セキュリティエンジニアはやめとけと言われる理由

今回は、セキュリティエンジニアはやめとけと言われる理由について解説します。

セキュリティやインフラ分野は仕事の責任が重く、ハードワークだと言われています。

もちろんそういった側面もありますが、良い点もたくさんあります。

元インフラエンジニアの筆者が、セキュリティやインフラに関わる仕事について詳しく解説していきます!

セキュリティエンジニアとは


セキュリティエンジニアは、大きく分類すると「インフラエンジニア」になります。

Webサービスのインフラ環境のセキュリティを守るのが仕事で、一歩間違えるとデータ流出やデータ消去などの一大事を引き起こしてしまう重要な役割です。

「セキュリティエンジニアは大変だからやめとけ」という意見もありますが、プログラミング言語に依存しないので、どんな現場でもスキルを活かせるというメリットもあります。

例えば、PHPで開発をしているA社に入りたいとして、ずっとJavaをやってきたからPHPはできない、、、となったらイチから学び直さないといけません。

セキュリティのスキルはどの企業でもほぼ同じ(どの企業もAWSを使っているから)なので、入りたいと思った企業で働ける可能性は高くなります。

セキュリティエンジニアはやめとけと言われる理由


セキュリティエンジニアはやめとけと言われる理由について解説します。

1. 責任範囲が大きすぎるから

セキュリティエンジニアにミスは許されません。

ミスをしてしまったら、サイバー攻撃を受けてデータが流出してしまう可能性がありますし、間違えてデータを消去してしまったら最悪です。

プログラミングならミスをしてもちょっとだけユーザが使えなくなりますが、大きな損害になることは少ないです。(やばいときもありますが。。)

プログラマーに比べると、セキュリティエンジニアの責任範囲が大きすぎるので、よっぽどスキルに自信がある人じゃないとセキュリティエンジニア(のリーダー格)を務めるのは難しいでしょう。

2. 学習範囲が広すぎる

セキュリティというのはいたちごっこなので、終わりが無いし、正解もありません。

アクセスの少ないサービスなら多少セキュリティを妥協して、使い勝手を取る場合もあります。

例えば、以下のような場合です。

  • 2段階認証は面倒だからIDとパスワードだけでログインさせる
  • アクセスが少ないからLBは置かない
  • Githubのprivateモードを信用して環境変数をgit管理する

こういったセキュリティの妥協があるわけですが、どこまでセキュリティを突き詰めるのかは現場によって変わってきます。

セキュリティエンジニアの学習は幅広く、現場によってどこまで守ればよいかの線引も変わってきます。

相当経験を積まないと、一人前のセキュリティエンジニアになれないのです。

3. 夜間・休日作業が多い

インフラ関係のエンジニア全員に言えることですが、インフラ環境を構築したり改修するときは休日か夜間の作業が多くなります。

プログラマーであれば、日中にリアルタイムデプロイできてしまう場合もありますが、インフラ環境の場合はサービスがストップしてしまうので、ユーザが使っている時間に作業することが難しくなります。

また、インフラ関連のバグはすぐに対応が必要になるので、たとえ夜間に障害が起きたとしても、すぐに駆けつけないといけません。

プログラマーだったら、次の日にログを確認しながらゆっくり修正すればいいや、というケースもあるんですけどね。

4. 知識の共有があまりできない

プログラミング言語なら、ドキュメントや質問サイト、技術ブログがあって、頻繁にコミュニケーションされています。

セキュリティ・インフラエンジニアはそもそも母数が少ないですし、プログラミング言語のように決まった形があるわけではないので、なかなかコミュニティが大きくなりません。

エラーの内容も、

  • 使っているサーバ
  • ネットワークの構築方法
  • 各機器のバージョン

など、様々な要因によって変わってくるので、質問したところで正しい答えが返ってくるとは限りません。

僕もインフラエンジニアをかじっていた経験があるのですが、ネットで検索しても基本分かりません(笑)

メーカーに問い合わせて、1週間くらいかけて解決するなんてこともあり、根気のいる仕事です。

5. 期限に厳しい

プログラマーなら例え100%完成していなくても、リリース後に何度も改善を重ねていくことができます。

しかし、インフラ・セキュリティに関してはリリースの段階で100%完成していなければいけないので、期限には厳しいです。

そういう事情もあって、繁忙期、リリース前は残業が多くなるでしょうし、仕事環境が悪くなって「やめとけ」という声もあるのだと思います。

セキュリティエンジニアをおすすめしない人

「セキュリティエンジニアはやめとけ」の声に従って、セキュリティエンジニアにならない方が良い人について解説します。

IT経験が浅い

プログラミングとかIT業界での経験が浅い人がいきなりセキュリティエンジニアになるのはおすすめしません。

セキュリティエンジニアはミスが許されない職種なので、知識やスキルのない初心者が手を出すと痛い目を見るからです。

「誰もが最初は初心者じゃないか!」と思うかもしれませんが、まずはWebエンジニア(プログラマー)になってから、セキュリティエンジニアを目指すルートをおすすめします。

Webエンジニアでもインフラ環境を触ったり、アプリケーションのセキュリティを気にする場面が結構ありますから、そこで少しづつセキュリティ周りの経験やスキルを積み上げてから、正式にセキュリティエンジニアになりましょう。

ハードワークに耐えられない人

セキュリティエンジニアは、夜間や休日対応が多いので、ハードワークになりがちです。その分給料が高かったり、参入障壁が高いので食いっぱぐれないなどのメリットはありますが、ワークライフバランスを重視する人には向いていません。

