セキュリティアナリストの役割：スキル、責任、および給与

セキュリティ侵害やサイバー攻撃は、もはや日常的な出来事になっています。企業は、脆弱性を特定し、サイバー犯罪者がそれを悪用するのを防ぐために、セキュリティの専門家を必要としています。その役割を担うのが、セキュリティアナリストです。

このブログでは、セキュリティアナリストについて取り上げ、スキル、責任、給与などについて解説します。

セキュリティアナリストとは

セキュリティアナリストとは、リスク、脆弱性、脅威、インシデントを分析することで、セキュリティシステム内の問題を特定して修正する専門職です。また、膨大なセキュリティ分析を実行して、サイバー攻撃を防ぐための解決策を提案します。

セキュリティアナリストになるためには、セキュリティの技術、ポリシー、プロトコルを熟知し、サイバーセキュリティや関連分野の学士号を取得する必要があります。これにより、サイバー脅威に対応するために必要なスキルを身に付けることができます。

U.S. News & World Reportでは、セキュリティアナリストはベストテクノロジージョブ部門で2位に、ベストジョブ100選で5位に位置づけられています。これは、デジタル化した世界でセキュリティの重要性が高まっていることを示すと同時に、優秀な専門家に対する需要の高さを浮き彫りにしています。

セキュリティアナリストの責任と職務

セキュリティアナリストは、企業のデジタル資産の保護に関してさまざまな責任を負っています。その一部を以下に紹介します。

1. 企業の資産を保護する

セキュリティアナリストは、企業のデジタル資産を保護します。その資産には、次のような機密情報が含まれています。

• 顧客データと従業員データ
  
• パスワードとID
• 財務情報

セキュリティ対策を講じていなければ、企業の資産は盗難や改ざんなどのサイバー犯罪のリスクにさらされます。アナリストはシステムに対するアクセスを監視し、あらゆる不審なアクティビティを特定します。

2. システムを監視する

セキュリティアナリストは、システムのインフラを監視して、最新の状態に保ちます。システムを監視してセキュリティ上の欠陥を見つけ出し、必要に応じてパッチやアップデートを適用します。こうした対策によって、サイバーセキュリティの最新の脅威からシステムを保護することができます。

3. セキュリティ評価を実施する

セキュリティアナリストは、セキュリティ評価も行います。たとえば、脆弱性テストやリスク分析を実施して、システムの弱点を特定します。脆弱性テストを行うことで、攻撃者が標的にする可能性のあるハードウェア、ソフトウェア、ネットワークインフラの弱点を見つけ出すことができます。

セキュリティ評価は、以下の8つのステップに沿って実施します。

1. 保護が必要なすべての資産を特定します。
2. 組織の資産に影響を与える可能性があるすべての脆弱性について、包括的な評価を実施します。
3. それぞれの脆弱性タイプを評価して、組織に対するリスクレベルを判断し、リスクの優先度を決定します。
4. ステップ3で特定したリスクを軽減するために、一連のセキュリティ対策を確立します。たとえば、セキュリティソフトウェアの導入や物理セキュリティ対策の改善などが考えられます。
5. すべての資産、脅威、脆弱性、セキュリティ対策について、リスク評価の結果をドキュメント化します。
6. 判明したあらゆるリスクと脆弱性に対処するため、詳細な計画を策定します。
7. ステップ4とステップ6で定めたセキュリティ対策と修復計画を導入します。
8. 修復計画の有効性をモニタリングし、セキュリティ指標を分析しながら、実施している資産保護対策に必要な調整を加えます。

4. データ侵害を分析する

データ侵害が発生したら、セキュリティアナリストは直ちに調査を行い、根本原因を特定します。発生の経緯、漏えいした情報、影響を受けた人物など、データ侵害の詳細を分析します。

根本原因が明らかになると、侵害がどのように発生し、どのセキュリティ対策がうまく機能しなかったのかが具体的に見えてきます。こうした情報を基に、新しいセキュリティ対策を考案したり、既存の対策を改善したりして、同様のインシデントが再び発生しないようにします。

5. サードパーティベンダーとの連携

セキュリティアナリストは、サードパーティベンダーのセキュリティを検証したうえで、セキュリティ要件を満たすためにベンダーと連携します。ベンダーが必要なセキュリティ基準を満たしていない場合、連携によって企業のセキュリティが危険にさらされるため、この検証は重要なステップとなります。アナリストはベンダーと密接に連携し、基準を確実に満たす必要があります。

セキュリティアナリストになるために必要なスキル

セキュリティアナリストになるうえで絶対に必要なスキルセットが決まっているわけではありませんが、一般的には以下のような分野での経験や専門知識が必要になります。

倫理的ハッキング

倫理的ハッキングとは、あらゆるハッキング技術を熟知した人物が、企業のセキュリティシステムの脆弱性を特定して修正することです。以下の方法でシステムをテストします。

1. システムへのハッキングを試みる。
2. 弱点を見つける。
3. 攻撃者に脆弱性を狙われる前に、問題を解決する。

セキュリティアナリストは、倫理的ハッキングの戦略を熟知しています。サイバー犯罪者が悪用しそうな攻撃ベクトルを把握し、そうした攻撃からシステムを保護します。

データスクリプティング

データスクリプティングとは、タスクを自動化して繰り返し処理を実行するコードを記述することです。セキュリティアナリストは、PythonやPowerShellなどのスクリプト言語を習得して、セキュリティタスクを自動化できる必要があります。コードを記述してセキュリティタスクを自動化することには、以下のようなメリットがあります。

