ホワイトハッカーになれたとして、どう食べていくのか。 本記事は、その現実——仕事内容・キャリアパス・年収の考え方・案件の取り方——を、公式統計(経済産業省/IPA)に基づき、誇張なく解説します。
最初に大事な前提を。「ホワイトハッカー」は一つの職種ではありません。 守り方の異なる役割の“束”です。どの守り方で価値を出すかで、必要なスキルも年収もキャリアも変わります。
これはホワイトハッカーになるには【完全ロードマップ】のキャリアパートを深掘りするスポークです。
1. ホワイトハッカーの「役割の束」
| 役割 | 仕事内容 | 攻め/守り | 入りやすさ |
|---|---|---|---|
| 脆弱性診断士 | ツール中心にアプリ/基盤の既知の穴を網羅的に洗う | やや攻め | ◎(入口に最適) |
| ペネトレーションテスター | 攻撃者視点で“侵入できること”を実証する | 攻め | △(実戦力が要る) |
| レッドチーム | 検知・対応まで含め長期・隠密で組織を試す | 攻め(上級) | ×(経験者向け) |
| SOCアナリスト | 監視・検知・インシデント初動対応 | 守り | ○(運用から入れる) |
| セキュリティエンジニア | 防御の設計・実装・コードレビュー・基盤構築 | 守り | ○(開発経験が活きる) |
| 監査・コンサル | 設計と運用が“正しく”守れているかを評価・助言 | 守り(上級) | △(知見と信用が要る) |
**未経験から目指すなら、まず「脆弱性診断士」か「セキュリティエンジニア/SOC」**で土台を作り、興味に応じて「ペネトレーションテスター(攻め)」や「監査(守り)」へ展開するのが現実的です。開発経験がある人は、セキュリティエンジニアへの移行が特に速い——攻撃を知る開発者は、最初から“守れるコード”を書けるからです。
2. 需要の現実 — 制度的な追い風が吹いている
「セキュリティ人材は足りない」とよく言われますが、公式の数字で裏を取りましょう。
- 経済産業省は2025年5月の「サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ」で、国家資格登録セキスペを2030年までに5万人(2025年4月時点で約2.4万人)へ増やす目標を明示しました。約2倍に増やす国策です。
- 中小企業を中心に、社内でセキュリティを担える人材の不足が繰り返し指摘されています(IPA)。予算・人材に制約のある企業ほど、専門人材の自社確保が難しい。
- 2025年公布・2026年施行の能動的サイバー防御(サイバー対処能力強化法)により、社会全体がセキュリティに本気で投資する局面に入りました。
つまり、いまホワイトハッカーを正しく目指すことは、構造的な追い風の中にいるということです。需要は感覚ではなく、制度と数字で裏打ちされています。
3. 年収の考え方 — 固定額より「決定要因」を見る
「ホワイトハッカーの年収はいくら?」に単一の正解はありません。 役割・経験・専門性・責任範囲で大きく変わるからです。ネット上の固定額を鵜呑みにせず、年収を決める要因を理解した上で、求人媒体で最新のレンジを確認してください。
年収を押し上げる要因は、概ねこの掛け算です。
年収 ≒ 土台(基礎スキル・開発力)
× 実績(CTF順位 / バグバウンティ確定 / 公開ツール / 登壇)
× 専門性(クラウド / Web / モバイル / OT・制御 / AI など希少領域)
× 責任範囲(個人の手 → チームリード → 監査・意思決定)
× 資格(信用の共通言語:OSCP+ / 登録セキスペ / CISSP)
特に効くのが**「実績」です。資格は土俵に上げてくれますが、CTFの実績やバグバウンティの確定報告、公開した検証ツールは、「実際に手が動く」ことの動かぬ証拠になります。資格と実績は掛け算**——どちらか一方では市場価値が伸び切りません。
4. 【テンプレート】信用される“実績ポートフォリオ”
採用担当も発注企業も、**「この人は本当に手が動くのか」**を知りたがっています。資格の列挙より、手を動かした証跡を構造化して見せる方が、何倍も効きます。以下は、そのまま使える実績ポートフォリオの型です。
# 〇〇(ホワイトハッカー / セキュリティエンジニア)
## 強み(30秒で伝わる一文)
Web アプリの認可・RLS の設計レビューと、CI への診断自動化が得意。
