セキュリティコンサルタントが事業会社へ転職後に求められるスキル・資格および活用シーン

BIG4やセキュリティベンダー等で活躍したセキュリティに関わるコンサルタントが事業会社に転職した際に、活かせるスキルおよび活用シーンについて、実際にセキュリティコンサルタントとして大手ファームでご活躍後、事業会社へ転職された方々の声も参考に解説していきます。

【目次】

1. セキュリティコンサルのスキルは、ファームと事業会社で横移動しやすい
2. ファーム、事業会社に限らず、特定の領域だけでなくマルチなレイヤーの知識があることが前提
3. 手っ取り早くマルチレイヤーな人材になる方法は、各ベンダー系の資格を取得すること

セキュリティコンサルのスキルは、ファームと事業会社で横移動しやすい

セキュリティコンサルタントとして、お客様に上述のような技術的又は事務的なセキュリティ知見を提供していく中で、実際自分自身が実行部隊として活躍したいと思うときが、セキュリティコンサルタントから事業会社への転職の機会であると思います。

ただし、セキュリティコンサルタントと事業会社のセキュリティ部門の業務は一心同体です。実際にセキュリティコンサルタントとして働くと事業会社の業務が多く、事業会社へ知見を提供していく中で、事業会社へそのまま引っ張られていく（転職していく）場合が多々あります。とある銀行様のリスク管理チーム（リスクコンサルティングをするようなチーム）では、チームの半分以上が転職者で、あとはセキュリティベンダーからの出向者となり、プロパー（その会社の元々の社員）は2～3割という状況とのことです。実際に業務を一緒にやっていく中で引き抜いていくということがあり、コンサルティングファーム側も「業務継続するためなら致し方ない部分もある」との見解をお持ちのようです。転職しても同じコンサルティングファームの同じチームの方々と働くこととなり、まさに一心同体で業務を遂行していくことになります。

セキュリティコンサルタントとして活用できるスキルを習得する中で、監督省庁や団体が提供しているガイドラインはしっかり把握しておく必要があります。公共系の場合は、政府機関等のサイバーセキュリティ対策のための統一基準群というものがあり、一読しておくことをお勧め致します。また、公益財団法人金融情報システムセンター（FISC）が出している金融機関等の自主基準として策定された金融機関等コンピュータシステムの安全対策基準・解説書（FISC 安全対策基準・解説書）は必読であるため、ぜひともコンサルタントの段階から一読していただければと思います。

ファーム、事業会社に限らず、特定の領域だけでなくマルチなレイヤーの知識があることが前提

まずセキュリティと聞いて、大半の人が思い浮かべるのは技術要素だと思います。サイバーというキーワードでよく聞かれるように、仮想領域空間でサイバーセキュリティを一般的に考える人が多くいらっしゃると思いますが、実際にサイバーセキュリティに関わる技術要素を持つ人のみがセキュリティコンサルタントと呼ばれるのではありません。技術要素を持っているのは前提ですが、ルール・プロセスメイク等のガバナンス領域にて技術を体系化していく事務要素の人もセキュリティコンサルタントとして活躍しています。

技術要素では、ウェブ等のアプリケーションよりのセキュリティ技術、足回りのネットワークよりのセキュリティ技術、サーバ等の基盤よりのセキュリティ技術等、レイヤーが分かれていきますが、セキュリティコンサルタントとして活躍する場合、技術に特化するためには各々の特定の分野に詳しいだけではなく、万遍なく各レイヤーについて詳しいことも求められます。

例えばセキュリティインシデントが生じた場合、マルウェア解析はNRIセキュアテクノロジーズ社やLAC社等のセキュリティベンダーに依頼し、把握するものの、初動対応として原因特定や止血対応が必要となります。原因特定として切り分けをしていく中で、原因はネットワークなのか、アプリなのか、そもそも基盤なのかといった切り分けをしていく必要があり、各担当と議論をしていくうえでもコンサルタントとしてマルチレイヤーに関する知識は必要不可欠となります。
そういったレイヤーの知識を万遍なく得てこそ、セキュリティインシデント等の緊急事態に対応していけるのです。

セキュリティコンサルタントから事業会社に転職を成功させた多くの方が、やはり特化した技術力をお持ちである一方、いろいろな技術要素への理解も深いケースが多い印象が強いです。

よく聞く話ですが、アプリ屋さんはネットワーク技術等に疎く、セキュアコーディングやソース解析等はできても、原因分析でアプリケーションに起因しない出来事であると関与できません。汎用性がない（つまり、セキュリティインシデントは何が原因で攻撃されるかが実際受けてみないとわからないため、全体的に詳しい人材を求める）と言って採用されない場合が多々あるそうです。

もし技術を特化してセキュリティコンサルタントから事業会社への転職を意識されている場合は、自分が特化したい領域だけではなく、マルチなレイヤーでの技術要素を得ておく必要があります。

