20代キャリアの実体験ノート 
- ホワイトハッカーはきついって本当?必要なスキルは?
- プログラミング・インフラ・英語など幅広い知識が求められるって本当?
- ネットワークエンジニアの経験でホワイトハッカーになれる?追加で身につけるべきスキルは?
- 休日も学び続ける学習負荷、自分に続けられる?
こんな方向けの、実体験&リアルインタビュー記事です。
初めての読者のため、簡単に自己紹介させてください。
- 私は28歳まで2回未経験転職してきたキャリア迷い子のタマネギです。
- 未経験・第二新卒で転職したい人向けに、参考になる情報を提供しています。
- 検索上位の大手サイトの「一般論の営業記事」ではなく、実体験やインタビューでリアルの参考情報を届けるのがこのサイトのポイントです。
この記事では、僕が個人で有料ツールを使用して、採用担当者20名・転職者20名(いずれもホワイトハッカー・セキュリティエンジニア経験者)へのインタビュー調査をもとに、「きつい」と言われる理由、向いている人・向いていない人の特徴、きつい環境の実態、未経験と会社選びのポイント、ネットワークエンジニアからの転向ルート、「なくなる」懸念への回答をお伝えします。
この記事で得られること
- 「きつい」と言われる理由(面接官・転職者20人ずつの票数付き)
- ホワイトハッカーとは・業種別の仕事例
- 向いている人・向いていない人の特徴
- きつい環境の実態(学習負荷・責任・24h対応・幅広い知識・思考負荷)
- 未経験からの参入と会社選びのポイント
- 面接で聞くべき具体的な質問例(そのまま使える形で掲載)
- ネットワークエンジニアからの転向ルート
- キャリアパスと「やめてよかった」の声
- 「ホワイトハッカーなくなる」への回答
この記事の根拠
本記事は、ホワイトハッカー・セキュリティエンジニアを採用した経験がある採用担当者20名と、実際にホワイトハッカー・セキュリティエンジニアを経験して転職した20名へのインタビュー調査に基づいています。辞めた理由、きついと感じやすい人の特徴、きつい環境、未経験者の声、会社選びのアドバイス、面接で聞くべき質問、職種の将来性などをヒアリングし、その傾向を票数で可視化しました。
そして、僕自身が商社からエンジニア(株式会社シンプレクス)に未経験で転職した実体験に基づいて執筆しています。
シンプレクスは、金融系SIerなので、特にセキュリティに厳しくて、専門のセキュリティーエンジニアももちろん多くいますし、実際の開発実装においても、エンジニア全員がセキュリティ確保の実装タスクの優先順位が常に1位でした(僕のプロジェクトではスクラム開発で開発していたのですが、セキュリティのタスクがあれば、ほぼ100%の確実で、当日の開発タスクの第一優先順位で実装されます)
【元社員が徹底解説】シンプレクスが本当に”やばい”なのか?「激務」「評判悪い」「将来性」
この記事を読んで、あなた自身の状況に当てはめて、ホワイトハッカーという職種を検討する際の判断材料が得られれば嬉しく思います。
目次
ホワイトハッカーとは
ホワイトハッカーに興味がある方のため、まず定義と仕事内容、業種別の仕事例を整理します。
- ホワイトハッカーの定義とハッカー・ブラックハッカーとの違い
- ホワイトハッカーの仕事内容(脆弱性診断・ペネトレーションテスト・監査・インシデント対応)
- 業種・企業タイプ別の具体的な仕事例
- 「監視中心」と「診断・ペネトレーション中心」で仕事内容が大きく違う
- 主な活躍の場
でお伝えします。
ホワイトハッカーの定義とハッカー・ブラックハッカーとの違い
ホワイトハッカーとは何かを理解するには、ハッカーという言葉の本来の意味を知る必要があります。ハッカーとは、高度な技術でシステムを深く理解し改良する人を指し、本来は中立な意味です。
ホワイトハッカーは、攻撃する側と同じ目線で考えながら、法律と契約の枠内で組織を守るセキュリティの専門家です。一方、ブラックハッカー(クラッカー)は、金銭・破壊・スパイ目的で不正アクセス・マルウェアを使用する犯罪者です。
違いのポイントは目的・許可・法律です。「攻撃ツールを触れる=ホワイト」ではありません。独学で他人のサーバーにアクセスすれば犯罪です。
ホワイトハッカーの仕事内容(脆弱性診断・ペネトレーションテスト・監査・インシデント対応)
ホワイトハッカーの主な仕事は次の通りです。
- 脆弱性診断:システムの弱点を自動ツール+手動で洗い出す
- ペネトレーションテスト:実際に侵入を試み、どこまで到達できるか確認
- セキュリティ監査・リスク評価
- インシデント対応:攻撃発生時の緊急対応・原因調査
