セキュリティアナリストとは|仕事内容・年収・SOCの役割となり方を解説
最終更新日:2026/07/03
セキュリティアナリストとは、SOC(Security Operations Center)などに所属し、SIEMや各種検知ログを分析してサイバー攻撃の兆候を洗い出す職種です。設計・構築中心のセキュリティエンジニアとは業務範囲が異なり、SOCなどで監視・調査・初動対応を担うポジションとして位置づけられることが多くなっています。この記事では、独立を視野に入れるエンジニア向けに、仕事内容・SOCの階層・年収・資格・なり方までを整理して解説します。
先に結論
セキュリティアナリストは「作る」より「見る・調べる」に軸足を置く職種で、一次分析・調査を担いつつ、上位層では検知ルールの改善や脅威ハンティングにも関与する
SOCの実務ではTier1(初動)/Tier2(詳細調査)/Tier3(脅威ハンティング・チューニング)という階層で役割分担されることが多く、キャリアパスもこの階層に沿って伸びていく
年収は求人ボックスの「セキュリティアナリスト」掲載求人集計で約630万円台、jobtag掲載の類似職種と比較しても幅があり、経験・シフト条件・クリアランス有無で大きく変動する(後述で母集団を明示)
フリーランス案件はセキュリティエンジニア全般と比べると流通量が少なめ。SOC監視は常駐が前提になりやすく、業務委託の求人はチューニング・アドバイザリ・脅威ハンティング寄りの高スキル層が中心になる
未経験から目指す場合は、IT基礎→ネットワーク/Linux→SOCオペレーター→情報処理安全確保支援士や情報セキュリティマネジメント→CEH/GCIH等の順に積み上げるのが現実的なルート
この記事でわかること
セキュリティアナリストとセキュリティエンジニアの違い、SOCの位置づけ
Tier1〜Tier3の具体的な仕事内容と、必要になるスキルセット
年収・単価相場の目安と、その数字がどの母集団に基づくか
未経験からのロードマップ、フリーランス化を狙う場合の現実的な選択肢
よくある失敗と、面談で聞かれやすい観点
目次
セキュリティアナリストとは|職種の定義とSOCの中での位置づけ
セキュリティアナリストの仕事内容|Tier1・Tier2・Tier3の役割
セキュリティアナリストに必要なスキル
セキュリティアナリストにおすすめの資格
セキュリティアナリストの年収・単価相場
セキュリティアナリストになるには|未経験からのロードマップ
フリーランス案件で見られる募集要件のリアル
よくある失敗と対策
セキュリティアナリストのキャリアパス
まとめ
よくある質問
セキュリティアナリストとは|職種の定義とSOCの中での位置づけ
セキュリティアナリストは、組織のIT環境で発生するイベントログ・アラートを分析し、攻撃の兆候を見つけ、判定し、次のアクションにつなげる役割を担うエンジニアです。SOCと呼ばれる監視組織や、CSIRT(Computer Security Incident Response Team)と連動して動くケースが多く、実務では「監視」「分析」「レポーティング」の3つが仕事の中心になります。
職種としての定義
セキュリティアナリストとは、ログやアラートを分析して攻撃の有無を判定し、必要に応じてエスカレーションや初動対応につなげる職種です。 明確な国家資格や公的定義がある職種ではありませんが、実務ベースでは次のように整理できます。
監視業務:SIEM・EDR・ファイアウォール・WAFなどから上がるアラートをリアルタイムで確認する
分析業務:疑わしいイベントの前後関係を追跡し、誤検知か真の攻撃かを判定する
エスカレーション:真の攻撃と判定された場合、上位アナリストやCSIRTに情報を渡す
改善業務:検知ルール・シグネチャの見直し、誤検知の減少に向けたチューニング
「作る」ことより「見る・調べる・判断する」ことが仕事の中心になる点が、他のセキュリティ職種との大きな違いです。
SOCとCSIRTの違い
用語が混同されがちなSOCとCSIRT、そしてSIRT/PSIRTの関係を整理しておきます。
略称 | 正式名称 | 主な役割 |
|---|---|---|
SOC | Security Operations Center | 監視・検知・一次分析。多くの場合24時間体制 |
