未経験でもやる気があればチャンスがある「セキュリティリスクガバナンス」~求人動向2022~

未経験でもやる気があればチャンスがある「セキュリティリスクガバナンス」~求人動向2022~
heart - 未経験でもやる気があればチャンスがある「セキュリティリスクガバナンス」~求人動向2022~loading - 未経験でもやる気があればチャンスがある「セキュリティリスクガバナンス」~求人動向2022~お気に入りに追加

こちらは2023年2月1日に放映されたウェビナーのアーカイブ動画を記事にしたものです。
ぜひ動画も併せてご覧ください。

>セキュリティ関連の転職に強いコンサルタントへのご相談はこちら

未経験者にも広く採用可能性がある「セキュリティ」

昨今、大変な盛り上がりを見せているセキュリティ業界ですが、経験者の方以外には縁遠く見えることもあるようです。

一方で、実際にこれまでご支援させていただいた中にはセキュリティ経験が無い方も多数いらっしゃいます。特に最近は大規模なセキュリティ組織を持つ大手企業が採用を強化している中で、IT経験とセキュリティ領域への興味があれば採用される事例も増えており、色々な方にとって身近な領域になりつつあります。

今回は、特に金融機関で採用されている3ラインディフェンスモデルを使い、分かりづらいセキュリティ領域の切り分けや各業務の位置づけについてご説明します。業界理解のきっかけとなれば幸いです。

3ラインディフェンスモデルとは

金融機関に多く採用されているセキュリティ体制のことで、大きくは第1のディフェンスライン(1線)・第2のディフェンスライン(2線)・第3のディフェンスライン(3線)の3分野に分かれます。

今回は、画像内で灰色の枠で切り出している、1線・2線の業務領域についてご説明します。

>セキュリティ関連の転職に強いコンサルタントへのご相談はこちら

第1のディフェンスライン(1線)の業務

第1のディフェンスラインは営業やプロダクト部門も含む事業の実働部隊のことで、ここにIT(情報システム)部門も属しています。そのため、セキュリティ領域における1線とは、すなわちITに係る「サイバーセキュリティ部隊」のことを指します。例えばCSIRTは実際にインシデントが起きたときに対応していく、あるいはその対応の方向性の企画をするセキュリティの統括組織ですが、CSIRTも1線に属します。

サイバーセキュリティの領域は、歴史的にはネットワークセキュリティの文脈で発展してきた領域ですが、最近はネットワークでリアルタイムでログを自動収集・解析するようなセキュリティソリューションも多く出てきています。そのため、アプリケーション側のシステムエンジニアの方にもセキュリティソリューションの導入などの業務ニーズがあり、セキュリティの業務領域が広がっている一つの要因になっています。

第2のディフェンスライン(2線)の業務

第2のディフェンスラインでは、実際に業務を進める上でのガイドラインや規定の策定・アセスメントなどの体制構築周りの仕事をしています。ITというよりも、さらに上流の組織運営に関わる経営に近い業務です。

グローバルにまたがる事業運営をしている大企業においては、特に重要性が増してきている領域です。これまでよりもさらに1線と密にやりとりをすることも増えているため、2線業務のカバー範囲は広くなっています。

中でも、直近での個人情報保護法の改正をきっかけに、コンプライアンスの中に籍を置く「情報セキュリティ」「個人情報保護」についての求人も増えてきています。ただこの情報セキュリティという言葉は各企業や担当者ごとに指している意味合いが異なることが多く、セキュリティ全般を指すこともあれば、ISMS・各種ガイドライン・アセスメント周りの特定の業務のみを指して「情報セキュリティ」としている場合もあります。

>セキュリティ関連の転職に強いコンサルタントへのご相談はこちら

関連求人はこちら

リスク・監査

この記事を書いた人

KOTORA JOURNAL | 未経験でもやる気があればチャンスがある「セキュリティリスクガバナンス」~求人動向2022~

中川貴史

[ 経歴 ]
金沢大学大学院を卒業後、大手通信企業に入社。SEとして海外向け金融システムプロジェクト、およびホワイトリスト/PCI-DSS対応など複数のセキュリティプロジェクトに従事。コトラに転職後は、セキュリティ/インフラエンジニア/デジタルフォレンジック領域を専門として、ハイクラスを対象に転職・採用支援。

[ 担当業界 ]
セキュリティ、インフラエンジニア、デジタルフォレンジック
コンサルティングファーム、事業会社、金融機関、SIer、ITベンダー