ページ内移動リンク

(日本版O-NET)

職業情報提供サイトって何? 厚生労働省(別窓リンク)

セキュリティエキスパート(脆弱性診断)

セキュリティエキスパート(脆弱性診断)

職業別名

-

属する産業

情報通信業   (クリックすると別サイトのしょくばらぼへ移ります)

どんな仕事?

 様々な情報システムが外部からの侵入や攻撃に対して弱点や問題点がないか診断する。そのため情報システムを擬似的に攻撃するが、実際にシステムを壊し、サービスが停止する事態は避ける。脆弱性診断士、脆弱性診断エンジニアと呼ばれることもある。  情報セキュリティ関係の仕事としては様々なものがある。情報システムがセキュリティ上問題ないか監査したり(セキュリティ監査)、情報システムの脆弱性の診断をしたり(脆弱性診断)、攻撃による事故等が発生したときに痕跡や原因を調べたり(デジタルフォレンジック)、そして、システムへの外部からの攻撃や不正アクセスを監視し、インシデント発生時の対応を行うセキュリティエキスパート(オペレーション)の仕事もある。これらの中でここでは脆弱性診断を解説する。  脆弱性診断の対象となるハードウェアはWebサーバーが多いが、スマートフォン、PC、IoT機器等も含まれ、幅広い。さらには最近では自動運転等の開発が進む自動車や、AI(人口知能)のシステムも対象となる。対象となるソフトウェアも、Windows、Linux等OS(オペレーティングシステム)、データベース等ミドルウェア、更にこれらの上で動くアプリ(アプリケーションソフトウェア)等、幅広い。  脆弱性を狙った攻撃は政治的、経済的意図による海外からのものが多く、国内からの本格的な攻撃は少ない。  情報システムのセキュリティに関して検討する方法としては「脆弱性診断」と「ペネトレーションテスト」がある。脆弱性診断とはシステムに存在する脆弱性やセキュリティ上の不備についてツール等を使用して網羅的に診断するものである。ペネトレーションテストとは、情報サービスを止める、システムに侵入する、内部情報を不正に取得する等、特定の意図による攻撃が成功するかどうか、テストするものである。情報システムの脆弱性だけでなく、従業員教育も含め組織が様々な攻撃に対して問題ないか検討する。  脆弱性診断の方法としては「自動診断」と「手動診断」がある。「自動診断」では、製品版あるいは無料の自動検査ソフトウェアを使用して脆弱性を診断する。Webサイトの診断ではWebアプリケーションスキャナ(略して「スキャナ」)が用いられる。マニュアルに従って行うこともでき、脆弱性診断にそれほど詳しくなくてもできる。「手動診断」では脆弱性診断の専門知識を持つ者が直接、各種検査を実施する。なお、手動診断の中でも効率的な作業のために各種ソフトウェアは利用される。診断に用いるソフトウェアやツールは大半が米国等海外のものである。  診断は概ね、①診断前の打合せと準備→②診断の実施、脆弱性評価、レポート作成→③診断結果の報告とアフターフォローという流れになる。  「①診断前の打合せと準備」では顧客と打合せをしながら、診断対象を確認し、どこに重点を置くか等診断の順位づけを行う。ここで診断対象となるシステムは様々なため、対象システムについて事前に勉強する必要もある。例えば医療系のシステムであれば、そのシステムがどのように医療現場で利用されるか知っておく必要がある。診断の内容と方法の説明を行い、経費の見積もりを顧客に提示する。また、作業に必要なアカウントや権限を顧客から提供を受けたり、診断対象への接続方法や作業場所の準備も行う。多くは自社からネットワーク経由で接続し、診断作業は自社で行うが、データセンター等顧客のシステムの設置場所で行う場合もある。この診断前の打合せと準備に基づき診断実施計画書を作成する。  「②診断の実施、脆弱性評価、レポート作成」では診断実施計画書を基に、自動診断、手動診断により診断を行う。自動診断、手動診断が適切に行われているか確認し、診断ツールからの出力結果も利用しながら、脆弱性の評価を行い、レポートを作成する。  「③診断結果の報告とアフターフォロー」では、診断結果を顧客に報告し、対処法を顧客と検討する。対処が行われた後、対処が適切に行われ、脆弱性が解消したか、再診断を行い確認する。  脆弱性診断がどの程度の期間になるかは、Webサイトのページ数等、対象システムの大きさ、また、診断実施の難しさ等による。短ければ数日で終わる場合もあるが、1か月程度かかることもある。診断の経費としても数十万円から数百万円、中には数千万円と様々である。  脆弱性診断は2、3人のチームで行うことが多い。これは診断作業を手分けしたり、それぞれの得意分野を組み合わせたり、診断の評価を相互にチェックするためである。 ◇ よく使う道具、機材、情報技術等  脆弱性診断ツール、自動検査ソフトウェア、Webアプリケーションスキャナ、文書作成ソフト(Word、一太郎等)、表計算ソフト(Excel、スプレッドシート等)、プレゼン資料作成ソフト(PowerPoint、Keynote等)、パソコン