CSIRT | Computer Security Incident Response Team | インシデント発生後の対応・調整・報告 |
PSIRT | Product Security Incident Response Team | 自社製品の脆弱性対応に特化 |
SIRT | Security Incident Response Team | CSIRT/PSIRTを包含する広義の呼称 |
セキュリティアナリストはSOCの中で中心的に配置されることが多い職種ですが、大企業ではCSIRTへの兼任や、脅威インテリジェンス部門への異動も一般的です。
セキュリティエンジニアとの違い
「セキュリティエンジニア」は非常に広い呼び方で、設計・構築・監査・監視までを包含して使われることが少なくありません。求人票では次のように区分されるケースが多くなっています。
観点 | セキュリティアナリスト | セキュリティエンジニア(設計・構築) |
|---|---|---|
主な業務 | 監視・検知・分析・レポート | ファイアウォール・WAF・IAM等の設計と構築 |
主なツール | SIEM/EDR/IDS/脅威インテリジェンス | クラウドセキュリティ設定・PKI・NGFW |
稼働形態 | シフト勤務が多い | 通常の日中勤務が中心 |
求められる知識 | 攻撃手法・ログ解析・ネットワーク | インフラ設計・アーキテクチャ |
境界は組織により曖昧ですが、独立を検討する際は自分がどちら寄りの実務経験を持っているか、面談前に整理しておくと話がスムーズになります。セキュリティエンジニア全体の解説はセキュリティエンジニアとは?年収・将来性・キャリアパス・スキルまで徹底解説でも扱っています。
セキュリティアナリストの仕事内容|Tier1・Tier2・Tier3の役割
SOCではアナリストを階層で区分することが一般的です。組織によって呼称や担当範囲は異なり、Tier2/3を分けない小規模SOCや、Tier1でも封じ込め判断まで担う現場もありますが、Tier(ティア)1〜3という括り方はグローバルに広く使われています。各層の役割・扱うログ・求められるスキルが違うため、キャリア設計の起点にもなります。
Tier1アナリスト(初動対応)
Tier1は、SIEMやEDRから上がるアラートを一次で確認する層です。プレイブック(手順書)に沿って、既知パターンに該当するかを判定し、誤検知であればクローズ、疑わしければTier2へ引き渡します。
主な業務は次のとおりです。
SIEMダッシュボードの常時監視
アラートのトリアージ(緊急度判定)
プレイブックに沿った初動調査
誤検知パターンの記録・ナレッジ化
未経験からセキュリティ職に入る場合の入口として設定されることが多く、シフト勤務・夜勤ありの働き方が一般的です。
Tier2アナリスト(詳細調査)
Tier2は、Tier1から上がってきた疑わしいイベントについて、攻撃の全体像を再構成する役割を担います。ログの相関分析、ホストでのプロセス調査、ネットワークパケットの復元などを組み合わせ、攻撃の入口・拡散経路・被害範囲を明らかにします。
相関分析(複数ログの突き合わせによる痕跡追跡)
マルウェア解析の初期段階(サンドボックス動作確認)
IOC(Indicator of Compromise)の整理と共有
インシデント判定と封じ込め方針の起案
MITRE ATT&CKなどの攻撃技術フレームワークを活用する現場も増えており、Tier2ではATT&CKの技術IDでレポートを組み立てるスキルが評価されやすくなっています。
Tier3アナリスト(脅威ハンティング・チューニング)
Tier3は、既知の検知ルールに引っかからない攻撃を能動的に探し出す脅威ハンティング、および検知精度そのものを底上げするルール・シグネチャのチューニングを担う層です。実務レベルではセキュリティエンジニアやCSIRTと密接に連携するため、SOCの中でも設計・研究に近い立ち位置になります。
仮説ベースの脅威ハンティング(Threat Hunting)
検知ルールの新規作成・チューニング
インシデント事後分析(ポストモーテム、根本原因分析)
外部脅威インテリジェンスの取り込みと社内共有
ミニFAQ:Tier1から始めれば必ずTier3まで上がれる?
