3) 情報処理安全確保支援士(登録セキスペ):国家資格・難関。中期目標。(4) CEH(認定ホワイトハッカー):ペネトレ系の知識証明。(5) CISSP:国際的に最も評価される。実務経験要件あり。未経験者はSecurity+→情報セキュリティマネジメント→登録セキスペの順がおすすめです。
ポートフォリオの作り方
(1) CTF(Capture The Flag)の実績:セキュリティコンテストへの参加と結果。(2) TryHackMe/HackTheBoxのプロファイル:解いた問題・ランクが公開される。(3) セキュリティブログ:学習過程・脆弱性研究の発信。(4) バグバウンティ:脆弱性報奨金プログラムでの実績(中級以降)。(5) セキュリティ系GitHub:ツール作成・スクリプト公開。「攻撃者の視点」と「防御者の視点」の両方を理解していることが伝わる構成が望ましいです。
つまずきポイント
(1) 領域が広すぎる:全部を学ぼうとせず、まずSOCに絞る。(2) 攻撃手法の倫理:実環境への無断攻撃は犯罪。学習は許可された環境で。(3) 本物のインシデント経験は積めない:CTF・演習環境で代替する。(4) 夜間・24時間体制:SOCは交代制が多い。求人選びで確認。(5) 資格至上主義になりすぎる:資格より実技演習を優先する。対策は、(1)SOCに集中、(2)演習環境で手を動かす、(3)倫理を守る、(4)勤務形態を事前確認、です。
転職後のキャリアパス
(1) シニアSOCアナリスト:高度分析・チームリード。(2) インシデントレスポンダー(CSIRT):本格的なインシデント対応。(3) 脆弱性診断・ペネトレーションテスター:攻撃側の専門家。(4) クラウドセキュリティ:AWS・GCP・Azureのセキュリティ専門職。(5) セキュリティアーキテクト・CISO:戦略・経営層への道。セキュリティエンジニアへの転身ガイド、IT・Web業界の職種完全マップ もご活用ください。