掲載している職業情報について(ご意見募集など)

求人情報を検索したい方はこちらから。 (ハローワークインターネットサービスへ移ります)
ジョブ・カードを活用してキャリアを整理したい方はこちら (クリックすると別サイトのマイジョブ・カードへ移ります。)

[ 動画 ]

タスク(職業に含まれるこまかな仕事)

データはありません

仕事の内容

グラフの目盛り

その職業で行う仕事の内容を職業間で比較可能な形で表しています。
情報を取得する
  • 1
  • 2
  • 3
  • 4
  • 5
情報を取得する 3.5
継続的に状況を把握する
継続的に状況を把握する 3.6
情報の整理と検知を行う
情報の整理と検知を行う 3.5
設備、構造物、材料を検査する
設備、構造物、材料を検査する 2.8
数値の算出・推計を行う
数値の算出・推計を行う 2.8
クオリティを判断する
クオリティを判断する 3.2
法律や規定、基準を適用する
法律や規定、基準を適用する 3.4
情報やデータを処理する
情報やデータを処理する 3.4
情報やデータを分析する
情報やデータを分析する 3.5
意思決定と問題解決を行う
意思決定と問題解決を行う 3.5
創造的に考える
創造的に考える 2.9
仕事に関連する知識を更新し、活用する
仕事に関連する知識を更新し、活用する 3.5
目標と戦略を策定する
目標と戦略を策定する 3.2
スケジュールを作成する
スケジュールを作成する 3.1
仕事を整理、計画する、優先順序を決める
仕事を整理、計画する、優先順序を決める 3.4
全身を使って身体的な活動を行う
全身を使って身体的な活動を行う 2.1
手と腕を使って物を取り扱い動かす
手と腕を使って物を取り扱い動かす 2.2
機械、および機械製造のプロセスをコントロールする
機械、および機械製造のプロセスをコントロールする 2.2
乗り物を運転・操縦する
乗り物を運転・操縦する 1.7
コンピュータを用いて作業を行う
コンピュータを用いて作業を行う 3.5
装置、部品、機器の図面を作成する、配列や仕様を設定する
装置、部品、機器の図面を作成する、配列や仕様を設定する 2.3
機械装置の修理と保守を行う
機械装置の修理と保守を行う 2.3
電子機器の修理と保守を行う
電子機器の修理と保守を行う 2.3
情報の文書化と記録を行う
情報の文書化と記録を行う 3.4
情報の意味を他者に説明する
情報の意味を他者に説明する 3.4
上司、同僚、部下とコミュニケーションを取る
上司、同僚、部下とコミュニケーションを取る 3.2
組織外の人々とコミュニケーションを取る
組織外の人々とコミュニケーションを取る 3.3
人間関係を構築し、維持する
人間関係を構築し、維持する 3.3
他者に対する支援とケアを行う
他者に対する支援とケアを行う 3.0
他者に対して売り込む、または他者の思考・行動が変容するよう働きかける
他者に対して売り込む、または他者の思考・行動が変容するよう働きかける 2.8
対立を解消させる、他者と交渉する
対立を解消させる、他者と交渉する 2.6
公共の場で一般の人々のために働いたり、直接応対する
公共の場で一般の人々のために働いたり、直接応対する 2.5
メンバーの仕事量や活動内容を調整する
メンバーの仕事量や活動内容を調整する 2.9
チームを構築する
チームを構築する 2.8
他者の訓練と教育を行う
他者の訓練と教育を行う 3.1
部下への指導、指示、動機づけを行う
部下への指導、指示、動機づけを行う 3.0
他者をコーチし、能力開発を行う
他者をコーチし、能力開発を行う 3.0
コンサルティングと他者へのアドバイスを行う
コンサルティングと他者へのアドバイスを行う 3.2
管理業務を遂行する
管理業務を遂行する 3.0
組織の人事管理を行う
組織の人事管理を行う 2.7
資源、資材、財源の監視と管理を行う
資源、資材、財源の監視と管理を行う 2.6