シフト勤務・単純作業の負荷が高い組織では、Tier1のまま数年経過するケースもあります。Tier2以降に上がるには、社内のインシデント調査への自主的な関与、資格取得、CTF参加など、日常業務の外側での学習実績が問われます。
インシデント発生時の初動フロー
参考までに、代表的な初動対応の流れを整理しておきます。
アラート検知(SIEM/EDR/利用者からの通報)
トリアージ(緊急度と対象システムの判定)
詳細調査(相関分析、影響範囲の確定)
封じ込め(ネットワーク隔離、認証情報のリセット)
根絶(マルウェア削除、パッチ適用、権限見直し)
復旧・事後分析(サービス再開、教訓化)
このフローはJPCERT/CCのインシデントハンドリングガイドなどで参照できます。SOC・CSIRTの実務では、この流れをどこまで自組織で回すか、どこから外部委託・ベンダー支援に切り替えるかが設計の要点です。
セキュリティアナリストに必要なスキル
セキュリティアナリストは「攻撃を知ることで防御を知る」という考え方が根底にあり、単なるツール操作以上に、幅広い基礎の積み上げが要求されます。
ネットワーク・OSの基礎
すべての攻撃はネットワークとOSの上で発生します。次のトピックは実務で頻出する基礎として、優先的に押さえておきましょう(Tier1入口の求人によっては全てを求めないケースもあります)。
TCP/IP・DNS・HTTP/HTTPSの動作原理
Linuxの基本コマンドとログの読み方(syslog、auditd)
Windowsのイベントログ(Security・System・Applicationログ、Sysmon)
Active Directoryの基礎(NTLM/Kerberos認証、権限グループ)
CCNAレベルのネットワーク基礎、LPIC1程度のLinux基礎は、多くの募集要件で暗黙の前提になっています。ネットワーク側の全体像を整えたいならCCNAとは|資格取得のメリットや勉強法・受験方法まで解説などもあわせて確認しておくとよいでしょう。
ログ分析・SIEMの実務スキル
日々の仕事の中心はログ分析です。SIEMツール(Splunk、Microsoft Sentinel、IBM QRadar、Elastic Securityなど)のクエリ言語を扱えるかどうかは、実務で最も差が出るポイントの一つです。
ツール | クエリ言語 | 特徴 |
|---|---|---|
Splunk | SPL | 商用SIEMの定番。学習リソースが豊富 |
Microsoft Sentinel | KQL | Azureエコシステムと親和性が高い |
IBM QRadar | AQL | 大規模組織での採用事例が見られる |
Elastic Security | KQL(Kibana Query) | オープンソース起点でPoC用途にも |
Splunkの詳細はSplunkとは|ログ分析とSIEMの基本・フリーランス案件単価を解説で扱っています。学習コストが最も低いのはSplunk Free版やElasticのPoC環境で、自宅ラボから始めるアナリストも多くなっています。
攻撃手法とセキュアコーディング
守るためには、攻撃の側の常識も知る必要があります。とくに次のような論点は、面談で「実務で調査したことがあるか」を聞かれることが多い領域です。
Webアプリ攻撃:SQLインジェクション、XSS、CSRF、SSRF
認証・認可の不備:セッション固定、権限昇格、OAuth設定不備
マルウェア・ラテラルムーブメント:Mimikatz、PsExec、PowerShell悪用
クラウド固有の攻撃:IAM権限悪用、S3公開設定、キー漏洩
代表的な脆弱性のひとつであるSQLインジェクションはSQLインジェクションとは|仕組み・主要攻撃4種・実装対策と検知方法で解説しています。認可の不備を理解するにはOAuth 2.0とは|認可の仕組み・4つのグラントとPKCEを解説を先に押さえるとよいでしょう。
ソフトスキル(レポートと英語)
見落とされがちですが、アナリストの成果物は日々のレポートとインシデント報告です。技術判断を非技術者にわかる言葉に翻訳できるかどうかで、社内評価が大きく変わります。
事象・原因・影響・対処を、事実と推測を分けて記述する力
経営層向けサマリーと、現場向け詳細レポートを書き分ける力
英語で書かれた脅威インテリジェンスや公式アドバイザリを読み解く力
英語は必須ではありませんが、脅威情報の一次情報は英語で流通するため、読解できる水準が求められる場面は多くなっています。
ミニFAQ:プログラミングはどこまで必要?
