# セキュリティエンジニアになるには【2026年完全ロードマップ】公式フレームワークで描くスキルマップ・資格・未経験からの最短ルート

> セキュリティエンジニアになるための完全ロードマップ。NIST NICE Framework・CSF 2.0・IPA ITSS+・経済産業省のガイドラインという一次情報を地図に、職種の全体像、未経験から積むスキルマップ、国家資格『登録セキスペ』を含む資格戦略、AI時代の差別化までを、実コード付きで体系的に解説します。

- 公開日: 2026-06-28
- 著者: 友田 陽大
- タグ: セキュリティ, セキュリティエンジニア, キャリア, NIST, 資格
- URL: https://tomodahinata.com/blog/security-engineer-how-to-become-roadmap-skills-certification-guide
- カテゴリ: セキュリティエンジニア・キャリア

## 要点

- 『セキュリティエンジニア』は単一の職業ではなく職種群。NISTの公式フレームワーク（NICE Framework v2.2.0）は仕事を7カテゴリに整理しており、まず自分が目指すのが設計・開発（DD）／運用（IO）／防御（PD）／統制（OG）のどれかを定めると、学ぶべきスキルと資格が一直線に決まる
- ホワイトハッカー（攻める側）とは出発点が違う。セキュリティエンジニアの主戦場は『安全なシステムを“作って・運用して・守る”』こと。攻撃の知識は必要だが、価値の中心はNIST CSF 2.0の6機能（統治・識別・防御・検知・対応・復旧）をコードと運用で実装する力にある
- 土台は『コンピュータがどう動くか』。ネットワーク・OS・クラウド・Webの仕組み・プログラミング・暗号の基礎。この上にセキュアコーディング（安全に作る技術）が乗る。土台が薄いと、上の知識はすべて丸暗記になり崩れる
- 資格は『実力を他人に伝える共通言語』。国内なら国家資格の登録セキスペ（2026年度よりCBT化・試験は実務経験不要）、世界共通の入口はISC2 CCとCompTIA Security+、クラウド系の専門資格、頂点にCISSP。順序は『基礎→専門化→マネジメント』
- AI時代に価値が上がる。生成AIはコードを量産するが、『この実装は安全か』を判断するのは人間。むしろAI生成コード固有の脆弱性検出と、セキュア・バイ・デザインを最初から織り込む力が、これからのセキュリティエンジニアの主戦場になる

---

「セキュリティエンジニアになりたい。でも、何から学べばいいのか分からない」——この相談を本当によく受けます。原因ははっきりしています。**「セキュリティエンジニア」が、実は一つの職業ではなく、まったく性質の違う複数の職種の総称**だからです。攻撃する人、守る仕組みを作る人、運用で監視する人、組織の方針を決める人——これらを一括りに語る限り、地図は永遠に描けません。

そこで本記事は、**個人の体験談ではなく、公的な一次情報（NISTのフレームワーク・経済産業省とIPAのガイドライン・各資格の公式情報）を“地図”**にして、セキュリティエンジニアという職種の全体像から、未経験者が積むべきスキル、資格戦略、AI時代の生き残り方までを一気通貫で描きます。途中の技術は、すべて**コピーして動かせる実コード**で示します。

> **本記事の対象読者：** これからセキュリティを学ぶ未経験〜若手エンジニア、開発からセキュリティへ軸足を移したいエンジニア、そして「自社にセキュリティ人材を育てるべきか／外部に任せるべきか」を判断したい開発者・経営者。

なお、本記事は**「守る側を“作る”」セキュリティエンジニア**の道筋です。**「攻める側」（ペネトレーションテスター／倫理的ハッカー）**を目指す方は、姉妹記事の[ホワイトハッカーになるには【完全ロードマップ】](/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide)が出発点になります。両者は表裏一体——どちらも、もう片方を理解しないと一流にはなれません。