- フィッシング対策・ランサムウェア対策(技術面+社員教育)
- 診断レポート作成と経営層への説明(技術を「お金とリスク」に翻訳する思考負荷があり、本調査でも「攻撃者目線と防御者目線の両立、技術とビジネスを橋渡しするレポート作成など思考負荷に耐えられなかった」が採用側10票、転職者9票でした)
「監視中心」か「診断・ペネトレーション中心」かで仕事内容が大きく異なり、本調査でも採用側・転職者とも「インシデント対応・監視体制、設計・診断への関与度を面接で具体的に聞く」が最多票(採用側17票、転職者16票)でした。入社前に業務配分を確認することが重要です。
業種・企業タイプ別の具体的な仕事例(読者が仕事内容を想像できるように)
ホワイトハッカーの仕事は、業種・企業タイプによって大きく異なります。具体的な仕事例を挙げます。
Web系・SaaS・セキュリティ製品ベンダー
自社製品・サービスの脆弱性診断、ペネトレーションテスト、ログ監視、インシデント発生時の緊急対応が主な業務です。脅威の進化に合わせた学習負荷が高く、本調査では「常に最新の脅威・攻撃手法を学び続ける負荷に追われ、休日も学習し続けた」が辞めた理由1位(採用側16票、転職者15票)でした。攻撃者目線と防御者目線の両立、レポート作成の思考負荷も10票で挙がっています。
SIer・セキュリティコンサル
顧客先の脆弱性診断、ペネトレーションテスト、監査・報告書作成が中心です。「粗探し」と見られ、顧客・担当者から嫌われる立場になりやすい環境です。本調査では「顧客・担当者から嫌われ続けた」が採用側9票、転職者9票。プログラミング・インフラ・英語・法律など幅広い知識が必要(11票)という声も上位でした。
金融・通信・大手機器メーカー
24時間監視、セキュリティ基準対応、インシデント対応が求められます。情報漏洩時は経営リスクに直結するため、責任の重さ・プレッシャーが「きつい」理由の上位。本調査では「責任の重さ・インシデント時のプレッシャーに耐えられなくなった」が辞めた理由2位(採用側14票、転職者14票)、「24時間体制のインシデント対応・監視で、深夜や休日の緊急対応に耐えられなくなった」が3位(採用側13票、転職者12票)でした。
自分が入社したらどのような仕事になるか、業種・企業タイプごとにイメージしておくとよいでしょう。
「監視中心」と「診断・ペネトレーション中心」で仕事内容が大きく違う
ホワイトハッカーの仕事では、監視中心か診断・ペネトレーション中心かで負荷ややりがいが大きく変わります。採用担当者20名のうち10名が「会社やポジションの差が大きい。監視中心か診断・ペネトレーション中心かで全然違う」と回答しており、入社前にインシデント対応・監視体制と設計・診断への関与度を確認することが重要です。
主な活躍の場(セキュリティ企業・官公庁・警察・自社セキュリティ部門)
ホワイトハッカーの主な活躍の場は次の通りです。
- セキュリティ企業:脆弱性診断・対策提案・ペネトレーションテスト
- 官公庁・警察:サイバー捜査支援・マルウェア解析
- 大学・研究機関:研究・教育・人材育成
- 民間企業のセキュリティ部門:自社システムの監視・インシデント対応
- バグバウンティ:脆弱性を発見・報告して報奨金を得る
ホワイトハッカーが「きつい」と言われる理由(面接官・転職者20人ずつ40人の声)
ホワイトハッカーを検討している人から、「きつい」と聞くことがありますよね。では、採用側と実際に辞めた人がそれぞれどう感じているのか。調査結果をベースに説明していきましょう。
- 採用側がよく見る「早期退職の理由」Top5
- 実際に辞めたホワイトハッカーが挙げた理由Top5
- 面接官×転職者の視点差
- ホワイトハッカーならではの「きつい」環境
でお伝えします。
調査概要
本調査は2つのパートで構成されています。
- Part A(採用担当者20名):ホワイトハッカー・セキュリティエンジニアを採用した経験がある採用担当者
- Part B(転職者20名):全員ホワイトハッカー・セキュリティエンジニア経験者。実際に辞めた本人の視点
ホワイトハッカー特化の票数データです。学習負荷・責任・24h対応・幅広い知識・思考負荷といった声を票数で可視化しています。競合では票数や選択式データがほぼないため、本調査の独自性となっています。
採用側がよく見る「早期退職の理由」Top5
面接官20名に「早期退職してしまう人の理由」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 常に最新の脅威・攻撃手法を学び続ける負荷に追われ、休日も学習し続けた | 16票(最多) |