Tier1では強くは求められませんが、Tier2以降ではPythonでのログ整形・API連携、PowerShellのスクリプト読解が実務で必要になります。開発職ほどの実装力は求められませんが、「読める・少し書ける」水準を目指すと選択肢が広がります。
セキュリティアナリストにおすすめの資格
セキュリティ職は資格の位置づけが比較的高い領域です。業務での実績が最優先であることを前提に、目安として以下を段階的に取得していくのが定番ルートです。
国内資格(IPA系)
未経験〜中堅層でとくに評価されやすいのは、IPAが実施する国家試験群です。
情報セキュリティマネジメント試験(SG):管理系の入口。初学者に推奨
情報処理安全確保支援士試験(SC):技術系の登竜門。試験合格後、所定の登録手続きを行うと「情報処理安全確保支援士(登録セキスペ)」を名乗れる
ネットワークスペシャリスト試験(NW):SOCで扱うネットワーク領域の裏取りに有効
登録セキスペの詳細は情報処理安全確保支援士|難易度・登録費用・フリーランスエンジニアのキャリア活用、SG試験については情報セキュリティマネジメント試験|難易度・合格率・勉強時間と取得メリットで扱っています。国家試験の位置づけはIPA公式サイトで確認できます。
国際資格(ベンダー中立)
グローバル案件・外資系企業では、国際資格が採用要件になっているケースがあります。
資格 | 主催 | 位置づけ |
|---|---|---|
CompTIA Security+ | CompTIA | セキュリティ基礎の共通スタンダード |
CEH(Certified Ethical Hacker) | EC-Council | 攻撃技術の体系学習 |
GCIH/GCFA | GIAC(SANS) | インシデント対応・フォレンジックの実務系 |
CISSP | (ISC)² | マネジメント寄り。認定には所定の実務要件があり、受験前に公式要件の確認が必要 |
CEH・GCIHはアナリストの実務直結度が高い部類、CISSPはリーダー・マネジメント層向けと整理されることが多くなっています。SANSのGIAC系は受験費用が高額(日本円換算で数十万円規模)なため、会社負担で受験できる環境かどうかも判断ポイントになります。
クラウドセキュリティ資格
クラウド環境の割合が急増している近年、クラウドプロバイダのセキュリティ資格も選択肢に入ります。
AWS Certified Security – Specialty
Microsoft Certified: Security Operations Analyst Associate(SC-200)
Google Cloud Professional Cloud Security Engineer
AWSの資格全体はAWS認定資格おすすめ一覧、AzureはAzure認定資格一覧でも扱っています。SC-200はSentinel/Defender群を扱うため、Microsoft Sentinel系のSOC案件では実務直結度が高い部類に入ります。
セキュリティアナリストの年収・単価相場
年収の話は母集団によって数字が大きくブレる領域です。ここでは可能な限り出典を添えて整理します。
正社員の年収相場
求人ボックスの掲載求人集計(2026年7月時点)では、セキュリティアナリストの平均年収は約630万円前後(同サイトの公開求人ベース、時期により変動あり)
