2.3 脆弱性診断士からのキャリアパス #
脆弱性診断士の経験を活かして移行しやすいセキュリティ関連の職種と、それぞれに適した人の特徴や適性について、以下にいくつか例を挙げます。
- ペネトレーションテスター
- 攻撃者の視点から実際に攻撃を試み、システムの弱点を特定
- システム単体の脆弱性だけではなく組織全体の運用の問題などを指摘する
- セキュリティ監視/運用エンジニア(SOCアナリスト)
- セキュリティオペレーションセンター(SOC)でのリアルタイム監視と分析
- セキュリティ警告の調査、トリアージ、初期対応を担当
- マルウェアアナリスト
- 悪意のあるソフトウェアの挙動分析と対策立案
- 新種マルウェアの解析と、防御策の提案
- フォレンジックエンジニア
- セキュリティインシデント発生後の詳細な調査と分析を実施
- デジタル証拠の収集、保全、分析を行い、インシデントの全容解明を支援
- インシデントレスポンダー/ハンドラー
- 主にCSIRTでセキュリティインシデントの検知、分析、対応を担当
- 攻撃の封じ込めと根絶、被害の最小化を図る
- 脆弱性研究者/エクスプロイト開発者
- 新たな脆弱性(ゼロデイ)の発見と分析
- 新たな脅威や技術を探求
- 企業に所属せずに脆弱性を発見するバグハンターと呼ばれる職種もある
- セキュリティ製品・サービス開発者
- セキュリティ技術を活用した製品やサービスの開発・実装・製品化
- セキュリティシステムエンジニア/アーキテクト
- セキュリティ要件を満たすシステムやアプリケーションの設計、実装を担当
- ネットワーク、サーバー、アプリケーション、データベースなどの幅広い領域をカバー
- クラウド環境特有のセキュリティ課題に対応するクラウドセキュリティエンジニアもいる
- CI/CDやDevSecOpsなどの開発工程に携わるエンジニアもいる
- スレットハンター
- 高度な脅威の能動的な探索と分析
- OSINTや新たな攻撃手法の調査と、対策の提案
これらの職種はあくまで一例ですが、脆弱性診断士としての経験を活かしつつ、個人の強みや興味に応じて選択できます。 どの職種に移行するにしても、継続的な学習と新しいスキルの習得が重要です。また、多くの場合、技術的なスキルだけでなく、コミュニケーション能力やビジネス感覚も求められます。
実際にどのようなスキルが必要になるのかは、JNSAが公開している「セキュリティ知識分野(SecBoK)人材スキルマップ」を参考にするとよいでしょう。
セキュリティ知識分野(SecBoK)人材スキルマップ #
SecBoKでは、セキュリティ関連業務に携わる人材に求められるスキルがカテゴリ別にまとめられています。
脆弱性診断士以外にもセキュリティに携われる職務は数多くあるため、自分が今現在得意としている項目がどの職種で活躍できそうなのか、どの部分を補えば良いのか、参考として見ておくべきでしょう。
脆弱性診断士としてスキルを身につけた後にジョブチェンジする際の選定先を考えるのにも役立つでしょう。