| 責任の重さ・インシデント時のプレッシャーに耐えられなくなった | 14票 |
| 24時間体制のインシデント対応・監視で、深夜や休日の緊急対応に耐えられなかった | 13票 |
| プログラミング・インフラ・英語・法律など幅広い知識を求められ、一人で抱え込みつぶれた | 11票 |
| 攻撃者目線と防御者目線の両立、技術とビジネスを橋渡しするレポート作成など思考負荷に耐えられなかった | 10票 |
1位は「学習負荷」で16票。ホワイトハッカー・セキュリティエンジニア特有で、学習負荷が最も前面に出ています。2位の責任(14票)、3位の24h対応(13票)、4位の幅広い知識(11票)、5位の思考負荷(10票)も上位でした。その他、粗探し9票、ゴールなし8票、感謝されない7票などがありました。
実際に辞めたホワイトハッカーが挙げた理由Top5
転職者20名に「ホワイトハッカー・セキュリティエンジニアを辞めた理由」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 常に最新の脅威・攻撃手法を学び続ける負荷に追われ、休日も学習し続けた | 15票(最多) |
| 責任の重さ・インシデント時のプレッシャーに耐えられなくなった | 14票 |
| 24時間体制のインシデント対応・監視で、深夜や休日の緊急対応に耐えられなくなった | 12票 |
| プログラミング・インフラ・英語・法律など幅広い知識を求められ、一人で抱え込みつぶれた | 10票 |
| 攻撃者目線と防御者目線の両立、技術とビジネスを橋渡しするレポート作成など思考負荷に耐えられなかった | 9票 |
採用側と転職者、どちらも「学習負荷」が最多です。ホワイトハッカーならではの負荷として、セキュリティエンジニア一般より「学習負荷・思考負荷・幅広い知識」が前面に出ています。責任・24h対応・幅広い知識・思考負荷も両者で上位に並び、認識はほぼ一致しています。
面接官×転職者の視点差
両者の回答を比較すると、視点差はほとんどありません。1位はどちらも「学習負荷」(採用側16票、転職者15票)で、ホワイトハッカー・セキュリティエンジニア特有の負荷です。共通する上位5つ(学習・責任・24h・幅広い知識・思考負荷)も一致しており、採用側と実際に辞めた人の認識は同じです。クラウドの「運用vs設計」、セキュリティ一般の「顧客対応」とは異なり、ホワイトハッカーでは学習・思考負荷・幅広い知識が特徴的に挙がっています。
ホワイトハッカーならではの「きつい」環境
採用担当者20名に「ホワイトハッカーがきついと感じやすい環境」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 常に最新の脅威・攻撃手法を学び続ける必要があり、休日もキャッチアップが求められる | 16票(最多) |
| 責任が重く、情報漏洩時は経営リスクに直結するプレッシャーがある | 14票 |
| 24時間体制のインシデント対応・監視で、深夜・休日の緊急対応が求められる | 13票 |
| プログラミング・インフラ・英語・法律など幅広い知識・スキルが求められる | 11票 |
| 攻撃者目線と防御者目線の両立、技術とビジネスを橋渡しするレポート作成の思考負荷が高い | 10票 |
| 脆弱性診断・監査など「粗探し」で、顧客・担当者から嫌われやすい | 9票 |
| 仕事にゴールがなく、「平常時を保つ」だけの立場で評価されにくい | 8票 |
| 誰からも感謝されず、モチベーションを保ちにくい | 7票 |
学習負荷、責任、24h対応、幅広い知識、思考負荷が上位です。いずれも、入社前に確認しておきたいポイントです。
ホワイトハッカーの「きつい」点を具体的に解説
きついと言われる理由が分かったところで、具体的にどんな点がきついのか。調査結果をもとにまとめます。
- 学習が終わらない・休日もキャッチアップが必要
- セキュリティ事故と隣り合わせの責任感・インシデント時のプレッシャー
- 深夜・休日のインシデント対応・24時間体制
- 技術とビジネスを橋渡しするレポート作成・思考負荷
- 幅広い知識(プログラミング・インフラ・英語・法律)を求められる
でお伝えします。
学習が終わらない・休日もキャッチアップが必要(X2/Y3で最多票)
「常に最新の脅威・攻撃手法を学び続ける負荷に追われ、休日も学習し続けた」が、採用側16票、転職者15票、きつい環境でも16票でいずれも最多でした。攻撃手法の巧妙化に合わせ、防御手法も継続的に学習する必要があります。脅威アクターの動向に敏感でなければならず、資格更新・技術習得に休日も費やす実態があります。興味を持って楽しく学べるかが向き不向きの判断基準になります。転職者20名のうち15名が「学習負荷から解放され、休日を休めるようになった」とやめてよかったと答えています。