jobtag(厚生労働省)ではセキュリティアナリスト単独の統計は限定的で、隣接する「情報セキュリティ管理者」等の職種で参照する必要がある
経済産業省のIT関連産業の給与等に関する実態調査ではセキュリティ関連職種の平均年収が他IT職種と比較してやや高い水準にある傾向が示されている
これらは集計対象と算出方法が異なるため、単純比較はできません。国内の公開求人票ベースの観測では、Tier1で400〜500万円台、Tier2で550〜700万円台、Tier3で700万円以上というレンジが目立つ傾向があります(首都圏の正社員求人を中心に見た観測ベースの目安)。
フリーランスの単価相場
フリーランスの公開案件では、正社員の相場からさらに条件依存の幅が大きくなります。以下は首都圏中心の業務委託公開案件を観測した目安で、契約条件・稼働・英語要件で大きく変動します。
SOC監視オペレーション(Tier1相当):常駐前提が多く、業務委託の流通量は少なめ
SOCアドバイザリ/設計(Tier3寄り):月額80〜120万円前後で募集されるケースが見られる
脅威ハンティング・レッドチーム:スポット契約が多く、日額・時給ベースの案件も
Web開発・インフラ系のフリーランス案件と比較すると絶対数がまだ少ない領域であることは押さえておきましょう。単価の底上げには、業界(金融・公共)や技術(クラウドセキュリティ・脅威インテリジェンス)でのニッチな強みが効きやすくなっています。フリーランス全体の単価感は【2026年最新版】フリーランスエンジニアの単価相場と単価の上げ方とは?を参照してください。
高単価案件の人物像
主にSOC設計支援・CSIRT高度化・クラウドセキュリティ運用設計などの上流案件で、月額100万円超のセキュリティアナリスト系案件が出るケースがあります。募集されるのは、次のような経歴を持つ層です。
SOC・CSIRT実務経験5年以上で、インシデント対応リーダー経験がある
クラウド(AWS/Azure)とオンプレの両方でセキュリティ運用経験がある
CISSP、GCIH/GCFA、登録セキスペのいずれかを保有している
英語で脅威インテリジェンスや外部ベンダーとやり取りできる
「アナリスト経験+英語」もしくは「アナリスト経験+クラウド設計」の掛け合わせがあると、高単価レンジで動きやすくなります。
ミニFAQ:ソフト業界の他職種と比べて年収は高い?低い?
セキュリティは慢性的な人材不足の領域で、他のIT職種と比べて同経験年数なら年収が高めに出やすい傾向があります。ただしTier1のオペレーション業務は交代勤務があり、時給換算では他職種と大きく変わらないケースもあります。
セキュリティアナリストになるには|未経験からのロードマップ
未経験からセキュリティアナリストを目指す場合、次のような段階を意識するとムリなく積み上げられます。
ステップ1:IT・ネットワーク基礎(3〜6か月)
まずはIT全般とネットワークの基礎から着手します。
基本情報技術者試験 or 応用情報技術者試験の学習
LinuxとWindowsの基本操作、コマンドライン、ログの読み方
TCP/IPとHTTP/HTTPSの動作原理
いきなりセキュリティに飛び込むよりも、この段階を飛ばさないことがのちに効いてきます。
ステップ2:セキュリティ基礎(3〜6か月)
セキュリティに特化した基礎学習に入ります。
情報セキュリティマネジメント試験、あるいはCompTIA Security+