また、リモートワークもしづらい職種なので、自宅で残業せずまったり働きたい人には向いていません。

僕はインフラエンジニアを経験してきましたが、ワークライフバランスを重視するタイプなので、向いていませんでした。(笑)

今は、Webエンジニアとしてリモートワーク&定時上がりでまったりと働いています。

新しいことを学ぶ意欲がない人

新しいことを学ぶ意欲がない人は、セキュリティエンジニアに限らず、技術者には向いていないということもありますが、特にセキュリティエンジニアは日々いたちごっこのハッカーと戦うわけなので、最新のセキュリティ技術やハッキング手法には目を光らせておかないといけません。

一般的なハッキングに対する防衛策を学ぶのはもちろんですが、

  • 最近出てきたハッキング技術への対応
  • インフラ環境の変化

などにも対応しなければなりません。

仮にセキュリティ技術を身につけたとしても、最新のAWSの使い方がわからなければ、力を発揮することはできません。

  • セキュリティ技術
  • ハッキング手法(を防ぐ)
  • AWSの使い方

を学んでいかないといけないのです。

セキュリティエンジニアがおすすめな人

セキュリティエンジニアに向いている人の特徴は以下の通り。

  • インフラに精通している人
  • 勉強会に参加するなど、学習意欲がある人
  • 解決するまで粘る根気がある人

それでは1つずつ解説します。

インフラに精通している人

インフラに強い人はセキュリティエンジニアとしてもうまくやっていけるでしょう。

インフラとセキュリティは密接に繋がっているので、インフラ環境を構築するときにセキュリティの知識も必須になるからです。

インフラエンジニア出身でなくても、Webエンジニア時代にインフラも触ることが多かったとか、個人開発で色んなインフラ環境を構築してきたなどの経験でも良いと思います。

セキュリティエンジニアを目指すなら、まずはインフラ周りの知識を増やすことから始めましょう。

勉強会に参加するなど、学習意欲がある人

セキュリティのスキルを学ぶためには、本だけでは不十分です。本が出版される頃にはその技術は使えなくなっている可能性があるからです。

勉強会やカンファレンスなどで行われる講演を聞いて、今現場のセキュリティがどうなっているのかを把握するのがおすすめです。

勉強会やカンファレンスに行く人は相当勉強意欲が高いはずなので、それだけの学習意欲がある人ならセキュリティエンジニアとしてもやっていけるはずです。

解決するまで粘る根気がある人

セキュリティやインフラは、プログラミングと違って問題の原因特定や解決方法の特定、修正作業の実施までに時間がかかります。

さくっとコードを直して終わりというわけでなく、修正のために他のエンジニアに許可をもらったり、スケジュールを詰めたりと、やることが多いのです。

1つの問題を解決するまでに粘れる人じゃないと、セキュリティエンジニアとしてやっていくのは厳しいと思います。

分からないことがあっても、少しづつ根気よく調べながら進めていける人であれば、セキュリティエンジニアに向いているでしょう。

セキュリティエンジニアになる方法

それでは、セキュリティエンジニアになる方法をお伝えします。

半人前の状態でいかにして仕事をさせてもらうかが肝となります。

Webエンジニアとして小規模企業で働く

最初はセキュリティエンジニアではなく、Webエンジニアとしてスタートアップやベンチャー企業で働きましょう。

なぜ小規模企業かというと、1人で多くのことをやらせてもらえるため、コードを書きながらインフラやセキュリティ関連の仕事ができる可能性も高いからです。

  • Webエンジニアとして貢献する
  • 徐々にインフラやセキュリティもやらせてもらえる
  • インフラ寄りになっていく

上記のように、インフラエンジニアに寄っていければ最高です。

セキュリティエンジニアに転職する

インフラ、セキュリティに強くなったと感じたら、セキュリティエンジニアに転職しましょう。

ここでは一転して、大規模な企業へ行くことをおすすめします。

小規模企業でいきなりセキュリティエンジニアをやってしまうと、1人で全部こなさないといけないので、仕事の責任が大きくなりすぎます。

大規模企業なら、役割が分担されているので、自分の責任範囲を最小限にしつつ、セキュリティエンジニアとしての経験を積むことができます。

転職や独立、収入アップを目指す

ここまで来れば一人前のセキュリティエンジニアになれるはずなので、好きな会社に転職したり、独立したり、収入アップを目指すことができるようになります。

セキュリティエンジニアになる道のりは長く感じるかもしれませんが、それだけ参入障壁も高く、未経験からプログラミングスクールに通っただけではなることはできません。

セキュリティエンジニアとしてのスキルアップは基本的に実務内でやっていきます。

なので、独学が必要になるのは、最初のWebエンジニアになるところだけです。

Webエンジニアになるためのステップは転職に強いプログラミングスクールのおすすめで解説しているので、参考にしてみてください。

まとめ: セキュリティエンジニアはなれれば最高!

セキュリティエンジニアは、なるのは大変だけど、なってしまえば最高な職種です。

セキュリティへの関心が高まってくるのは確実なので、これから需要が大きくなり、収入も高くなっていきます。

また、現場によって行う対策も変わってくるので、属人的になってしまうことが多く、失業しにくいというメリットもあります。

セキュリティエンジニアに向いているか分からないという人は、まずWebエンジニアとして働きながらセキュリティ分野にも関わらせてもらって、少しづつセキュリティエンジニアの仕事を体験してみることをおすすめします。

それでは!

おすすめの記事