セキュリティ事故と隣り合わせの責任感・インシデント時のプレッシャー
責任の重さ・インシデント時のプレッシャーは、採用側14票、転職者14票、きつい環境でも14票で2位でした。ランサムウェア被害でデータを暗号化されたり、情報漏洩をちらつかせて脅迫されたり、業務停止に追い込まれたり。被害規模が大きくなりやすいため、ストレスのかかる仕事であることは間違いありません。転職者20名のうち14名が「責任の重さ・インシデント時のプレッシャーから解放され、心の余裕が出た」とやめてよかったと答えています。
深夜・休日のインシデント対応・24時間体制
24時間対応は、採用側13票、転職者12票、きつい環境でも13票で3位でした。攻撃は予告なく発生するため、深夜・休日に呼び出されることもあります。オンコール体制で生活リズムが崩れやすく、緊急時は迅速な対応が求められ、プライベートの時間を削ることも珍しくありません。転職者20名のうち12名が「24時間対応・監視から解放され、自分のペースで生活できるようになった」と答えています。
技術とビジネスを橋渡しするレポート作成・思考負荷
攻撃者目線と防御者目線の両立、技術とビジネスを橋渡しするレポート作成の思考負荷は、採用側10票、転職者9票、きつい環境でも10票でした。診断レポートで技術用語を「お金とリスク」に翻訳して経営層・情シスに伝える必要があり、単なる技術者ではなく、セキュリティエンジニア兼コンサルタントのような役割です。「この改善を先送りすると、どのくらいのリスクとコストになるか」を数字と例で説明する場面が多く、技術力だけでなく、説明力・コミュニケーション力も求められます。
幅広い知識(プログラミング・インフラ・英語・法律)を求められる
プログラミング・インフラ・英語・法律など幅広い知識が求められる(採用側11票、転職者10票、きつい環境11票)。プログラミング、ITインフラ、法律知識、英語など幅広い分野の知識が必要で、情報セキュリティ関連の最新情報は英語で書かれていることが多いです。セキュリティシステム実装時に個人情報保護法など関連法令の知識も求められます。一人で抱え込みつぶれるケースとして、採用側・転職者で上位に挙がっています。
ホワイトハッカーに向いていない人の特徴(採用官が「きつい」と感じやすい人)
きついと言われる理由が分かったところで、次は採用側の視点です。どんな人に「きついと感じやすい」と見えるのか。採用担当者20名の票数でまとめました。
- 継続学習への覚悟がなく、学習負荷を甘く見ている人(15票・最多)
- 責任の重さ・プレッシャーに耐えられるか不明確な人
- 24時間インシデント対応・監視の覚悟が不明確な人
- 志望動機が曖昧で「なんとなく」の話し方をする人
- 幅広い分野(プログラミング・インフラ・英語)への興味・探究心がない人
- 向いている人の特徴(対比)
でお伝えします。
継続学習への覚悟がなく、学習負荷を甘く見ている(X3: 15票・最多)
「常に学び続ける覚悟がなく、学習負荷を甘く見ている」が15票で最多でした。ホワイトハッカーは学習負荷が辞めた理由の1位(採用側16票、転職者15票)です。採用側が「きついと感じやすい人」の1位も学習覚悟であり、「休日も学び続ける」現実を理解しているかが適性の分かれ目です。
責任の重さ・プレッシャーに耐えられるか不明確(X3: 13票)
「責任の重さ・インシデント時のプレッシャーに耐えられるか不明確」が13票。責任・インシデント時のプレッシャーは辞めた理由の2位(採用側14票、転職者14票)です。採用側は「耐えられるか不明確」な人をきついと感じやすいと認識しています。
24時間インシデント対応・監視の覚悟が不明確(X3: 11票)
「24時間インシデント対応・監視の覚悟が不明確」が11票。24h対応は辞めた理由の3位(採用側13票、転職者12票)です。採用側は「覚悟が不明確」な候補者を懸念しています。
志望動機が曖昧で「なんとなく」の話し方(X3: 9票)
「志望動機が曖昧で、『なんとなく』『かっこよさそうだから』のような話し方」が9票。本調査では「かっこいい」「高年収」のイメージだけで志望している人は、学習負荷・責任の現実を理解してほしい(8票)という声もありました。入社後のギャップに耐えづらいと判断されやすいです。
幅広い分野(プログラミング・インフラ・英語)への興味・探究心がない(X3: 9票)