OWASP Top 10、CWEなどの脆弱性フレームワーク
個人ラボでのSIEM体験(Splunk Free、Elastic PoC環境など)
未経験でも、自宅ラボでSIEMを触った経験があるかどうかは、面接で差が出るポイントになります。
ステップ3:SOCオペレーターとして実務経験を積む(1〜2年)
第一歩は、多くの場合SOC監視センターでのTier1オペレーター経験になります。
SOCサービスを提供するSIer・セキュリティベンダーへ入社
あるいは社内SOC(金融・製造・情報通信)のTier1として配属
24時間シフト勤務のなかで、SIEMとプレイブックに慣れる
大手SIer・セキュリティベンダーの中には、未経験可のSOCポジションを設けている企業もあります。ここで「シフト勤務に耐えられるか」「ログを読み続ける忍耐力があるか」を自分で見極めることも重要です。
ステップ4:Tier2、そして専門化へ(2〜3年)
Tier1から上がるには、日常業務の外での学習・貢献実績が問われます。
情報処理安全確保支援士、あるいはCEH/GCIHへの挑戦
インシデント調査・ハンティングへの自主的な参加
CTF(Capture The Flag)競技への参加、Writeupの執筆
このタイミングで自分の専門領域(クラウドセキュリティ/マルウェア解析/脅威インテリジェンス等)を選び始めると、その後のキャリア設計がしやすくなります。
ステップ5:フリーランス化を検討する
フリーランス化を検討する場合、Tier1のシフト勤務経験だけでは業務委託の選択肢は広がりにくいのが実情です。次のような条件を満たすと、独立後の案件選択の幅が出てきます。
Tier2以上の実務経験2〜3年以上
特定業界(金融・公共・製造)での実績
クラウドセキュリティ、脅威ハンティング、SOC設計のいずれかで専門性
情報処理安全確保支援士、CISSP、GCIH/GCFAなどの保有
独立の判断軸そのものはフリーランスエンジニアになるには?最適なタイミングと具体的なステップを解説にも詳しくまとめています。
フリーランス案件で見られる募集要件のリアル
参考までに、公開されているフリーランスのセキュリティアナリスト系案件で目立つ要件を整理します。
業界別の傾向
業界 | 特徴 | 主な募集職種 |
|---|---|---|
金融(銀行・証券・保険) | 規制対応が厚い部類。長期常駐が多い | SOC運用、リスクアセスメント支援 |
公共・官公庁 | 厳格な身元確認や入場審査が求められる案件がある | セキュリティ監視、CSIRT支援 |
通信・クラウド事業者 | 大規模SOC。24/7シフト前提 | SOCシニアアナリスト、ハンティング |
事業会社(自社SOC) | 業界問わず内製化が進行中 | セキュリティアーキテクト兼務が多い |
公共系の案件感は官公庁・公共系のフリーランスエンジニア案件|単価相場・契約形態・セキュリティ要件を徹底解説、金融系は金融業界のフリーランスエンジニア案件|職種・単価相場・求められるスキルを解説もあわせて確認するとよいでしょう。
常駐/リモートの傾向
セキュリティ領域では、扱う情報の機密性からフルリモート案件は他職種と比べて少なめです。ハイブリッド勤務(週2〜3日出社)が現実的なラインで、フルリモートを希望する場合は業務範囲が限定的な設計・アドバイザリ寄りに絞られる傾向があります。
ミニFAQ:セキュリティエンジニアと兼務するアナリスト案件はある?