---

## 0. そもそもセキュリティエンジニアとは何者か — 公式の地図で分類する

「セキュリティ 仕事」で検索すると、SOCアナリスト・脆弱性診断士・セキュリティコンサル・CSIRT…と職種名が洪水のように出てきて、かえって混乱します。ここで世界標準の整理軸になるのが、米国NISTの **[NICE Workforce Framework for Cybersecurity（NICE Framework）](https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center)** です（基盤は [NIST SP 800-181 Rev.1](https://csrc.nist.gov/pubs/sp/800/181/r1/final)、コンポーネントの現行版は **v2.2.0／2025年4月28日**）。

NICE Frameworkは、サイバーセキュリティの仕事を**7つのカテゴリ**に整理します。これは「職種の周期表」のようなもので、求人票の役割を分類する共通言語として世界で使われています。

| カテゴリ（コード） | 何をする領域か | 日本でよく見る職種名 |
|---|---|---|
| **設計・開発（DD：Design and Development）** | 安全なシステム・ソフトウェアを設計・開発・テストする | セキュリティエンジニア（プロダクト）、アプリケーションセキュリティ |
| **実装・運用（IO：Implementation and Operation）** | システムを安全に構築・設定・運用・保守する | インフラ／クラウドセキュリティエンジニア、システム管理 |
| **防御・対応（PD：Protection and Defense）** | リスクの分析、脅威の検知、インシデントの調査・対応 | SOCアナリスト、CSIRT、インシデントレスポンダー、脆弱性管理 |
| **統治・ガバナンス（OG：Oversight and Governance）** | リスク管理・方針・教育・法規制対応のリーダーシップ | セキュリティコンサル、GRC、CISO、監査 |
| **調査（IN：Investigation）** | サイバー犯罪・デジタルフォレンジックの調査 | フォレンジック調査官 |
| **サイバー諜報（CI：Cyberspace Intelligence）** | 脅威インテリジェンスの収集・分析 | 脅威インテリジェンスアナリスト |
| **サイバー作戦（CE：Cyberspace Effects）** | 国家・軍事領域の攻防作戦 | （主に政府・防衛領域） |

「セキュリティエンジニア」という言葉が指すのは、主に**上の4つ（DD・IO・PD・OG）**です。**まず自分がこの4つのどこに立ちたいかを決める**——これが、地図を描く最初の一歩です。

> **日本の文脈での補助線：** IPAの **[ITSS+（プラス）セキュリティ領域](https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itssplus/security.html)** は、企業のセキュリティ業務を**17分野**に整理した、いわば「日本版の職種マップ」です。NICEが世界標準の枠、ITSS+が国内の実務分類——この2つを突き合わせると、求人票の役割名がほぼすべて位置づけられます。

### 攻める側（ホワイトハッカー）との違い

混同されがちですが、両者は出発点が違います。

- **ホワイトハッカー／ペンテスター（攻める側）：** 「このシステムは“どう破られるか”」を実証する。NICEで言えば防御・対応や作戦寄り。価値は“攻撃の再現”。
- **セキュリティエンジニア（作って守る側）：** 「安全なシステムを“どう作り・運用し・守るか”」を実装する。NICEで言えばDD／IO／PD／OG。価値は“防御の構築と維持”。

攻撃を知らずに守れず、守りを知らずに有効な攻めはできません。だから本記事でも攻撃手法には触れますが、**ゴールは「破ること」ではなく「破られないものを作ること」**に置きます。

---

## 1. 守りの全体像 — NIST CSF 2.0 の6機能で「何を守るのか」を掴む

職種を決めたら、次は「守るとは具体的に何をすることか」を1枚で持ちましょう。ここで最良の地図が、NISTの **[Cybersecurity Framework（CSF）2.0](https://www.nist.gov/cyberframework)**（2024年2月公開）です。CSF 2.0は、組織のセキュリティ活動を**6つの機能**に分解します。

| 機能 | 問い | セキュリティエンジニアの仕事の例 |
|---|---|---|
| **統治（Govern）** | 誰が・どんな方針で守るか | セキュリティポリシー策定、リスク管理体制、サプライチェーン管理 |
| **識別（Identify）** | 何を守るのか（資産・リスク） | 資産管理、脅威モデリング、リスクアセスメント |
| **防御（Protect）** | どう守りを作り込むか | 認証・認可、暗号化、セキュアコーディング、セキュリティ設定 |
| **検知（Detect）** | 異常にどう気づくか | ログ設計、監視、アラート、SIEM、脆弱性スキャン |
| **対応（Respond）** | 起きたらどう動くか | インシデント対応、封じ込め、原因調査 |
| **復旧（Recover）** | どう元に戻すか | バックアップ、復旧計画、再発防止 |