「幅広い分野(プログラミング・インフラ・英語)への興味・探究心がなさそう」が9票。ホワイトハッカーは幅広い知識が求められ(11票)、好奇心がないと続きにくい職種です。
ホワイトハッカーに向いている人の特徴(対比・X10)
一方、採用担当者20名が「うまくいっている人の特徴」として挙げたのが以下です。
| 回答内容 | 票数 |
|---|---|
| 脅威や攻撃手法の変化を楽しみ、自ら学び続ける姿勢がある | 16票(最多) |
| 責任の重さ・インシデント時のプレッシャーを覚悟の上で受け止められる | 13票 |
| 論理的思考力があり、ログ解析や原因特定を冷静にできる | 10票 |
| 「守る側」として社会に貢献する実感を大切にしている | 9票 |
| 顧客・担当者から嫌われやすい業務でも、プロとして淡々と対応できる | 8票 |
| 攻撃者目線と防御者目線の両方で考えられる | 7票 |
| 幅広い分野(プログラミング・インフラ・英語)への好奇心がある | 6票 |
| 細部への注意力があり、わずかなログの変化に気づける | 5票 |
学び続ける姿勢、責任の覚悟、論理的思考、社会貢献の実感が上位です。転職者20名のうち9名が「社会を守る達成感は、他の仕事では得にくいと感じる」と後悔の声を挙げており、やりがいはあったが負担でやめた人もいます。向いていない人の特徴と照らし合わせて、自分に当てはまるか確認してみてください。
ホワイトハッカーの年収と将来性
ホワイトハッカーの年収と将来性について整理します。本格的な将来性の解説は後述の「なくなるは本当?」で行いますが、ここでは概要をお伝えします。
ホワイトハッカーの年収レンジと影響要因
厚労省の賃金構造基本統計、経済産業省・IPAの調査等を出典とすると、セキュリティエンジニア・ホワイトハッカーの年収は経験や資格で変動します。おおよそ400万〜800万円程度が一般的なレンジとされ、脆弱性診断・ペネトレーション等の専門スキルは高単価になりやすい傾向があります。詳細は各統計の最新版を参照してください。
なぜ高めの年収が期待できるのか
人材不足・求人倍率の高さ、専門性の高さ、資格・スキルの希少性が理由です。本調査でも採用担当者20名のうち8名が「求人倍率が高く、市場では引く手あまた。なくなるどころか不足している」と回答しており、需要の高さが年収の下支えになっています。
将来性は?需要・人材不足・AIの影響
需要は高く、AIは補助的役割にとどまるとの見方が多数です。本格的な解説は後述の「ホワイトハッカーなくなるは本当?将来性を解説」で、採用側(X14)と転職者(Y10)の票数を使って詳しくお伝えします。
未経験からホワイトハッカーになる前に知っておくこと
未経験でホワイトハッカーを目指す方へ、調査結果から分かった「入社前に知っておくべきこと」をまとめます。
未経験で早期退職しやすい理由(X5)
ホワイトハッカーは未経験採用もありますが(転職者20名中8名が未経験入社)、多くは他職種(ネットワークエンジニア・開発・インフラ)からの転職です(採用側6票)。採用担当者20名の回答では、「ネットワークの基礎がある分、脆弱性診断・ペネトレーションの理解が早い人が多かった」が12票で最多。「攻撃者目線の思考やプログラミング・スクリプトの追加学習が必要で、ギャップを感じて辞める人もいた」が9票、「未経験よりは定着率が高い印象。ただし学習負荷を甘く見ていると早期退職しやすい」が8票でした。未経験者は学習ルートが不明確で戸惑うケース(3票)もあります。
未経験入社者が実際にきつかった点(Y9)
未経験入社者8名に「とくにきつかった点」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 責任の重さ・インシデント時のプレッシャーの現実を事前に理解しておらず、戸惑った | 6票 |
| 学習負荷の現実を事前に理解していなかった。休日も学び続ける必要があった | 6票 |
| 24hインシデント対応・監視の現実を事前に理解していなかった | 5票 |
| 顧客対応(粗探しで嫌われる)の現実を事前に理解していなかった | 5票 |
| プログラミング・インフラ・英語の幅広い知識が足りず、実務で質問が多くなった | 4票 |
| 一人で実装・対応に対応し、質問できる人がいなかった | 4票 |
責任・学習負荷・24h・顧客対応の「現実を事前に理解していなかった」が上位でした。
未経験 vs 経験者で辞めた理由の違い(Y0×Y3クロス)
未経験者(8人)は学習負荷7票、責任6票、24h対応5票、幅広い知識4票が選ばれやすく、経験者(12人)は学習負荷8票、責任8票、24h対応7票、思考負荷6票でした。未経験者は「学習負荷・責任・24h」が上位で、経験者は「思考負荷」も加わります。事前理解の差が大きいようです。