スキルレベルごとのタスク

セキュリティエキスパート(脆弱性診断)

※厚生労働省が2023年度に実施した委託調査結果に基づき掲載(結果の概要はこちら

就業するには?

 2000年頃から生まれた職業であり、まだ定型的な入職ルートはない。高専や専門学校で情報系を学んだ者も、大学卒や大学院卒も居る。大学卒、大学院卒の理系をイメージするが文系も多い。セキュリティ・キャンプ(学生に対して情報セキュリティに関する高度な教育を実施し、次代を担う情報セキュリティ人材を発掘・育成するために情報処理推進機構が実施している事業)に参加した学生は、この分野の基礎は身に着けていると評価される。また、脆弱性診断に関する世界的なコンテストがあり、その上位者は実力が認められ、仕事をオファーされたり、ヘッドハントされたりする。  システム開発を行ってきた者がこの仕事をするようになることも多い。システムの中身を知っていることが脆弱性診断を行う上で強みとなる。デジタルフォレンジックを行っていた者やシステムの運用を行っていた者が移ってくることも多い。ただし、開発を行うエンジニア等が仕事の一部として行っていることは少なく、多くの場合、脆弱性診断を専門に行っている。同業他社間での移動は非常に多い。個人としての転職の動機は「自分の強みを発揮したい」、「新たな仕事にチャレンジしたい」等が多く、会社側は「強化したい分野の人材を求める」等の理由が多い。話題性のある新しい、チャレンジしたい仕事がある会社に専門能力を高めたい人材が流れていく傾向がある。  関係団体が仕事に必要とされるスキルを体系化するプロジェクト(スキルマッププロジェクト)を進めており、「技術に関する基礎知識」、「脆弱性に関する基礎知識」、「診断業務の基礎知識」、「評価に関する知識」、「報告に関する知識」、「関係法令の知識」として整理されている。スキルの体系から教育訓練カリキュラム(シラバス)を作成する動きもあり、さらに資格化も検討されている。ただし、手動診断などでの高度な診断は専門性が非常に高く、状況の変化も激しいため、会社や団体が教育訓練を行うことは難しい。自身の興味、関心から、専門知識を深め実務の経験等を通してスキルを極めていく形で自分の能力を高めていく場合が多い。  必要な情報の大半は英語のため、英語能力も必要であるが、自動翻訳の性能が向上しそれも使いながら情報を得られればよい。  仕事に必要な新鮮な情報は関係コミュニティや業界団体から得ることが多い。新しいセキュリティの問題点等、コミュニティ参加者のSNSで話題になることが多い。  ある程度の知識とスキルを身に着け会社に入り、仕事をしながら力を付けていく。典型的なコースとしては、まず、プロジェクトマネージャ等のもと、診断のガイドラインに沿って、スキャナを使用した自動検査を担当する。診断実施計画書に沿ってこのレベルの作業を行うだけであれば、数か月から半年でもできる。このような自動検査の経験を積み、手動検査を担当するようになる。手動検査では脆弱性の診断実施計画書、ガイドラインに沿って作業を行うが、非定型な要素が多くなり、経験に基づく勘や閃きのようなものが必要となる。このためこのレベルになるには3~5年かかる。  キャリアの次の段階は診断プロジェクトのマネジメントであり、経験を積んだ者が診断案件を担当し、顧客との交渉や診断プロジェクトの管理を行う。診断のスキルに加えてビジネススキルやマネジメントスキルが求められる。  その次の段階がグループのマネジメントであり、会社の課長、部長に相当する。会社の経営計画に沿って、診断プロジェクトのマネジメントを行う者をまとめたり、新たな事業展開を進める。グループを引っ張るリーダーシップ、社会や技術の先を読む先見性、周辺分野の動きが分かる広い視野が求められる。  一方でこのようなマネジメントに進むのではなく、顧客や一般向けの研修の担当者となったり、脆弱性診断の特定分野の専門性を高めていく者もいる。  診断スキル以上に、この仕事では高い倫理観と使命感が求められる。診断のスキルや知識を悪用し、情報システムを攻撃したり、情報を盗み取ることもできてしまうためである。脆弱性診断はより高度な細分化された知識が必要になっており、新しいシステムも次々に登場するため、探求心、好奇心が求められる。

