Cybersecurityコンサルタントの需要はかつてないほど高まっています。Information securityアナリストの職は、米国労働統計局によると、2034年までに約30%増加すると予測されています。Statistaの報告では、2024年に世界で1500万件以上のサイバー犯罪が発生しました。

Data breachesは高額な損害をもたらし、直接的な安全リスクも伴います。Statistaによると、cybercrimeによる損害の修復に世界で年間10兆米ドル以上が費やされており、最も一般的な犯罪はphishingspoofing、恐喝、およびデータ侵害です。米国での事例として、呼気アルコール検知装置が車両に取り付けられ、無効化されたことで数百人のドライバーが立ち往生した事例が、IEEE Spectrumの記事で詳述されています。

他のサイバーセキュリティ求職者と差別化するために必要なスキルを身につける手助けをするため、IEEE Computer Societyは「What Makes a Great Cybersecurity Consultant」ガイドを提供しています。この23ページのPDFには、必要なハードスキルとソフトスキル、取得すべき認定資格のリスト、分野の最新動向を把握するための主要なIEEEサイバーセキュリティ会議が含まれています。

このガイドには、2人のサイバーセキュリティ専門家からのアドバイスが掲載されています。John D. JohnsonはIEEEシニアメンバーであり、アイオワ州ベッテンドルフのAligned Securityの創業者兼CEOです。Ricardo J. Rodriguezは、スペインのUniversidad de Zaragozaでコンピュータサイエンスおよびsystems engineeringの准教授を務めており、digital forensicsやその他のサイバーセキュリティ分野を研究しています。

「テクノロジー、remote work、熟練労働者の不足により、今はサイバーセキュリティコンサルタントになるのに理想的な時期です」と、ガイドの中でJohnsonは述べています。「コンサルティングは、柔軟性、多様性、そしてキャリアの方向性を自分でコントロールできる機会を与えてくれます。」

ハードスキルとソフトスキル

最低限、サイバーセキュリティの専門家は、operating systems、通信プロトコル、ネットワークアーキテクチャ、C++、Java、Pythonなどのプログラミング言語を含むIT全般の理解が必要です。また、セキュリティ監査、ファイアウォール管理、ペネトレーションテスト、encryption技術にも精通している必要があります。

倫理的ハッキングとコーディングの原則も役立つでしょう。

「システムを適切に防御するためには、まず攻撃する方法を知らなければなりません」とRodriguezは述べています。

このガイドでは、サイバーセキュリティコンサルタントが脅威を監視し、システムを保護するために利用できる技術が増えていることを説明しています。それには、セキュリティデータの収集、インシデント対応の合理化、反復タスクの自動化を行うsecurity orchestration, automation, and response (SOAR)プラットフォームが含まれます。

Rodriguezは、domain name system security extensions (DNSSEC)の進歩を指摘しています。DNSSECは公開鍵cryptographyに基づくデジタル署名を使用してauthenticationを強化し、domain name systemの信頼性を高めます。データの真正性を検証することで、DNSSECはDNSスプーフィングなどの攻撃から保護し、ユーザーが正しいIPアドレスに接続することを保証します。

ガイドでは、artificial intelligenceblockchainquantum computingなどの技術が、cyberattacksの阻止にますます活用されると示唆しています。AIはデータ分析の質を向上させるとRodriguezは述べています。

ハードスキルは重要ですが、ソフトスキルも同様に重要だとガイドは述べています。批判的思考、project management、柔軟性、チームワーク、組織力、presentation skillsが不可欠です。

セキュリティの脆弱性を分析するのが上手いだけでは不十分で、状況を明確に説明し、可能な解決策を提示する必要があります。

「ソフトスキルは良好なチームの一体感を実現するために重要です」とRodriguezは述べています。「なぜなら、コンサルタントはクライアント組織内の多様なチームを率いることが多いからです。」

「クライアントに対して、自分がチームプレイヤーであり、有能なコミュニケーターであり、コミットメントを果たすことを示すことが不可欠です」とJohnsonは付け加えています。

セキュリティ認定資格

セキュリティ関連の資格を取得することは、潜在的なクライアントに対して専門性を示す価値ある方法だとガイドは述べています。数百もの認定資格があるため、Johnsonは最も関連性の高いものを特定するのが難しいとしています。一部の人々は理論的知識に焦点を当て、他の人々は技術の実践的応用をカバーしたいと考えています。

「業界を調査し、自分のスキルと比較してください」とJohnsonは推奨しています。「何をしたいかを決め、スキルと経験のギャップを特定してください。」

ガイドに記載されている9つの認定資格のうち、重要とされることが多い4つを以下に示します。すべての提供者はサイバーセキュリティ組織です。

金融、政府、health care、製造業などの組織では、業界固有の追加認定資格が求められる場合があります。

経験、トレーニング、認定資格に裏打ちされた健全な一般知識は、専門家になるための不可欠な基盤だとJohnsonは述べています。

カンファレンスとネットワーキングの機会

IEEE Computer Societyが主催するイベントは、サイバーセキュリティの最新研究と進展を学ぶのに役立ちます。

カンファレンスは分野への洞察を与え、ネットワーキングの機会を提供しますが、他の場所でもネットワーキングを行うことが重要だと専門家は述べています。IEEE Technical Community on Security and Privacyへの参加を検討してください。このコミュニティは、暗号化、operating systemセキュリティ、data privacyなどの分野で研究を推進する専門家やプロフェッショナルをつなぎます。

学習と人との出会いは知識を鋭敏に保ち、経験豊富なサイバーセキュリティコンサルタントとのメンターシップの機会につながるとJohnsonは述べています。

その他のIEEEリソース

IEEE Computer Societyのcybersecurity resources pageは、基礎知識、可能なキャリアパス、標準開発など豊富な情報を提供します。トレンドを把握するため、同協会はIEEE Transactions on PrivacyおよびIEEE Security and Privacy マガジンを発行しています。

このガイドに加えて、IEEE Learning Networkでは約30のサイバーセキュリティコースを提供しています。また、IEEE Xplore Digital Libraryで研究論文を検索できます。