> CSF 2.0の最大の変更点は、**「統治（Govern）」が独立した機能として最上位に加わった**ことです。技術だけでなく「組織として継続的にリスクを管理する」ことが、セキュリティの土台に据えられました。

ここが重要です。**セキュリティエンジニアの中心的な仕事は、「防御（Protect）」と「検知（Detect）」を、コードと運用として実装すること**です。認証・認可を正しく設計し、入力を境界で検証し、ログを設計し、異常を検知する——次章以降のスキルマップは、すべてこの6機能のどこを担うのかと結びつけて理解すると、丸暗記になりません。

---

## 2. 土台スキルマップ — 何を・なぜ学ぶのか

セキュリティは「システムの動作原理を、普通の開発者より一段深く理解する」仕事です。だから土台は、セキュリティ固有の知識より先に**「コンピュータがどう動くか」**にあります。各分野を「なぜセキュリティに必要か」とセットで覚えてください。

| 分野 | 最低限の到達点 | なぜ必要か（CSF機能との対応） |
|---|---|---|
| **ネットワーク** | TCP/IP・DNS・HTTP(S)・TLSの流れを図で説明できる | 通信のどこを守り、どこで異常を検知するか（防御・検知） |
| **OS / Linux** | シェル・権限・プロセス・ファイル権限を扱える | 最小権限・設定の堅牢化・侵害の痕跡を読む（防御・検知） |
| **クラウド** | IAM・ネットワーク・ストレージの権限境界を理解する | 現代のシステムの大半はクラウド上。設定ミスが最大の穴（防御） |
| **Webの仕組み** | リクエスト/レスポンス・Cookie・セッション・同一オリジン | Web脆弱性（XSS/CSRF/認可不備）はすべてこの上に乗る（防御） |
| **プログラミング** | Python or JS/TS で読めて・書ける（自動化できる） | 安全なコードを書き、欠陥を読み、検知を自動化する（防御・検知） |
| **暗号の基礎** | ハッシュ・対称/非対称・TLS・JWTの“使いどころ”を区別 | 弱い暗号・自前実装・JWT検証漏れを見抜く（防御） |

特に強調したいのが、**プログラミングが書けること**です。セキュリティエンジニアは「分析するだけの人」ではありません。**安全な仕組みを“実装”し、防御や検知を“自動化”する**のが仕事です。コードが書けるかどうかが、市場価値を大きく分けます。

そして、**「何を守るべきか」の世界標準の地図**が [OWASP（Open Worldwide Application Security Project）](https://owasp.org/) です。土台と並行して、最新の **[OWASP Top 10:2025](https://owasp.org/Top10/2025/)**（A01「アクセス制御の不備」が依然1位）を頭に入れておきましょう。Top 10は「攻撃者が狙う穴のランキング」であり、防御側にとっては「優先して塞ぐべき穴のリスト」です。