未経験から成功するための会社選びのポイント
次のH2「会社選び」と連携しますが、研修・OJTの期間や内容、メンターの有無を聞く(採用側9票、転職者9票)、未経験・他職種採用の実績や育てる体制があるか(採用側5票、転職者4票)を確認することが重要です。
ホワイトハッカーになるには
ホワイトハッカーになる主なルートと、ネットワークエンジニアからの転向についてまとめます。
主なルート(セキュリティエンジニア経験・ネットワークエンジニアからの転向・未経験)
転職者20名のうち、未経験から入社したのは8名、他職種からの転職が12名でした。前職内訳はネットワークエンジニア5票、インフラ・サーバーエンジニア3票、バックエンド・アプリケーション開発2票、その他IT職2票です。採用側も「未経験からの参入は少なく、ほとんどが他職種(NE・開発・インフラ)からの転職」(6票)、「ネットワークエンジニアから転向するルートは一般的。当社でも積極的に採用している」(7票)と回答しています。
必要なスキル・資格
プログラミング、ネットワーク、OS、セキュリティの基礎が求められます。資格としてはCISSP、CEH、LPIC、情報処理安全確保支援士などが代表的です。本調査では「プログラミング・インフラ・英語・法律など幅広い知識が求められる」が11票で挙がっており、幅広い学習が必要です。
ネットワークエンジニアからホワイトハッカーへの転向(サブKW「ネットワークエンジニア ホワイトハッカー」対応)
ネットワークエンジニアからホワイトハッカーへの転向は一般的なルートです。
採用側の見解(X5)では、「ネットワークの基礎がある分、脆弱性診断・ペネトレーションの理解が早い人が多かった」が12票で最多。「攻撃者目線の思考やプログラミング・スクリプトの追加学習が必要で、ギャップを感じて辞める人もいた」が9票、「未経験よりは定着率が高い印象。ただし学習負荷を甘く見ていると早期退職しやすい」が8票でした。
転職者20名のうち、前職がネットワークエンジニアだったのは5名。彼らの辞めた理由では、責任3票、思考負荷3票、学習負荷2票が選ばれやすくなっています。
ネットワークエンジニアの強みは、ネットワークの基礎知識と脆弱性診断・ペネトレーションの理解の早さです。追加で必要なのは攻撃者目線の思考とプログラミング・スクリプトのスキル。転職のポイントは、学習負荷の現実を理解し、追加学習にコミットできるかを見極めることです。
入社後のギャップを防ぐ会社選びのポイント(面接官・転職者20人が答えた)
入社後に「思っていたのと違う」とならないよう、採用側・転職者それぞれが「入社前に確認すべきこと」として挙げた内容をまとめます。本調査では、面接で聞くべき具体的な質問例(X11)も票数で収集しており、競合にない独自インサイトとして掲載します。
インシデント対応・監視体制と設計・診断への関与度を入社前に確認(X7: 17票、Y7: 16票で最多)
面接官・転職者ともに最多票です。最も重要な確認ポイントです。「監視中心か診断・ペネトレーション中心か」で仕事内容が大きく違う(採用側10票)ため、オンコール頻度、設計・診断への関与度を具体的に聞いておきましょう。
セキュリティチームの人数・体制、一人あたりの担当範囲(X7: 12票、Y7: 11票)
人数体制が崩れていると負荷が偏りやすいです。採用側11票が「セキュリティチームは何人体制ですか?一人あたりの担当範囲を教えてください」という質問を推奨しています。
研修・OJTの期間や内容、メンターの有無(X7: 9票、Y7: 9票)
未経験・他職種転職者にとって重要です。採用側7票が「未経験・他職種からの転職向けの研修期間は通常どのくらいですか?現場配属までの流れを教えてください」という質問を推奨しています。
顧客対応が多いポジションか、社内専任かで業務内容が大きく違う(X7: 8票、Y7: 8票)
顧客対応(粗探しで嫌われる)は辞めた理由にも挙がっていました(採用側9票、転職者9票)。採用側8票が「顧客対応が多いポジションですか、社内専任が中心ですか」という質問を推奨しています。
面接で聞くべき具体的な質問例(X11:競合にない独自インサイト)
採用担当者20名に「面接で勤務実態を確認するために効果的な質問」を複数選択で聞きました。読者がそのまま使える形で掲載します。
| 質問例 | 票数 |
|---|---|
| 「インシデント対応・監視の体制はどうなっていますか?オンコール頻度はどのくらいですか」 | 15票 |
