2025.05.20
サイバーセキュリティ

サイバーセキュリティエンジニアに求められる網羅的知識

セキュリティに課題を抱える企業を対象に独自のセキュリティサービスを提供されている、株式会社CISO 代表取締役那須慎二様によるセキュリティコラム第2弾最終回。
今回は、サイバーセキュリティエンジニアに求められる網羅的知識ついてご紹介いただきます。
前回はサイバーセキュリティ人材として求められるスキルについてご説明いただきました。IPAから発表されているデジタルスキル標準や、具体的なスキルアップの順番などをご紹介いただき、様々な方にとって有益な情報をご紹介いただきました。
サイバーセキュリティ人材として求められるスキル

今回は、求められるスキルが幅広いサイバーセキュリティエンジニアには、どんな知識が必要なのかをご紹介いただきます。フレームワークなども例示いただき、今回も具体的な内容となっております。皆様のお役に立てれば幸いです。

サイバーセキュリティエンジニアに求められる網羅的知識【セキュリティコラム第2弾最終回】

前回（2025年4月）のコラムでは、「サイバーセキュリティ人材として求められるスキル」についてお伝えしました。IPA（情報処理推進機構）が提示するデジタルスキル標準を参考に、ビジネス経験×サイバーセキュリティ経験のマトリクスを用いて、スキルアッププロセスを述べました。前回示した定義も合わせて参考にしていただきつつ、今回はサイバーセキュリティエンジニアに求められる網羅的知識について述べたいと思います。

先ほど「網羅的知識」と述べましたが、セキュリティエンジニアに求められる知識は幅が広く、技術的な奥行き（深い知識）も必要です。加えて、新しい情報やサイバー攻撃者の攻撃手法なども常にキャッチアップした上で、防御側（自社内等）に落とし込む「実践力」や「現場力」も求められます。

「何も問題が起こらないこと」が評価

ログの確認や、サイバー攻撃の兆候などを見つけるために、極めて地道にコツコツと対応する「忍耐力」や「地味さ」も必要になります。加えて、何も問題が起こらないことがサイバーセキュリティエンジニアの評価でもあるため、仕事の成果が見えづらいこともあるでしょう。場合によっては「何をやっている人なんだろう」と、周りからの評価を受けにくいポジションでもあります。

「サイバー攻撃者から会社を守る」という役割としては一見格好良さそうに見えますが、実際の仕事は決して派手ではありません。地道にコツコツとスキルを積み上げていく方が、サイバーセキュリティエンジニアには向いているでしょう。

「サイバー攻撃者から会社を守る」ために必要なのは、企業でコンピュータを利用するあらゆるセキュリティ上の穴を見つけて潰すこと。そのために、特定領域の技術に精通しているだけでは足りず、会社を俯瞰的に眺めつつ、セキュリティリスクを特定し、対策を施す（脆弱性を潰す）能力が求められます。会社の全体的なセキュリティ実態を「俯瞰的に眺める」ためには、網羅的な視点と知識が必要になるのです。

では、網羅的な知識としては何が必要なのか。NIST（米国立標準技術研究所）が提供している「NIST サイバーセキュリティフレームワーク（NIST Cybersecurity Framework：NIST CSF）等はもちろん参考になるので押さえてもらいたいとは思いますが、今回はわかりやすさの観点で、最低限押さえておきたい知識をカテゴリ別に掲載します。

・エンドポイントに関する知識（PC、サーバ、スマートフォン）
・ネットワークに関する知識
・クラウドサービスに関する知識
・Webサイトに関する知識
・物理セキュリティに関する知識
・組織的・人的セキュリティに関する知識

エンドポイントに関する知識（PC、サーバ、スマートフォン）

サイバー攻撃者が最終的に狙う「ゴール」がエンドポイント端末になります。特にサーバに関しては、攻撃者にとって垂涎となる情報が多く含まれている可能性が高いため、PC端末を踏み台にした上で、サーバまでの侵入経路を探ります。

スマートフォンへのサイバー攻撃は、そこからネットワークを介して社内サーバを狙うというものではなく、「スマホアプリ」を介して、スマートフォン内に保管されている写真や通話履歴、位置情報、サイトアクセス状況などを入手しようと試みます。