事業会社の情シス・セキュリティ推進部門では、設計・構築・監視をまとめて回す1人セキュリティ担当のような働き方もあり、フリーランスでも兼務型の案件は一定数あります。人数の少ない組織ほど守備範囲が広くなる点は事前に確認してください。
よくある失敗と対策
セキュリティアナリストのキャリアで、独立検討者からよく相談される失敗パターンをまとめます。
失敗1:Tier1の単純作業で消耗して転職を繰り返す
対策として、入社時点でTier2以降への昇格ルートを確認しておくことが重要です。プレイブック運用だけを続ける組織か、脅威ハンティングやチューニングにも関与できる組織かは、面接で具体的な業務比率を聞くと見えてきます。
失敗2:資格取得だけで実務力が伴わない
CISSPや情報処理安全確保支援士を持っていても、SIEMクエリが書けなかったり、実際のインシデント対応経験が乏しいと、面談・トライアルで評価が上がりにくくなります。資格=実務力の証明にはならないため、自宅ラボやCTFで手を動かす習慣を並行させましょう。
失敗3:技術一辺倒でレポート力を鍛えない
アナリストの成果物の中心はレポートです。技術判断は正しいのに文章が読みにくく、経営層・顧客への説明で信頼を失うケースがあります。日常業務のなかで、「事象・原因・影響・対処」を1ページに整理する練習を意識しておくとよいでしょう。
失敗4:フリーランス化のタイミングを見誤る
Tier1経験だけで独立すると、業務委託案件の選択肢がほぼSOC常駐に限定され、単価も想定より上がらないケースがあります。Tier2以降の実務経験を最低2〜3年積んでからの独立が、単価と選択肢の両面で無難なラインです。
セキュリティアナリストのキャリアパス
セキュリティアナリストのキャリアは、技術深化型/マネジメント型/独立型の3方向に大きく分かれます。
技術深化型
Tier3のシニアアナリスト、脅威インテリジェンスアナリスト、フォレンジックエンジニア、レッドチームなどへ専門化していく方向です。CTF、公開研究、カンファレンス登壇などのアウトプットが評価に直結します。
マネジメント型
SOCマネージャー、CSIRTリーダー、CISO室のスタッフとして、組織全体のセキュリティ運用を統括する方向です。CISSPやISMS審査員などの管理系資格が評価される場面が増えます。
独立型
フリーランス、あるいはコンサルティング法人化を経て、セキュリティアドバイザリ・設計支援・SOC構築支援などの業務を独立で受注する方向です。この場合、マイクロ法人とは?フリーランスエンジニアの節税戦略・メリット・デメリット・設立手順を徹底解説などで扱う法人化の判断もあわせて検討することになります。
いずれの方向でも、「攻撃と防御の両方を実務で見てきた」経験は市場価値の底上げに直結します。
まとめ
セキュリティアナリストは、SIEM・EDR・IDS/IPSのアラートを読み解き、攻撃の兆候を見つけて次のアクションにつなぐ、SOCの中核ポジションです。Tier1(初動)→Tier2(詳細調査)→Tier3(脅威ハンティング)の階層で役割が変わり、キャリアもこの階層に沿って積み上がっていきます。
要点を整理すると次のとおりです。
職種は「監視・分析・レポート」が中心で、設計・構築主体のセキュリティエンジニアとは軸が異なる
年収は求人ボックスの掲載求人集計で約630万円台が一つの目安。ただし母集団・経験年数で大きく変動する
未経験ロードマップの定番はIT基礎→ネットワーク/Linux→SOCオペレーター→IPA資格→国際資格・専門化
フリーランス案件はセキュリティエンジニア全般より流通量が少なめ。Tier2以上の実務経験と専門性が独立成功の鍵
キャリアは技術深化型・マネジメント型・独立型の3方向。攻撃と防御の両視点を持つことで市場価値が伸びる
次に取り組むべきことは、現在のスキルレベルに応じて次のとおり分岐します。
未経験〜IT基礎段階:情報セキュリティマネジメント試験の学習を開始し、SOCオペレーター求人の応募要件を確認する
SOC Tier1経験者:情報処理安全確保支援士・CEH/GCIHへの挑戦と、Tier2実務への関与を働きかける
Tier2以上の中堅:クラウドセキュリティ・脅威ハンティング・フォレンジックのうち専門を1つ定め、フリーランス化の準備を進める
参照した一次情報・関連ページは以下です。
よくある質問
Q1. セキュリティアナリストとセキュリティエンジニアはどちらが将来性がありますか?
どちらも将来性は高い領域ですが、性格が異なります。アナリストは運用・監視の需要が続く限り伸びる職種、エンジニアは新しい技術領域(クラウド・ゼロトラスト)ごとに設計案件が生まれる職種です。自分が「見て気づく仕事」と「作って形にする仕事」のどちらに向いているかで判断するとよいでしょう。
Q2. 未経験からSOCに入るまでの学習期間はどれくらいですか?