| 「セキュリティチームは何人体制ですか?一人あたりの担当範囲を教えてください」 | 11票 |
| 「業務は監視中心ですか、それとも脆弱性診断・ペネトレーションにも関われますか」 | 9票 |
| 「顧客対応が多いポジションですか、社内専任が中心ですか」 | 8票 |
| 「未経験・他職種からの転職向けの研修期間は通常どのくらいですか?現場配属までの流れを教えてください」 | 7票 |
| 「インシデント発生時の対応フローや、サポート体制はどうなっていますか」 | 6票 |
入社前にこれらの質問をしておくと、ギャップを防ぎやすくなります。
きつい環境を乗り越える・続けられる人の共通点
ネガティブな章が続きましたが、うまくいっている人には共通点があります。採用担当者20名の票数(X10)でまとめます。
好奇心と学習意欲がある(X10: 16票・最多)
「脅威や攻撃手法の変化を楽しみ、自ら学び続ける姿勢がある」が16票で最多。学習負荷が1位のきつい点(採用側16票、転職者15票)の裏返しで、楽しめる人は続けられます。学習覚悟がない人(15票)の対極です。
責任感とプレッシャーへの耐性(X10: 13票)
「責任の重さ・インシデント時のプレッシャーを覚悟の上で受け止められる」が13票。責任は辞めた理由の2位(採用側14票、転職者14票)ですが、覚悟がある人は乗り越えられます。
技術とビジネスの橋渡しができる(論理的思考力X10: 10票)
「論理的思考力があり、ログ解析や原因特定を冷静にできる」が10票。「攻撃者目線と防御者目線の両方で考えられる」が7票。思考負荷(採用側10票、転職者9票)をこなせる人の特徴です。
メンタルヘルスを維持する工夫
学習のオンオフを切り替える、相談できる人・チームの存在が重要です。体調を崩して退職したケースもあり(会社側7票、転職者9票)、無理しすぎないことが大切です。本調査では「違うと感じたら我慢せず相談する」(9票)という声もあり、入社後に「違う」と感じたら早めに相談することが推奨されています。
ホワイトハッカーのキャリアパス
ホワイトハッカーを辞めた人は、その後どこで働いているのか。調査結果をまとめます。
実際に辞めた人の今の働き方(Y8)
転職者20名に「今はどのような働き方をしていますか」を聞きました。
| 転職先 | 票数 |
|---|---|
| バックエンド・アプリケーションエンジニア(社内) | 6票 |
| 同業他社のセキュリティエンジニア・ホワイトハッカー(より良い環境へ) | 5票 |
| インフラ・ネットワークエンジニア | 5票 |
| 他職種の正社員(PM・コンサル等) | 3票 |
| フリーランス・自営業 | 1票 |
開発に携わりたい人や、より良い環境を求める人、監視・運用から設計へ、またはネットワークエンジニアに戻った人など、キャリアは多様です。
「やめてよかった」と思うこと(Y4)
転職者20名に「やめてよかったと思うことはどれですか」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 学習負荷から解放され、休日を休めるようになった | 15票 |
| 責任の重さ・インシデント時のプレッシャーから解放され、心の余裕が出た | 14票 |
| 24時間対応・監視から解放され、自分のペースで生活できるようになった | 12票 |
| 顧客・担当者から嫌われる立場から解放され、ストレスが減った | 9票 |
| 思考負荷(攻撃者×防御者目線)から解放された | 8票 |
| 「感謝されない」立場から解放された | 7票 |
辞めた理由(Y3)と対応する解放感が可視化されています。会社側も「適性不合でお互い良くない」(11票)、「体調を崩しており休職・退職の方が本人のためだった」(7票)といったケースで、やめてよかったと感じていると回答しています。
転職を考えるべきタイミング(適性不合・体調・環境のミスマッチ)
辞める決断のきっかけとして、転職者20名のうち「体調を崩した/健康面で限界を感じた」が9票、「我慢の限界で、とにかく早く辞めたかった」が6票でした。本調査では「違うと感じたら我慢せず相談する」(9票)という採用側のアドバイスがあり、違うと感じたときの選択肢として、社内相談、ポジション変更、転職を検討することが推奨されています。
転職活動で使いやすいエージェント・サイト(採用側が実際に利用)
採用担当者20名に、ホワイトハッカー・セキュリティエンジニア採用で利用した転職エージェント・サイトを聞きました。
転職エージェント(X12)
| エージェント | 票数 |
|---|---|