---

## 3. 中核スキル＝セキュアに「作る」力（最小のコード例）

セキュリティエンジニアの日常を一行で言えば、**「不正な状態を、運用の注意深さではなく、コードの構造で表現不能にする」**ことです。抽象論ではピンと来ないので、最頻出の欠陥である**アクセス制御の不備（IDOR）**を例に、「危険なコード」と「安全なコード」を並べます。

```ts
// ❌ 危険：URLのIDを信じて、そのまま取得している。
//    別人のIDに書き換えるだけで、他人の請求書が読めてしまう（IDOR / A01:2025）。
export async function GET(_req: Request, { params }: { params: { id: string } }) {
  const invoice = await db.invoice.findUnique({ where: { id: params.id } });
  return Response.json(invoice); // ← 「誰がアクセスしているか」を一度も問うていない
}
```

```ts
// ✅ 安全：サーバー側で「ログイン中の本人の資産か」を必ず検証する。
//    所有者でなければ、存在自体を隠して 404 を返す（情報を漏らさない）。
import { z } from "zod";
import { auth } from "@/lib/auth";

const ParamsSchema = z.object({ id: z.string().uuid() }); // ① 境界で入力を検証（型と形）

export async function GET(_req: Request, ctx: { params: unknown }) {
  const session = await auth();
  if (!session) return new Response("Unauthorized", { status: 401 }); // ② 認証

  const parsed = ParamsSchema.safeParse(ctx.params);
  if (!parsed.success) return new Response("Bad Request", { status: 400 });

  const invoice = await db.invoice.findFirst({
    where: { id: parsed.data.id, ownerId: session.userId }, // ③ 認可：所有者条件をクエリに焼き込む
  });

  // ④ 見つからない＝他人のもの。存在を匂わせず 404 に倒す。
  if (!invoice) return new Response("Not Found", { status: 404 });
  return Response.json(invoice);
}
```

違いは技術の高度さではありません。**「クライアントから来た値を信じない」「認可をUIのif文ではなくサーバー／DBで強制する」という設計の規律**です。この規律を、入力検証・出力エンコード・認証認可・秘密情報・依存関係のすべてに一貫して効かせる——それがセキュアコーディングであり、セキュリティエンジニアの中核技能です。

その体系的なやり方（NISTの公式フレームワーク **SSDF** とOWASPの **ASVS** に沿った実践、CIへの組み込みまで）は、姉妹記事で深掘りしています。

> 📘 **次に読む：** [セキュアコーディング実践ガイド — NIST SSDF と OWASP ASVS で『安全に作る』エンジニアになる](/blog/secure-coding-practices-nist-ssdf-owasp-asvs-engineer-guide)。本記事が「どんな職種か」、あちらが「どう安全に作るか」の関係です。

なお、ここで扱ったIDORは**ツールが自動では見抜きにくい“設計の穴”**の代表例です。あなたのアプリ（特にNext.js × Supabase構成）での具体的な検出・修正は、[認可不備・IDORの検出ガイド](/blog/nextjs-supabase-idor-broken-authorization-rls-detection-guide)に実装レベルでまとめています。

---

## 4. 資格で「実力」を「信用」に変える

ここで多くの人が誤解します。**資格は「実力の証明」ではなく「他人に実力を伝える共通言語」**です。採用担当や発注者は、あなたのGitHubを精読する時間がありません。資格は、その**信用のショートカット**として効きます。セキュリティエンジニア向けに、役割で整理します。

### 4-1. 入口資格 — 基礎を体系化し、土俵に上がる

| 資格 | 提供元 | 位置づけ | 実務経験 |
|---|---|---|---|
| **ISC2 CC**（Certified in Cybersecurity） | [(ISC)²](https://www.isc2.org/certifications/cc) | 世界共通の入門。基礎を一望 | **不要**（入門者向け） |
| **CompTIA Security+**（SY0-701） | [CompTIA](https://www.comptia.org/) | 実務基礎の世界標準。求人で名指しされる定番 | 推奨のみ |

未経験者は、まず **ISC2 CC** か **CompTIA Security+** で「広く・正しく」基礎を体系化するのが王道です。どちらも世界中で通用します。

### 4-2. 日本で働くなら外せない国家資格「登録セキスペ」

日本国内では、**情報処理安全確保支援士（登録セキスペ）**が、サイバーセキュリティ分野で唯一の**国家資格**です。入札要件・社内評価・転職で“効く”ため、国内志向なら最優先で狙う価値があります。[IPA公式](https://www.ipa.go.jp/jinzai/riss/index.html)に基づき正確に整理します。