IT基礎から始める場合は6か月〜1年、すでにインフラやサポートデスクの経験がある場合は3〜6か月が目安になります。情報セキュリティマネジメント試験を1つのマイルストーンにするとペースが作りやすくなります。
Q3. セキュリティアナリストは夜勤が必ずありますか?
Tier1のSOC監視は24時間365日体制のことが多く、シフト勤務・夜勤が伴いやすい部類です。ただし、Tier2以降の詳細調査・ハンティング業務、あるいは事業会社の日勤SOCなど、夜勤を避けられる働き方も存在します。
Q4. 数学や情報工学の学位は必要ですか?
必須ではありません。文系出身のセキュリティアナリストは多く、実務ではネットワーク・OS・ログの読み方の習熟度が学位以上に効いてきます。統計・機械学習系の脅威ハンティングに進む場合は、統計の基礎知識があると幅が出ます。
Q5. AI/機械学習の知識は必要になっていますか?
近年のSIEMやEDRはAI/機械学習ベースの検知を組み込むケースが増えており、「モデルが何を根拠に検知しているか」を読む力は徐々に求められるようになっています。すぐに深いモデル理解が必要になるわけではありませんが、G検定レベルの基礎は目を通しておくと役に立ちます。
Q6. フリーランスで完全にリモート勤務のアナリスト案件はありますか?
存在しますが、他のIT職種と比べると数は限られます。フルリモートで見つかりやすいのは、SOC設計アドバイザリ、脅威インテリジェンス分析、教育・トレーニング作成などの周辺業務です。純粋な監視オペレーションはリモート化が難しい部類です。
Q7. SOC監視センターに応募する際、面接ではどこを見られますか?
シフト勤務への適応と、ログを黙々と読み続ける忍耐力が評価軸に含まれることが多くなっています。技術面ではネットワーク基礎、簡単なSIEMクエリの読解、SQLインジェクション等の代表的な攻撃手法の説明能力が問われることが一般的です。フリーランス案件の面談準備はフリーランスエンジニアの面談で聞かれる質問と回答例|職種別Q&Aと逆質問まで解説も参考になります。
Q8. CISSP・CEH・情報処理安全確保支援士のうち、どれを最初に取るべきですか?
未経験〜3年目までなら情報処理安全確保支援士(またはCompTIA Security+)、3年目以降で管理職を意識するならCISSP、攻撃側の理解を深めたいならCEH、が定番の分岐です。国内案件が中心ならIPA系、外資・グローバル案件も視野なら国際資格を優先すると効率的です。
Q9. インシデントレスポンスとフォレンジックは兼務できますか?
小規模組織では実質兼務になることがありますが、大規模組織ではCSIRTやフォレンジック専門チームに分離されているのが一般的です。フォレンジックはディスク・メモリ・ネットワークダンプの取り扱いが専門化しているため、SANSのGCFA/GCFEなど専用の資格ルートがあります。
Q10. 独立してからの営業はどう進めればいいですか?
セキュリティ領域は、いきなり自力営業よりもエージェント経由と紹介の組み合わせが現実的です。案件の機密性が高いため、公開マッチングだけでは条件のよい案件に出会いにくい傾向があります。営業設計はフリーランスエンジニアの営業方法と案件獲得の近道でも扱っています。
Q11. 情報処理安全確保支援士の登録費用は経費にできますか?
事業との関連性が明確であれば、必要経費として扱える可能性があります。ただし判定は個別の事情に依存するため、確定申告時に判断が難しい場合は税理士へ確認するのが安全です。フリーランスの経費全般はフリーランスエンジニアが経費にできるもの一覧を参照してください。
Q12. セキュリティアナリストは40代・50代からでも目指せますか?
インフラ・ネットワーク・情シスなどの経験がベースにあれば、40代からのキャリアチェンジ事例も一定数あります。未経験からTier1で始める場合、シフト勤務に耐えられる体力面と、若手中心の職場での立ち回りをあらかじめ想定しておくとよいでしょう。
関連するタグ:


