【年収1000-2000万円】セキュリティコンサルタントに必要なスキルと経験とは

セキュリティコンサルタントはITセキュリティの現状把握から実行支援まで行う

セキュリティコンサルタントとは、最新のサイバーセキュリティを取り巻く情勢を踏まえながら、顧客企業の経営戦略に最適なIT環境を把握・提供する仕事となります。

セキュリティコンサルタントの仕事内容は大別して、
・把握・整理
・戦略立案
・実行支援・マネジメント
・最新情報の提供
が挙げられます。それぞれの仕事内容について記載していきます。

把握・整理
顧客企業における最適なセキュリティ施策を提案できるように、顧客企業において、現在使用されているオフィスアプリケーションや、ネットワーク構成、導入されているセキュリティ製品を把握・整理します。

戦略立案
顧客企業におけるIT環境を整理したあとは、3P(People、Product、Process)の観点で顧客企業のセキュリティ環境改善計画策定に着手します。具体的には、顧客企業が目指すべきセキュリティ体制や、そこに至るまでの人的リソースの育成策を考えます。また、導入すべきセキュリティ製品の策定やROI(投資利益率)の算出を行うことや、理想とすべき状態に至るまでのロードマップを立案します。

実行支援・マネジメント
戦略立案のフェーズで定めたロードマップに従い、実行の管理をおこないます。具体的には、製品の導入に関するスケジュールや課題管理、状況報告資料の作成といった作業を行います。また、構築したセキュリティ体制をうまく機能させるために、セキュリティマネジメント方式の整備も行います。

最新情報の提供
企業のサイバーセキュリティ環境を継続的に改善していくことや、顧客への最適なセキュリティソリューション提供を目的とし、幅広く最新情報の収集を行います。情報収集範囲としては、最新の製品情報やサイバー攻撃の最新動向といった情報から、log4jのような重大な脆弱性に関する情報も含まれます。

サイバー攻撃に対する防衛ニーズの高まりも相まって、セキュリティコンサルタントは一般的なITコンサルタントよりも比較的高い年収を見込むことができます。
（経済産業省｜情報セキュリティ分野の人材ニーズについて）

案件の獲得から推進まで担うことで年収1000万円を狙える

案件獲得のためのコンペ参加やプレゼンテーションを行います。また、案件を獲得した際には、セキュリティ案件のマネジメントや実行支援といった、上流の仕事から、実際のインシデント対応の指揮などの下流の仕事も含まれます。

年収1000万円が見込める役職や立場としては、コンサルファームのセキュリティコンサルタント、大手SIerのセキュリティ部門が該当します。コンサルタントとして必要なビジネススキルに加え、セキュリティを中心としたITに関する知識が必要になります。

案件の獲得や、案件の推進における資料作成・説明が主なタスクとなるため、資料作成スキルやプレゼンテーションといったスキルは当然必要です。特に、情報セキュリティは専門用語が非常に多いという特徴があります。それらの専門用語を、忙しい企業の経営者に短時間で理解させる必要があるため、難解な用語をわかりやすく説明するスキルが求められます。

IPA（情報処理推進機構）が主催する資格の中でも『高度』と呼ばれる資格を取得することで、案件にアサインされやすくなったり、コンサルタントとして企業に入札しやすくなったり、といったメリットがあります。その中でもITストラテジストは顧客企業に対して、情報技術を活用した戦略策定を主眼とした資格となっています。また、情報処理安全確保支援士は、セキュリティ領域の高度資格となっており、実名で登録を行うことでセキュリティに関する知識について一定以上のレベルを持つことの証明になります。

最新技術に精通し、マネジメントを行うと年収1500万円を狙える

年収1500万円を狙うのであれば、大手企業の案件や、クラウド・最新技術にが関連する難易度が高い案件に取り組む必要があります。また、これらの案件を同時に掛け持ちすることもあります。大手企業のCSIRT組織における役員～部長レベルや、大手コンサルファームのセキュリティコンサルタント、スタートアップのCSO（Chief Security Officer）が該当します。

年収1500万円クラスになると、自身もコンサルタントとして活躍する傍ら、一定数の部下をマネジメントする必要も生じます。また、コンサルタントとしては標準的なコンサルタントとの差別化として、クラウドやネットワークといったセキュリティと隣り合わせの領域に強みがあるといいでしょう。

強みをより強固にするために、NW機器として広いシェアを誇るCisco関連の認定資格や、近年スキルとして需要が高まっているパブリッククラウド関連のセキュリティスキルを取得しておくことも有効です。具体的には、CCNPやCCIEといったCiscoの上位資格、AWS Certified Security Specialty、GCP Certified Professional Security Engineerが該当します。

グローバル企業の戦略策定に携わると年収2000万円を狙える

担当する案件は、大手企業の戦略策定といった超上流の案件や、クラウド・最新技術に関連したきわめて難易度が高い案件が考えられます。

大手企業（Large70レベルやグローバル企業）のCSIRT組織における部課長レベルや大手コンサルファームのシニアマネージャー、GAFAなどの巨大IT企業に所属するセキュリティコンサルタントが案件を担うことが通例です。

グローバルレベルの企業に対して、戦略策定などのコンサルティングを行うため、非常に高いレベルのセキュリティに関する知識やビジネススキルに加え、英語力も重要になってきます。

海外でも通用する資格を取得しておくことで、スキルの認知を幅広くすることができ、国際的な場で活躍する機会も得られるようになります。CISSPはNPO団体の(ISC)2 （国際情報システムセキュリティ認証コンソーシアム）が主催する資格で、国際的に最も権威あるセキュリティ資格となります。GIACは米国の団体「SANS」が主催している試験で、GIAC Security Expertはその中でも最高位の難易度を誇る資格となっています。

まとめ

今回の記事ではセキュリティコンサルタントについて、仕事内容や年収の観点から解説しました。コンサルティング案件などを探している方、事例を知りたい方は、ぜひfoRProまでご相談ください。