- **試験自体に実務経験は不要。** 誰でも受験できます。基本情報 → 応用情報 → 支援士、と階段を上る人が多い。
- **2026年度から試験はCBT化。** 科目A／科目B構成で、出題範囲・形式に大きな変更はありません（[IPA試験情報](https://www.ipa.go.jp/shiken/index.html)で最新を確認）。
- **合格後、「登録」して初めて“登録セキスペ”を名乗れる。** 登録には**継続学習の義務**（オンライン講習を年1回、実践講習を3年に1回、登録は3年ごとに更新）が伴い、ここが他資格と一線を画します。**「取って終わり」ではなく「学び続ける資格」**として設計されています。費用や期限は必ず[IPA「登録セキスペ」](https://www.ipa.go.jp/jinzai/riss/forriss/koushu/index.html)で最新を確認してください。

### 4-3. 専門化・上位資格 — 守りの実力を示す

基礎を固めたら、目指す方角に応じて専門資格へ進みます。

| 資格 | 提供元 | 何を示すか | 向いている方角 |
|---|---|---|---|
| **クラウドセキュリティ系**（AWS / Azure / GCP のセキュリティ専門資格） | 各クラウドベンダー | クラウド環境を安全に設計・運用できる | IO（クラウド運用） |
| **CompTIA CySA+** | [CompTIA](https://www.comptia.org/) | 検知・分析・インシデント対応の実務 | PD（防御・SOC） |
| **(ISC)² CISSP** | [(ISC)²](https://www.isc2.org/certifications/cissp) | セキュリティ全域の管理・設計（**5年の実務経験が必要**） | OG（管理・コンサルの“天井”） |

> **順序のコツ：** いきなりCISSPは狙えません（実務経験要件があります）。**基礎（CC / Security+ / 登録セキスペ）→ 専門化（クラウド / CySA+）→ マネジメント（CISSP）**と、実務を積みながら段階的に上るのが現実的です。

---

## 5. 未経験からの最短ルート — タイプ別の進み方

「結局、自分は何から手をつければいいのか」に、タイプ別で答えます。

```text
完全未経験・国内就職重視     基本情報 → 応用情報 → 登録セキスペ（＋ Security+ で世界共通語）
                            ＋ 自分のPCで手を動かす（次項のハンズオン）
開発経験あり・アプリ寄り      Security+ → セキュアコーディング実践 → クラウドセキュリティ資格
                            （DD：プロダクトセキュリティへ。開発経験が最大の武器）
インフラ経験あり・運用寄り    Security+ → クラウドセキュリティ資格 → CySA+
                            （IO/PD：クラウド・監視・インシデント対応へ）
非エンジニアからの異動        まず ITSS+ の「プラス・セキュリティ」（後述）から
```

そして、**どのルートでも共通して効くのが「手を動かす」こと**です。資格の勉強と並行して、自分のPCに学習環境を立て、CSF 2.0の「防御」と「検知」を実際に作ってみてください。具体的な合法的ハンズオン環境（Dockerで脆弱なアプリを立てて学ぶ方法、CTF）は、[ホワイトハッカー入門の実践環境セクション](/blog/ethical-hacking-home-lab-kali-juice-shop-ctf-self-study-roadmap-guide)がそのまま使えます。攻撃を試すことは、最高の「防御の学習」になります（**ただし必ず自分の資産・許可された対象だけで**——詳細は[セキュリティと法律](/blog/ethical-hacker-law-japan-unauthorized-access-act-active-cyber-defense-disclosure-guide)）。

> **「プラス・セキュリティ」という現実解：** 経済産業省とIPAは、セキュリティ専任者だけでなく、**開発・事業・管理部門の人材がセキュリティ知識を“学び直す”** ことを推奨しています（[ITSS+ プラス・セキュリティ](https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itssplus/about.html)）。あなたが既にエンジニアなら、**「開発もできるセキュリティ人材」**は最も希少で価値が高い。ゼロから転職するより、今の専門性にセキュリティを“足す”ほうが、多くの場合で速くて強いキャリアになります。

---

## 6. 「育てる」か「任せる」か — 企業の視点

ここまで読んで、現実が見えたはずです。**一人前のセキュリティエンジニアは一朝一夕には育ちません。** 土台に1〜2年、専門性に2〜4年。これは、**その力の価値が非常に高い**ことの裏返しでもあります。