そうすることで仕事の幅が広がり、セキュリティ関連部門での活躍も期待できるかと思います。

手っ取り早くマルチレイヤーな人材になる方法は、各ベンダー系の資格を取得すること

マルチレイヤー人材になるためにお勧めの方法は各ベンダー系の資格を取ることです。例えばネットワーク系はCisco系の資格となります。基礎的な内容の理解ならエントリー資格であるCCT（Cisco Certified Technician）ぐらいでよいかも知れませんが、転職を視野に入れるならCCNA（Cisco Certified Network Associate）を取得しておくと、ある程度の知識があることが証明できます。

またデータベース系として、ORACLE MASTERも取得しておくとよいかと思います。こちらもグレードとして、ORACLE MASTER Bronze（オラクルマスター ブロンズ）である程度のコマンドや知識は習得できるものの、同じく履歴書を意識するなら、ORACLE MASTER Silver（オラクルマスター シルバー）を取得しておくほうがよいかと思います。

大手では、やはり基本的にライセンスがあるDBを使用しておくことが多く、ORACLEの知識は持っていることに越したことはありません。ORACLEに関係して、サーバ系ということで、Linux技術者認定試験（LPIC：Linux Professional Institute Certification）も取得することをお勧めします。Level1があれば必要十分ですが、こちらもエントリーとなるため、やはり履歴書を意識するのであれば、Level2まで取得しておきましょう。

更に、最近では企業のオンプレミスによる自社運用は衰退傾向にあり、Microsoft Azureやアマゾン ウェブ サービス（AWS）を活用している企業が大半です。セキュリティ人材から見るとオンプレミスや境界防御のほうが安心という節はありましたが、今となってはそのような考えは古くなり、強固な基盤ということでクラウドサービスに注目が集まっています。

• コストが抑えられる
• 運用管理の負担が削減できる
• 時間や場所を問わず利用できる
• 容量の拡張が柔軟にできる

といったメリットのほか、最近では自社で知識がないものが運用するより、クラウドサービスに運用を任せるほうが安心であるという風潮もあります。
そのため、アマゾン ウェブ サービス（AWS）系の資格等を持っていると有利になるはずです。基礎レベルであるCloud Practitionerだけではなく、Solutions Architectのアソシエイトレベル、可能ならプロフェッショナルレベルまで取得していると大変重宝されることは間違いありません。技術系セキュリティエンジニアは資格が一種の証明となるため、ほかに様々な資格を取得しておいたほうが、履歴書的に光る人材に見えることになります。

事務要素のセキュリティコンサルタントとして、上述した通り、ルール・プロセスメイク等のガバナンス領域にて技術を体系化していくリスクコンサルティング業務もあります。実際、事業会社が求めている人材の求人として多いのはこちらになるかと思います。
事業会社のセキュリティ部門は平時（通常時）有事（セキュリティインシデントの発生時）の態勢という形で二面性を持っていますが、上述した技術要素のセキュリティコンサルタントはSOC（Security Operation Center：サイバー攻撃の検知や分析を行い、その対策を講じること等を専門とする組織）等に配属されることや、グループ会社の技術会社に出向することで、平時も有事も技術に触れることとなり、バリューを発揮することが可能です。一方、事務要素のセキュリティコンサルタントはセキュリティインシデント発生時の有事こそCSIRT（Computer Security Incident Response Team：セキュリティインシデントに関する報告を受け取り、調査し、対応活動を行う組織）のマネジメントとして活躍されますが、有事が頻繁に起こることはなく、平時業務としての知識を求められます。
つまりは有事が起きないようにするためにセキュリティ関連の企画をする業務であれば、ルールメイクやプロセスメイクをしていき、セキュリティインシデントが起きないように統制（ガバナンス）をしていくことがメインです。

例えばルールメイクとしては、上位規定から下位規定（規程・規則・細則・ガイドライン・マニュアル等）の見直しにより、ルールを策定し、セキュリティインシデントが起こらないような態勢整備をしていきます。緊急事態時に速やかに動けるように緊急事態時アクションを決めていき、それを体系化していく業務（インシデントハンドリングマニュアル：CSIRT の活動の核となるインシデント対応マニュアル）も含まれますが、そういった規定類を作成していき、有事に備えることを求められます。

上記の業務ができることを証明するためにも資格の活用が可能です。例えばよくこういったリスクコンサルティング業務のマスト資格にCISA（公認情報システム監査人：Certified Information Systems Auditor）があります。
こちらはベンダー資格のように年次更新で高額な費用が発生しますが、セキュリティコンサルタントの事務要員は当たり前のように取得している資格で、100時間ぐらいで取得できます。時間を作ってでも前向きに取得を検討しておいたほうがよいかと思います。

=================

＞関連記事

セキュリティコンサル歴17年、なぜ外資ベンダーではなく国内ベンチャーファームでセキュリティチームを新設したのか？/デジタルアーツコンサルティング株式会社 CISOチーム トップインタビュー
https://www.axc.ne.jp/media/companyinterview/DAC_CISO

=================

今回お伝えしたことはあくまで例です。セキュリティコンサルのキャリアについてより詳しく知りたいとお悩みの方は、ぜひアクシスコンサルティングにご相談ください。