被害拡大の観点ではPCとサーバに関するセキュリティ知識をまずは身につけるのが良いでしょう。

ネットワークに関する知識

セキュリティエンジニアにとって、必須であり、かつ根幹となる知識が「ネットワーク」です。攻撃者は主に、インターネットを介してサイバー攻撃を行ってきます。インターネットは、いわば通信ネットワークの塊であり、その塊同士が繋がりあって世界中に張り巡らされているため、地球の裏側にいようが攻撃ができてしまうのです。当然、社内ネットワークで利用される、有線や無線ネットワーク、FirewallやUTM、ルータ、スイッチ、等の知識は基本となります。

クラウドサービスに関する知識

利用者にとって、インターネットにさえ繋がっていればいつでも利用可能となる、クラウドサービスは極めて便利なものです。最近ではオンプレミス（社内にサーバを設置した上で利用する方法）よりも、SaaS型に代表されるクラウドサービスが利用されるケースが増えてきました。

重要情報や機密に該当する情報がクラウドサービス上に保存されているケースが増えているため、当然ながら攻撃者にとっても好都合です。特にIDやパスワードをフィッシング等の方法によって抜き取ることに成功した場合、多要素認証等が行われていなければ、あっという間にログインを許してしまう脆弱性を生み出すことになります。また、クラウドサービスは、設定不備などによって情報流出に直結するリスクもあるため、クラウドサービスのセキュリティに関する知識は今後益々求められることでしょう。

Webサイトに関する知識

企業のセキュリティ対策として、案外盲点なのがWebサイトに関するセキュリティです。 ECサイトで商品やクレジットカードの取り扱いをしている企業であれば、売上に直結するため極めて重要な対策の一つとして認識できます。

一方で、企業のWebサイト等の場合はデザイン性を重視するサイト制作会社に対応を丸投げしているケースが見受けられ、セキュリティ実装がなされないままに運用されていることも多々あります。また、WebサイトはOSやWebアプリケーション、データベース、フレームワーク、CMS等、様々なアプリケーション群から構成されることが多いため、パソコンやサーバに対するセキュリティ対策よりもより脆弱性が生じやすく、網羅的な知識を必要とする領域でもあります。「脆弱性診断」などは主にWebサイトやサービスに対するセキュリティ対策であるため、Webサイトへの脆弱性診断を学ぶことは、セキュリティエンジニアとして極めて有効です。

物理セキュリティに関する知識

物理セキュリティとは、居室への入退出管理であったり、重要な情報が保管されている場所（サーバルーム等）に対する区画の管理であったり、不審者を見つけるためのセキュリティカメラの設置であったり、紙情報からの漏洩であったり、事業継続のためのBCP対策全般（例、落雷や瞬停などの電源管理等）等を指します。サイバー攻撃は、コンピュータを使った攻撃に限らず、アナログな手法を使ったソーシャルエンジニアリング等も含まれます。案外見落としがちですが、セキュリティエンジニアとしては物理セキュリティに対する知識も身につけて欲しいものです。

組織的・人的セキュリティに関する知識

会社全体のセキュリティにまつわるルールや規程、ISMSやプライバシーマークなど情報セキュリティに関するマネジメントプロセスや認定の取得、万が一サイバー被害に遭遇した際のインシデントハンドリングやエスカレーション体制の確立、全従業員がサイバー被害に巻き込まれないための教育など、組織や人的なセキュリティ対策も多岐に渡ります。

セキュリティエンジニアとして直接的に関わるケースが少ないかもしれませんが、技術的なセキュリティ知識があると、より深く組織的、人的セキュリティを強めることができますので、技術のみに偏らず、学習をしてもらいたい領域です。

以上、サイバーセキュリティエンジニアに求められる網羅的知識についてまとめました。
セキュリティは網羅的なスキルが必要な領域です。本記事で取り上げた内容は、本年5月13日に世の中に送り出した拙著（中堅・中小企業のためのサイバーセキュリティ対策の新常識）にも具体的事例が明記されていますので、より内容を深めたい場合は、こちらも参考にしてください。

筆者紹介

那須慎二（なすしんじ）
株式会社CISO 代表取締役

国内大手情報機器メーカーにてインフラ系SE経験後、国内大手経営コンサルティングファームにて中堅・中小企業を対象とした経営コンサルティング、サイバーセキュリティ・情報セキュリティ体制構築コンサルティングを行う。
2018年7月に株式会社CISO 代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、長年の知見に基づく独自のセキュリティサービス（特許取得　特許第7360101号）を提供している。業界団体、公的団体、大手通信メーカー、大手保険会社、金融（銀行・信金）、DX関連など業界問わず幅広く講演・執筆多数。近著に「中堅・中小企業のためのサイバーセキュリティ対策の新常識: 経営者が知っておくべき最新知識
（株式会社東洋経済新報社）」あり。