一方、企業の立場では答えが変わることがあります。経済産業省とIPAの **[サイバーセキュリティ経営ガイドライン Ver 3.0](https://www.meti.go.jp/policy/netsecurity/mng_guide.html)**（2023年3月、6年ぶりの改訂）と、その付録F「サイバーセキュリティ体制構築・人材確保の手引き」は、こう明記しています——**自社で必要なスキルを持つ人材を確保できない場合は、専門の外部事業者を活用してよい**、と。一定品質のサービス選定には、IPAの[情報セキュリティサービス基準適合サービスリスト](https://www.ipa.go.jp/security/sec-service/index.html)が使えます。

| あなたの状況 | 最適な選択 |
|---|---|
| キャリアとしてセキュリティの専門家になりたい | **本記事のロードマップで“育つ”**。時間が最大の投資 |
| まず無料で自分のアプリの“横の穴”を一掃したい | **OSSツールで自動化**（[ZAP・SASTのやり方](/blog/web-application-vulnerability-assessment-owasp-zap-sast-dast-guide)） |
| リリース前・RFP・コンプラ対応で“設計の穴”まで保証したい | **専門家の監査**（自動化では届かない認可/RLS/業務ロジック） |

最後の行——**認可・RLS・テナント分離・業務ロジック**——は、どれだけツールを回しても**「事業ルールの意味」を理解した人間にしか正しさを判定できない“縦のリスク”**です。育成と外部委託は対立しません。**横の穴は自動化し、縦のリスクだけ専門家に回す**——それが最もコスト効率の良い守り方です。その境界線は[セキュリティ監査は何を見るのか](/blog/nextjs-supabase-security-audit-scope-when-needed-guide)で正直に引いています。

---

## 7. AI時代のセキュリティエンジニア — なぜ価値が上がるのか

「AIがコードを書く時代に、セキュリティエンジニアは要るのか？」——答えは、**むしろ需要が伸びます**。理由は3つです。

1. **生成AIはコードを量産するが、安全性は保証しない。** AIが書いたコードには、固有の脆弱性パターン（古い依存・ハードコードされた秘密・不十分な入力検証・認可の欠落）が紛れ込みやすい。NISTもこれを重く見ており、SSDFにAI開発向けの追補 **[SP 800-218A](https://csrc.nist.gov/pubs/sp/800/218/a/final)** を出しています。**「AIが量産したコードを、安全だと判断できる人間」**が決定的に不足します。
2. **検知・対応の自動化が進むほど、設計する人が要る。** AIはアラートを捌けますが、「何を異常とみなすか」「許可された操作か」を定義するのは人間です。
3. **セキュア・バイ・デザインが前倒しになる。** 速く作れる時代だからこそ、**最初から安全に設計する**ことの価値が上がる。手戻りのコストが相対的に大きくなるからです。

私自身、**一人 × 生成AI（Claude Code）**で、経済産業大臣賞を受賞したB2B SaaSや本番二重課金0件の決済基盤を作ってきました。そこで一貫して言えるのは、**「速く作る力」と「安全に作る力」は、同じコインの裏表**だということです。AIは前者を加速しますが、後者を判断するのは依然として人間——そこにセキュリティエンジニアの揺るがない価値があります（→ [AI生成コードの脆弱性をどう診断するか](/blog/ai-generated-code-vulnerability-assessment-vibe-coding-security-guide)）。

---

## 8. よくある質問（FAQ）

**Q. 文系・未経験でもセキュリティエンジニアになれますか？**
A. なれます。重要なのは学歴より「論理的に粘る力」と「手を動かし続ける習慣」です。ISC2 CCやSecurity+は未経験者向けに設計されており、実務経験を問いません。まずは基礎資格と、自分のPCでのハンズオンから。

**Q. プログラミングは必須ですか？**
A. 職種によります。SOCアナリスト（PD）は必須ではありませんが、**読めて・書けると市場価値が大きく上がります**。特に設計・開発（DD）方面を目指すなら必須です。Python か JS/TS のどちらかを「自動化できる」レベルにしておくと、どの方角でも強い武器になります。

