# ホワイトハッカーの仕事・年収・キャリアパス【2026】未経験から実務、そして案件・フリーランスまで > ホワイトハッカー(倫理的ハッカー)の仕事内容・キャリアパス・年収の考え方を、公式統計(経済産業省/IPA)に基づき現実的に解説。脆弱性診断士・ペネトレーションテスター・セキュリティエンジニア・監査など役割の違い、未経験からの実務経験の積み方、就職・フリーランス・副業(案件)の選択肢、そして企業側の『自社で育てる vs 外部に任せる』の判断軸まで、誇張なく示します。 - 公開日: 2026-06-28 - 著者: 友田 陽大 - タグ: セキュリティ, ホワイトハッカー, キャリア, 年収, フリーランス - URL: https://tomodahinata.com/blog/ethical-hacker-career-path-salary-job-roles-freelance-guide - カテゴリ: ホワイトハッカー入門 - 総合ガイド: https://tomodahinata.com/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide ## 要点 - ホワイトハッカーは一つの職種ではなく役割の束:脆弱性診断士・ペネトレーションテスター・レッドチーム・SOCアナリスト・セキュリティエンジニア・監査/コンサル。どの“守り方”で価値を出すかでキャリアが分岐する - 需要は制度的な追い風:経産省は2025年5月の最終取りまとめで登録セキスペを2030年までに5万人へ(2025年4月時点 約2.4万人)増やす目標を掲げ、国内のセキュリティ人材不足は構造的に続く - 年収は『資格 × 実績 × 専門性 × 責任範囲』で決まる。固定額を鵜呑みにせず、求人媒体で最新のレンジを確認すべき。実績(CTF/バグバウンティ/GitHub/登壇)が資格以上に効く - キャリアの積み方:就職で実務経験→専門化、副業・フリーランスで案件、という二段。未経験はまず防御側(診断・運用)で土台を作り、攻め(ペンテスト)へ展開するのが現実的 - 企業側の判断:人材不足で内製が難しいなら、外部の専門家に任せる方が速く確実。本番リリース前の認可・RLS・テナント分離の検証は、設計を理解した人間にしか判定できない --- ホワイトハッカーになれたとして、**どう食べていくのか。** 本記事は、その現実——仕事内容・キャリアパス・年収の考え方・案件の取り方——を、公式統計(経済産業省/IPA)に基づき、誇張なく解説します。 最初に大事な前提を。**「ホワイトハッカー」は一つの職種ではありません。** 守り方の異なる役割の“束”です。どの守り方で価値を出すかで、必要なスキルも年収もキャリアも変わります。 > これは[ホワイトハッカーになるには【完全ロードマップ】](/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide)のキャリアパートを深掘りするスポークです。 --- ## 1. ホワイトハッカーの「役割の束」 | 役割 | 仕事内容 | 攻め/守り | 入りやすさ | |---|---|---|---| | **脆弱性診断士** | ツール中心にアプリ/基盤の既知の穴を網羅的に洗う | やや攻め | ◎(入口に最適) | | **ペネトレーションテスター** | 攻撃者視点で“侵入できること”を実証する | 攻め | △(実戦力が要る) | | **レッドチーム** | 検知・対応まで含め長期・隠密で組織を試す | 攻め(上級) | ×(経験者向け) | | **SOCアナリスト** | 監視・検知・インシデント初動対応 | 守り | ○(運用から入れる) | | **セキュリティエンジニア** | 防御の設計・実装・コードレビュー・基盤構築 | 守り | ○(開発経験が活きる) | | **監査・コンサル** | 設計と運用が“正しく”守れているかを評価・助言 | 守り(上級) | △(知見と信用が要る) | **未経験から目指すなら、まず「脆弱性診断士」か「セキュリティエンジニア/SOC」**で土台を作り、興味に応じて「ペネトレーションテスター(攻め)」や「監査(守り)」へ展開するのが現実的です。**開発経験がある人は、セキュリティエンジニアへの移行が特に速い**——攻撃を知る開発者は、最初から“守れるコード”を書けるからです。 --- ## 2. 需要の現実 — 制度的な追い風が吹いている 「セキュリティ人材は足りない」とよく言われますが、**公式の数字**で裏を取りましょう。 - 経済産業省は2025年5月の[「サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ」](https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html)で、国家資格**登録セキスペを2030年までに5万人**(2025年4月時点で約2.4万人)へ増やす目標を明示しました。