• タスクを合理化する
• 処理や操作のミスを減らす
• 一貫性を高める
• 拡張性を強化する

アナリストのこのスキルによってセキュリティ分析の業務効率を高めることができるため、他の重要なセキュリティタスクに取り組む時間を増やすことができます。

侵入防止

侵入防止とは、ネットワークトラフィックを監視し、システムへの不正アクセスを特定して阻止することです。セキュリティアナリストは、ファイアウォールや侵入防止システムなどの侵入防止技術を使いこなし、ネットワークトラフィックを監視して不審なアクティビティを報告します。

インシデント対応

セキュリティアナリストには、発生したインシデントに対応し、影響を最小限に抑える高いスキルが必要です。セキュリティ侵害の発生時には、インシデントコマンダーが策定したインシデント対応計画に沿って対応を進めます。

セキュリティ侵害の範囲を見極め、インシデントを封じ込め、さらなる被害を防ぎます。また、アナリストは企業のデジタル資産を確実に保護し、できるだけ早く通常業務に戻れるようにします。

コンピューターフォレンジック

セキュリティアナリストには、デジタルフォレンジックのスキルも求められており、セキュリティインシデントの発生時には調査を行って、証拠を収集することを期待されています。このスキルは、セキュリティインシデントの根本原因を特定し、同様のインシデントの再発を防止するのに役立ちます。

リバースエンジニアリング

リバースエンジニアリングとは、セキュリティアナリストがシステムの仕組みを探る際に活用するスキルです。システムやソフトウェアを切り分けて、それぞれのコンポーネントを分析し、潜在的な脆弱性がないかを調査します。

アナリストは、リバースエンジニアリングの手法を駆使して、ソフトウェア、ファームウェア、ハードウェアに潜む脆弱性を特定する方法を習得している必要があります。このスキルは、攻撃を調査したり、システムを不正アクセスから保護したりするのに役立ちます。

技術以外のソフトスキル

セキュリティアナリストには、自身の役割を果たすために、技術スキル以外にもさまざまなソフトスキルが求められます。米国労働統計局によると、セキュリティアナリストには以下のソフトスキルが必要とされています。

• 分析スキル：複雑な情報を解析し、パターンを見いだし、データに基づく意思決定を行うための分析スキルが求められます。
• コミュニケーション：複雑なセキュリティ概念を非技術系の人たちにわかりやすく伝える必要があるため、コミュニケーションスキルは欠かせません。
• 創造力：セキュリティ上の脅威を見つけ出したり、革新的なソリューションで問題を解決したりするために、クリエイティブな発想を必要とします。
• 細部への意識：セキュリティログやドキュメントを正確で最新の状態に保つために、細部に注意を向けるスキルが求められます。
• 問題解決スキル：複雑なセキュリティの問題を効果的かつスムーズに特定して解決できる必要があります。

セキュリティアナリストの給与

セキュリティアナリスト職の収入は、勤務地、業種、経験値、所属企業などのさまざまな要因によって決まります。米国労働統計局によると、情報セキュリティアナリストの年収の中央値は、2021年5月の時点で102,600ドルでした。2023年のセキュリティアナリストの年収についても一部紹介します。

• ZipRecruiter社の4月のデータによると、米国での平均年収は93,645ドルです。
• Glassdoor社の4月のデータでは、米国の平均年収は78,213ドルでした。 

セキュリティアナリストの認定資格

サイバーセキュリティ分野において、セキュリティアナリストの認定資格は重要です。認定取得者は、特定分野の専門技能や知識を証明できます。以下に、代表的な資格認定をご紹介します。(関連記事：セキュリティの認定資格)

CompTIAのCompTIA Cybersecurity Analyst (CySA+)

CompTIA Cybersecurity Analyst (CySA+)の認定資格は、脅威検出ツールの設定と使用、データ分析の実行、結果の解析を行い、脆弱性、脅威、およびリスクを特定するスキルを認定します。

この認定を受けるには、1つの試験に合格する必要があり、インシデント対応アナリストまたはSOCアナリストとして3～4年の経験を持つ人に推奨されています。

シスコのCCIE Security

業界で定評のあるもう1つの認定資格が、シスコが実施するCCIE Security認定です。この認定資格に取り組むことで、シスコのネットワークセキュリティ製品を業界の最新のベストプラクティスに沿って設計、実装、保守するための知識とスキルを習得できます。

この認定を取得するには、筆記試験とラボ試験(実地試験)に合格する必要があります。セキュリティ分野で5～7年以上の経験を持つ専門家に推奨されます。

ISC2のCISSP

ISC2が実施するCISSP (Certified Information Systems Security Professional)は、世界的に認知されている認定資格であり、セキュリティアーキテクチャとエンジニアリング、そしてセキュリティ管理の専門知識を証明するものです。セキュリティ業界で5年以上の経験を持つ専門家に最適です。この認定資格は、以下の6つの分野を扱います。

• 入門レベルの認定試験
• IT/ICTのセキュリティ管理
• クラウドセキュリティ
• セキュリティの評価と認証
• 安全なソフトウェア開発
• 医療分野のセキュリティとプライバシー

GIACのGIAC Information Security Fundamentals (GISF)

GIAC Information Security Fundamentals (GISF)は、サイバーセキュリティの入門者向けの認定で、アクセス制御、リスク管理、暗号化などの分野を扱っています。認定を受けるには、1つの試験に合格する必要があります。情報セキュリティの基礎的な知識と専門性を証明するのに最適です。

まとめ：セキュリティアナリストの役割

企業では、機密情報を保護しサイバー攻撃を防ぐために、セキュリティアナリストを雇用する必要があります。サイバー脅威が増加している今、専任のアナリストを置くことで、以下のような組織の能力を強化できます。

• システムとアプリケーションに潜む脆弱性を特定する
• セキュリティインシデントを検出して対応する
• セキュリティのポリシーとプロシージャを策定して実施する

このブログはこちらの英語ブログの翻訳です。