**Q. 開発エンジニアからの転向は有利ですか？**
A. 非常に有利です。「開発もできるセキュリティ人材」は最も希少です。ゼロから転職するより、今の専門性にセキュリティを“足す”（経産省の言う「プラス・セキュリティ」）ほうが、速くて強いキャリアになります。

**Q. 登録セキスペと海外資格（CISSP等）、どちらを取るべき？**
A. 目的次第です。国内就職・入札・公的評価を重視するなら**登録セキスペ**、グローバルやマネジメント層を見据えるなら**CISSP**（ただし5年の実務経験が必要）。両立も普通で、矛盾しません。

**Q. ホワイトハッカーとセキュリティエンジニア、どちらを目指すべき？**
A. 「破ること」に惹かれるなら[ホワイトハッカー（攻める側）](/blog/white-hat-hacker-ethical-hacker-how-to-become-certification-roadmap-guide)、「安全なものを作り・運用すること」に惹かれるならセキュリティエンジニア（本記事）。多くの人は両方を行き来します。攻防は表裏一体だからです。

**Q. AIに仕事を奪われませんか？**
A. むしろ逆です。生成AIはコードを量産しますが、「この実装は安全か」「これは許可された操作か」を判断するのは人間です。AI生成コードの脆弱性検出と、セキュア・バイ・デザインの設計は、これから需要が伸びる領域です。

---

## 9. まとめ — 次の一歩

セキュリティエンジニアへの道は、いきなり攻撃テクニックから始まりません。**「自分はどの職種を目指すのか」を、公式の地図の上で定める**ことから始まります。

- **職種を分類する。** NICE Frameworkの7カテゴリ（DD / IO / PD / OG …）で、目指す方角を一つ定める。それでスキルと資格が一直線に決まる。
- **守りの全体像を持つ。** NIST CSF 2.0の6機能（統治・識別・防御・検知・対応・復旧）。あなたの中心は「防御」と「検知」をコードと運用で実装すること。
- **土台 → セキュアコーディング。** ネットワーク・OS・クラウド・Web・プログラミング・暗号の上に、「安全に作る技術」を積む。
- **資格は信用への翻訳。** 基礎（CC / Security+ / 登録セキスペ）→ 専門化（クラウド / CySA+）→ マネジメント（CISSP）。公式の最新仕様で固定する。
- **AI時代こそ価値が上がる。** 「速く作る力」と「安全に作る力」は同じコインの裏表。後者を判断できる人間が希少になる。

そして、立場によっては答えが変わることを忘れないでください。**自分が育つ**のも、**今すでに実力のある人間に任せる**のも、どちらも正しい選択です。あなたのアプリが本番リリースを控えているなら、まず無料のOSSで“横の穴”を一掃し、設計でしか守れない“縦のリスク”だけを専門家に回す——それが、最もコスト効率の良い守り方です。

---

### 参考（公式一次情報）

- フレームワーク：[NIST NICE Framework](https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center)／[NIST SP 800-181 Rev.1](https://csrc.nist.gov/pubs/sp/800/181/r1/final)／[NIST Cybersecurity Framework (CSF) 2.0](https://www.nist.gov/cyberframework)
- 国内の指針：[経済産業省 サイバーセキュリティ経営ガイドライン](https://www.meti.go.jp/policy/netsecurity/mng_guide.html)／[IPA ITSS+ セキュリティ領域](https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itssplus/security.html)／[IPA 情報セキュリティサービス基準適合サービスリスト](https://www.ipa.go.jp/security/sec-service/index.html)
- 標準：[OWASP Top 10:2025](https://owasp.org/Top10/2025/)／[OWASP](https://owasp.org/)
- 資格：[(ISC)² CC / CISSP](https://www.isc2.org/certifications)／[CompTIA Security+ / CySA+](https://www.comptia.org/)／[IPA 情報処理安全確保支援士（登録セキスペ）](https://www.ipa.go.jp/jinzai/riss/index.html)
- AI：[NIST SP 800-218A（生成AI向けSSDF）](https://csrc.nist.gov/pubs/sp/800/218/a/final)