掲載している職業情報について(ご意見募集など)

関連する資格はありません

希望する職業に必要な職業スキルや知識などの訓練コースや講座を探したい方はこちらから。
ジョブ・カードを活用してキャリアを整理したい方はこちら (クリックすると別サイトのマイジョブ・カードへ移ります。)

学歴

この職業で実際に働いている人が多いと感じる『学歴』を表しています。必須とは限りませんので、詳細は「就業するには」を確認してください。

データはありません

入職前後の訓練期間、入職前の実務経験

労働条件の特徴

 脆弱性診断を専門に行う会社で働いている場合が大半であるが、情報システムを運営する会社や情報システムを開発する会社に所属し、脆弱性診断を行っている場合もある。顧客となる大手企業が東京等大都市に集まっているため、脆弱性診断を行う会社も都内に集中している。診断はリモートでもできるため地方に拠点がある会社もある。脆弱性診断を専門に行っているのは日本の企業であり、外資系の企業はほとんどない。  新しい職業でもあり、就業者数、年齢構成、男女比等の統計はない。この分野の専門家が集まるコミュニティの構成人数等から、日本全体で数百人程度、年齢は30歳代が多く、20歳代が次いで多く、女性は1割程度であると考えられる。  顧客のセキュリティ、機密情報に接することから、大半は正社員であるが、中には高い診断スキルを買われ、フリーランス、請負等で診断プロジェクトに参加する者もいる。  賃金、労働時間、休日等は勤務先の規定によるが、通常のIT企業の会社員とあまり変わらない。特殊なスキルを必要とされることから、賃金が高い場合もある。  システムやソフトウェアの脆弱性やバグを発見すると、賞金を出すというような仕組みがあり(バグバウンティ;脆弱性報奨金制度;バグ報奨金制度)、その賞金が副収入となったり、また、脆弱性やバグの発見能力を買われて、海外の会社に転職する者もそれほど多くはないがいる。バグバウンティで副収入を得ることは大半の会社が認めている。  情報システムの利用が広がる中で、サイバー攻撃の件数も年々増加傾向にあり、攻撃手法自体も高度化、複雑化していることからセキュリティの重要性は増しており、仕事も就業者も増加傾向である。システムの開発や運用において、脆弱性診断を義務づける動きもあり、このことからも仕事が増える傾向にある。  診断ツールが良くなり、これまで3人で行っていたものを一人でできるようになったりはするが、それ以上に仕事が増えている。自動車の自動運転のような新しい技術が出てくると、そこにはまた新たにセキュリティの問題も生じる。新しい情報システムが生まれれば、セキュリティの仕事も増えるという具合に仕事は広がり続けている。

掲載している職業情報について(ご意見募集など)

統計データ

セキュリティエキスパート(脆弱性診断)が属する主な職業分類(厚生労働省編職業分類の「その他の情報処理・通信技術者(ソフトウェア開発を除く)」等)に対応する統計情報です。

※「統計データ」は、必ずしもその職業のみの統計データを表しているものではありません。各統計データで使用されている職業分類の詳細については職業分類対応表をご覧ください。

※各統計データに関する留意事項についてはこちらをご覧ください。

※関連団体等が別途就業者数等を公表している場合は「労働条件の特徴」本文中に記載されていることがあります。

データ表示対象地域を選択(就業者統計データおよび求人統計データの都道府県別の数値が表示されます。)
データ表示対象地域を選択(就業者統計データおよび求人統計データの都道府県別の数値が表示されます。)

就業者統計データ

就業者数

(出典:令和2年国勢調査の結果を加工して作成)

全国
207,400
都道府県を選択すると都道府県別の数値が表示されます。

労働時間

(出典:令和5年賃金構造基本統計調査の結果を加工して作成)

全国
165
時間
都道府県を選択すると都道府県別の数値が表示されます。

賃金(年収)

(出典:令和5年賃金構造基本統計調査の結果を加工して作成)

全国
558.3
万円
都道府県を選択すると都道府県別の数値が表示されます。

年齢

(出典:令和5年賃金構造基本統計調査の結果を加工して作成)

全国
40
都道府県を選択すると都道府県別の数値が表示されます。

賃金分布(グラフ)※全国のみ

(出典:令和5年賃金構造基本統計調査の結果を加工して作成)

スキルレベル別給与データ(年収)

※厚生労働省が2023年度に実施した委託調査結果に基づき掲載(結果の概要はこちら

〈設計・構築〉

ITSSレベル1~2

420.0万円 ~ 620.0万円

ITSSレベル3

450.0万円 ~ 700.0万円

ITSSレベル4

500.0万円 ~ 780.0万円

ITSSレベル5以上

600.0万円 ~ 950.0万円

※金額は第一四分位から第三四分位の範囲を表しています。

ハローワーク求人統計データ

求人賃金(月額)

(令和5年度)

全国
30.3
万円
都道府県を選択すると都道府県別の数値が表示されます。

有効求人倍率

(令和5年度)

全国
1.95
都道府県を選択すると都道府県別の数値が表示されます。

一般的な就業形態

この職業で実際に働いている人が多いと感じる『就業形態』を表しています。

産業景況データ

セキュリティエキスパート(脆弱性診断)が属する産業(情報通信業)の産業別景況動向をグラフで見ることができます。(産業全体の景況動向はこちら

労働者過不足判断 (出典:令和6年 厚生労働省「労働経済動向調査」)

グラフの数値が大きいほど、労働者が不足と判断している。

法人企業景気予測 (出典:令和6年 内閣府・財務省「法人企業景気予測調査(BSI)」)

グラフの数値が大きいほど、景気が上昇と予測している。

職場情報の検索・比較

残業時間(時間外労働時間)や有給休暇取得率、平均年齢など、企業の様々な職場情報を検索・比較したい方はこちら(クリックすると別サイトのしょくばらぼへ移り、 セキュリティエキスパート(脆弱性診断)が属する産業(情報通信業)で検索ができます)

しごと能力プロフィール

類似する職業

データはありません