## 資格
- 登録セキスペ(国家資格)/ CompTIA Security+ / (学習中)OSCP+
## 実績(“手を動かした”証跡)
- バグバウンティ:HackerOne で IDOR を計N件確定(協調的開示済み)
- CTF:picoCTF / TryHackMe で〇〇ランク、writeup を公開
- OSS:自作の〇〇スキャナ(GitHub)/ セキュリティ記事の執筆・登壇
## できること(案件として承れる範囲)
- 脆弱性診断(SCA/SAST/DAST の自動化と CI 統合)
- 認可・RLS・テナント分離の設計レビュー
- セキュリティ要件定義・受け入れ基準(ASVS 準拠)の策定
ポイントは、「資格」と「実績」と「できること(提供価値)」を分けて書くこと。発注者は最後の「できること」を見て、案件を任せられるかを判断します。
5. 働き方 — 就職・フリーランス・副業(案件)
キャリアの積み方には、大きく二段あります。
第1段:就職で“実務経験”を積む
未経験から最も確実なのは、セキュリティ企業・SIer・事業会社のセキュリティ部門に就職して実務経験を積むことです。診断・運用・インシデント対応の現場を経験すると、独学では届かない「本番の判断」が身につきます。登録セキスペや Security+ が、この入口で効きます。
第2段:副業・フリーランスで“案件”を取る
実務経験と実績がたまると、副業・フリーランスの道が開きます。脆弱性診断、セキュリティレビュー、技術顧問など、スポットの案件は需要が旺盛です。ここで、第4章の実績ポートフォリオが効いてきます。
私(友田)自身の立ち位置: 私は、一人 × 生成AI(Claude Code)で、受賞 B2B SaaS や本番二重課金0件の決済基盤を作ってきました。速く作る力と、セキュアに作る力は同じコインの裏表です。攻撃を知るからこそ、最初から守れる設計ができる——これがAI時代の開発者の差別化軸だと考えています。
6. 企業の視点 — 「自社で育てる」か「外部に任せる」か
ここからは、ホワイトハッカーを“雇う/依頼する”側の企業の方へ。人材不足が構造的に続く中、すべてのセキュリティ機能を内製するのは現実的ではありません。判断軸はシンプルです。
| 状況 | 合理的な選択 |
|---|---|
| 継続的にセキュリティを運用したい・コア事業に直結 | 内製人材を育成/採用(登録セキスペ等を軸に) |
| まず無料で“水平の穴”を一掃したい | OSSツールで自動化(脆弱性診断のやり方) |
| 本番リリース前・RFP・コンプラ対応で“設計の穴”まで保証したい | 外部の専門家に監査を依頼(最速・確実) |
最後の行——認可・RLS・テナント分離・業務ロジック——は、どれだけツールを回しても、「事業ルールの意味」を理解した人間にしか正しさを判定できない縦のリスクです。人材不足の中でここを自前で抱えるより、設計を理解した専門家に任せる方が、速く・確実・コスト効率も高い。その境界線はセキュリティ監査は何を見るのかで正直に引いています。
7. AI時代に、セキュリティ職の将来性は?
「AIに仕事を奪われないか」——むしろ逆です。
- 生成AIは偵察・コード読解・レポート作成を加速しますが、「これは脆弱性か仕様か」「許可された行為か」の判断は人間が握ります。
- AIが量産するコードには固有の脆弱性が出やすく、その検出はこれから需要が伸びる領域です(→ AI生成コードの脆弱性診断)。
- 「AIで速く作る」時代だからこそ、「AIの穴を見抜き、守れる」人材の価値が上がります。
セキュリティ職は、AIに代替されるどころか、AIと組んで価値を増幅できる数少ない職種です。
8. まとめ — 追い風の中で、実力と信用を積む
- ホワイトハッカーは役割の束。未経験はまず防御側(診断・運用)で土台を作り、攻めへ展開する。
- 需要は制度的な追い風(登録セキスペ2030年5万人目標/人材不足)。感覚でなく数字が裏打ち。
- 年収は資格 × 実績 × 専門性 × 責任の掛け算。実績ポートフォリオを構造化して見せる。
- 働き方は就職で実務 → 副業/フリーで案件の二段。
- 企業は**「育てる vs 任せる」**を目的で選ぶ。設計の穴の保証は、専門家に任せる方が速い。
ここまでの資格・法律・独学ラボ・バグバウンティを一本につなぐと、未経験から案件までの道が見えてきます。あとは、毎週手を動かすだけです。