セキュリティエキスパート（脆弱性診断）の将来性 — AIに奪われる業務・残る業務

2000年頃から生まれた職業であり、まだ定型的な入職ルートはない。高専や専門学校で情報系を学んだ者も、大学卒や大学院卒も居る。大学卒、大学院卒の理系をイメージするが文系も多い。セキュリティ・キャンプ(学生に対して情報セキュリティに関する高度な教育を実施し、次代を担う情報セキュリティ人材を発掘・育成するために情報処理推進機構が実施している事業)に参加した学生は、この分野の基礎は身に着けていると評価される。また、脆弱性診断に関する世界的なコンテストがあり、その上位者は実力が認められ、仕事をオファーされたり、ヘッドハントされたりする。 システム開発を行ってきた者がこの仕事をするようになることも多い。システムの中身を知っていることが脆弱性診断を行う上で強みとなる。デジタルフォレンジックを行っていた者やシステムの運用を行っていた者が移ってくることも多い。ただし、開発を行うエンジニア等が仕事の一部として行っていることは少なく、多くの場合、脆弱性診断を専門に行っている。同業他社間での移動は非常に多い。個人としての転職の動機は「自分の強みを発揮したい」、「新たな仕事にチャレンジしたい」等が多く、会社側は「強化したい分野の人材を求める」等の理由が多い。話題性のある新しい、チャレンジしたい仕事がある会社に専門能力を高めたい人材が流れていく傾向がある。 関係団体が仕事に必要とされるスキルを体系化するプロジェクト（スキルマッププロジェクト）を進めており、「技術に関する基礎知識」、「脆弱性に関する基礎知識」、「診断業務の基礎知識」、「評価に関する知識」、「報告に関する知識」、「関係法令の知識」として整理されている。スキルの体系から教育訓練カリキュラム（シラバス）を作成する動きもあり、さらに資格化も検討されている。ただし、手動診断などでの高度な診断は専門性が非常に高く、状況の変化も激しいため、会社や団体が教育訓練を行うことは難しい。自身の興味、関心から、専門知識を深め実務の経験等を通してスキルを極めていく形で自分の能力を高めていく場合が多い。 必要な情報の大半は英語のため、英語能力も必要であるが、自動翻訳の性能が向上しそれも使いながら情報を得られればよい。 仕事に必要な新鮮な情報は関係コミュニティや業界団体から得ることが多い。新しいセキュリティの問題点等、コミュニティ参加者のSNSで話題になることが多い。 ある程度の知識とスキルを身に着け会社に入り、仕事をしながら力を付けていく。典型的なコースとしては、まず、プロジェクトマネージャ等のもと、診断のガイドラインに沿って、スキャナを使用した自動検査を担当する。診断実施計画書に沿ってこのレベルの作業を行うだけであれば、数か月から半年でもできる。このような自動検査の経験を積み、手動検査を担当するようになる。手動検査では脆弱性の診断実施計画書、ガイドラインに沿って作業を行うが、非定型な要素が多くなり、経験に基づく勘や閃きのようなものが必要となる。このためこのレベルになるには３～５年かかる。 キャリアの次の段階は診断プロジェクトのマネジメントであり、経験を積んだ者が診断案件を担当し、顧客との交渉や診断プロジェクトの管理を行う。診断のスキルに加えてビジネススキルやマネジメントスキルが求められる。 その次の段階がグループのマネジメントであり、会社の課長、部長に相当する。会社の経営計画に沿って、診断プロジェクトのマネジメントを行う者をまとめたり、新たな事業展開を進める。グループを引っ張るリーダーシップ、社会や技術の先を読む先見性、周辺分野の動きが分かる広い視野が求められる。 一方でこのようなマネジメントに進むのではなく、顧客や一般向けの研修の担当者となったり、脆弱性診断の特定分野の専門性を高めていく者もいる。 診断スキル以上に、この仕事では高い倫理観と使命感が求められる。診断のスキルや知識を悪用し、情報システムを攻撃したり、情報を盗み取ることもできてしまうためである。脆弱性診断はより高度な細分化された知識が必要になっており、新しいシステムも次々に登場するため、探求心、好奇心が求められる。