**約2倍に増やす国策**です。 - 中小企業を中心に、**社内でセキュリティを担える人材の不足**が繰り返し指摘されています([IPA](https://www.ipa.go.jp/security/))。予算・人材に制約のある企業ほど、専門人材の自社確保が難しい。 - 2025年公布・2026年施行の[能動的サイバー防御(サイバー対処能力強化法)](/blog/ethical-hacker-law-japan-unauthorized-access-act-active-cyber-defense-disclosure-guide)により、社会全体がセキュリティに本気で投資する局面に入りました。 つまり、**いまホワイトハッカーを正しく目指すことは、構造的な追い風の中にいる**ということです。需要は感覚ではなく、制度と数字で裏打ちされています。 --- ## 3. 年収の考え方 — 固定額より「決定要因」を見る 「ホワイトハッカーの年収はいくら?」に**単一の正解はありません。** 役割・経験・専門性・責任範囲で大きく変わるからです。ネット上の固定額を鵜呑みにせず、**年収を決める要因**を理解した上で、求人媒体で最新のレンジを確認してください。 年収を押し上げる要因は、概ねこの掛け算です。 ```text 年収 ≒ 土台(基礎スキル・開発力) × 実績(CTF順位 / バグバウンティ確定 / 公開ツール / 登壇) × 専門性(クラウド / Web / モバイル / OT・制御 / AI など希少領域) × 責任範囲(個人の手 → チームリード → 監査・意思決定) × 資格(信用の共通言語:OSCP+ / 登録セキスペ / CISSP) ``` 特に効くのが**「実績」**です。資格は土俵に上げてくれますが、**CTFの実績やバグバウンティの確定報告、公開した検証ツール**は、「実際に手が動く」ことの動かぬ証拠になります。資格と実績は**掛け算**——どちらか一方では市場価値が伸び切りません。 --- ## 4. 【テンプレート】信用される“実績ポートフォリオ” 採用担当も発注企業も、**「この人は本当に手が動くのか」**を知りたがっています。資格の列挙より、**手を動かした証跡**を構造化して見せる方が、何倍も効きます。以下は、そのまま使える実績ポートフォリオの型です。 ```markdown # 〇〇(ホワイトハッカー / セキュリティエンジニア) ## 強み(30秒で伝わる一文) Web アプリの認可・RLS の設計レビューと、CI への診断自動化が得意。 ## 資格 - 登録セキスペ(国家資格)/ CompTIA Security+ / (学習中)OSCP+ ## 実績(“手を動かした”証跡) - バグバウンティ:HackerOne で IDOR を計N件確定(協調的開示済み) - CTF:picoCTF / TryHackMe で〇〇ランク、writeup を公開 - OSS:自作の〇〇スキャナ(GitHub)/ セキュリティ記事の執筆・登壇 ## できること(案件として承れる範囲) - 脆弱性診断(SCA/SAST/DAST の自動化と CI 統合) - 認可・RLS・テナント分離の設計レビュー - セキュリティ要件定義・受け入れ基準(ASVS 準拠)の策定 ``` ポイントは、**「資格」と「実績」と「できること(提供価値)」を分けて書く**こと。発注者は最後の「できること」を見て、案件を任せられるかを判断します。 --- ## 5. 働き方 — 就職・フリーランス・副業(案件) キャリアの積み方には、大きく二段あります。 ### 第1段:就職で“実務経験”を積む 未経験から最も確実なのは、**セキュリティ企業・SIer・事業会社のセキュリティ部門に就職**して実務経験を積むことです。診断・運用・インシデント対応の現場を経験すると、独学では届かない「本番の判断」が身につきます。**登録セキスペや Security+ が、この入口で効きます。** ### 第2段:副業・フリーランスで“案件”を取る 実務経験と実績がたまると、**副業・フリーランス**の道が開きます。脆弱性診断、セキュリティレビュー、技術顧問など、**スポットの案件**は需要が旺盛です。ここで、第4章の実績ポートフォリオが効いてきます。 > **私(友田)自身の立ち位置:** 私は、一人 × 生成AI(Claude Code)で、受賞 B2B SaaS や本番二重課金0件の決済基盤を作ってきました。**速く作る力と、セキュアに作る力は同じコインの裏表**です。攻撃を知るからこそ、最初から守れる設計ができる——これがAI時代の開発者の差別化軸だと考えています。 --- ## 6. 企業の視点 — 「自社で育てる」か「外部に任せる」か ここからは、**ホワイトハッカーを“雇う/依頼する”側**の企業の方へ。人材不足が構造的に続く中、すべてのセキュリティ機能を内製するのは現実的ではありません。判断軸はシンプルです。 | 状況 | 合理的な選択 | |---|---| | 継続的にセキュリティを運用したい・コア事業に直結 | **内製人材を育成/採用**(登録セキスペ等を軸に) | | まず無料で“水平の穴”を一掃したい | **OSSツールで自動化**([脆弱性診断のやり方](/blog/web-application-vulnerability-assessment-owasp-zap-sast-dast-guide)) | | 本番リリース前・RFP・コンプラ対応で“設計の穴”まで保証したい | **外部の専門家に監査を依頼**(最速・確実) | 最後の行——**認可・RLS・テナント分離・業務ロジック**——は、どれだけツールを回しても、**「事業ルールの意味」を理解した人間にしか正しさを判定できない縦のリスク**です。人材不足の中でここを自前で抱えるより、**設計を理解した専門家に任せる方が、速く・確実・コスト効率も高い**。その境界線は[セキュリティ監査は何を見るのか](/blog/nextjs-supabase-security-audit-scope-when-needed-guide)で正直に引いています。 --- ## 7. AI時代に、セキュリティ職の将来性は? 「AIに仕事を奪われないか」——むしろ逆です。 - 生成AIは偵察・コード読解・レポート作成を**加速**しますが、**「これは脆弱性か仕様か」「許可された行為か」の判断は人間**が握ります。 - AIが量産するコードには**固有の脆弱性**が出やすく、その検出はこれから需要が伸びる領域です(→ [AI生成コードの脆弱性診断](/blog/ai-generated-code-vulnerability-assessment-vibe-coding-security-guide))。 - **「AIで速く作る」時代だからこそ、「AIの穴を見抜き、守れる」人材の価値が上がります。** セキュリティ職は、AIに代替されるどころか、**AIと組んで価値を増幅できる**数少ない職種です。 --- ## 8. まとめ — 追い風の中で、実力と信用を積む - ホワイトハッカーは**役割の束**。未経験はまず防御側(診断・運用)で土台を作り、攻めへ展開する。 - 需要は**制度的な追い風**(登録セキスペ2030年5万人目標/人材不足)。感覚でなく数字が裏打ち。 - 年収は**資格 × 実績 × 専門性 × 責任**の掛け算。実績ポートフォリオを構造化して見せる。 - 働き方は**就職で実務 → 副業/フリーで案件**の二段。 - 企業は**「育てる vs 任せる」**を目的で選ぶ。設計の穴の保証は、専門家に任せる方が速い。 ここまでの[資格](/blog/ethical-hacker-certification-comparison-ceh-oscp-security-plus-pentest-plus-toroku-sec-guide)・[法律](/blog/ethical-hacker-law-japan-unauthorized-access-act-active-cyber-defense-disclosure-guide)・[独学ラボ](/blog/ethical-hacking-home-lab-kali-juice-shop-ctf-self-study-roadmap-guide)・[バグバウンティ](/blog/bug-bounty-getting-started-hackerone-bugcrowd-scope-report-disclosure-guide)を一本につなぐと、未経験から案件までの道が見えてきます。あとは、毎週手を動かすだけです。 --- ### 参考(公式一次情報) - [経済産業省 サイバーセキュリティ人材の育成促進に向けた検討会 最終取りまとめ(2025年5月)](https://www.meti.go.jp/press/2025/05/20250514002/20250514002.html) - [IPA 情報セキュリティ](https://www.ipa.go.jp/security/)/[IPA 情報処理安全確保支援士(登録セキスペ)](https://www.ipa.go.jp/jinzai/riss/index.html) - [内閣官房 サイバー安全保障(能動的サイバー防御)](https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html)