| レバテックIT | 12票 |
| ウズウズIT | 10票 |
| テックゲート転職 | 9票 |
| ユニゾンキャリア | 8票 |
| Geekly | 5票 |
転職サイト(X13)
| サイト | 票数 |
|---|---|
| doda | 17票 |
| リクナビNEXT | 15票 |
| リクルートエージェント | 12票 |
| マイナビジョブ20’s | 11票 |
ホワイトハッカー・セキュリティエンジニア採用で実際に使われているサービスです。転職活動の参考にしてください。
セキュリティ企業内・官公庁・インハウスへのキャリア
スペシャリストとして深掘りし、セキュリティコンサル、アナリスト、PMなどへキャリアを広げる道もあります。官公庁・警察は前述の活躍の場で触れました。採用側4票が「キャリアパス(セキュリティコンサル、アナリスト、PM等)が示されているか」を確認することを推奨しています。
「ホワイトハッカーなくなる」は本当?将来性を解説
「ホワイトハッカーはAIでなくなるのでは」という懸念に、採用側と転職者の両視点から答えます。
採用側の見解(X14)
採用担当者20名に「ホワイトハッカーの職種がなくなる・AIに代替されると言われることについての見解」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 需要は高まる一方で、むしろ人材不足が深刻化している。職種がなくなる心配はない | 16票(最多) |
| AI・ツールはログ解析や脅威検知の補助にとどまり、攻撃意図の判断など人間の判断が不可欠 | 13票 |
| 脅威は年々巧妙化・複雑化しており、ホワイトハッカー・セキュリティ人材の役割は拡大している | 11票 |
| 一部業務は自動化されるが、新種の脅威への対応や戦略的判断は人間が必要 | 9票 |
| 求人倍率が高く、市場では引く手あまた。なくなるどころか不足している | 8票 |
| 「なくなる」は誤解。DX推進でクラウド・ネットワーク活用が増え、セキュリティの重要性は上がっている | 7票 |
実際に辞めた人の実感(Y10)
転職者20名に「辞める際や転職活動中に、この職業が将来的になくなるのではという懸念はあったか。転職後、将来性についてどう感じているか」を複数選択で聞きました。
| 回答内容 | 票数 |
|---|---|
| 懸念はなかった。需要は高く、職種がなくなるとは思わなかった | 10票 |
| 「なくなる」という話は誤解だと思っていた。実際は人材不足が深刻で、むしろ需要は増す | 9票 |
| AIは補助的な役割のみで、攻撃意図の判断など人間の判断が不可欠と考えていた | 8票 |
| 転職後も、ホワイトハッカー・セキュリティエンジニアの需要は高くなくならないと感じている | 7票 |
| 一部業務は自動化されるが、ホワイトハッカーの役割は拡大していると思う | 6票 |
結論:なくならない理由
採用側・転職者ともに「なくならない」「需要は高い」が多数です。AIは補助的で、攻撃意図の判断など人間の判断が不可欠。脅威の巧妙化・複雑化で役割は拡大しており、人材不足が深刻で求人倍率も高い状況です。「ホワイトハッカーなくなる」は誤解と考えてよさそうです。
「きつい」をどう受け止めるか(面接官からのアドバイス)
面接官が志望者に伝えたい「きついの受け止め方」を、票数でまとめます。
入社前に聞くべきポイントを押さえれば多くは回避できる(X9: 14票・最多)
「インシデント体制・業務配分・ポジションを入社前に聞いて会社を選べば、『きつさ』の多くは回避できる」が14票で最多でした。転職者・従業員が挙げる理由の多くは、会社選びやポジションのミスマッチが原因(12票)とも回答されています。H2「会社選び」のX7・Y7・X11で触れた確認ポイントを押さえることが重要です。
「きつい」と言う人の理由を分解して自分に当てはまるか確認(X9: 11票)
「まず『きつい』と言う人の理由を分解する。自分に当てはまりそうな理由か確認する」が11票。本記事のX2・Y3・X4の票数がその「分解」の材料になります。学習負荷・責任・24h・幅広い知識・思考負荷のどれが自分にとって負担になりそうか、事前に考えておくとよいでしょう。
違うと感じたら我慢せず相談する(X9: 9票)
「入社後に『違う』と感じたら、我慢せず希望や相談を伝える。辞めた人の多くはそれをしなかった」が9票。本当に「きつい」と感じる人は適性が合わない人であり、職種そのものより適性の問題(7票)という見方もあります。違うと感じたときは、社内相談、ポジション変更、転職を選択肢として検討してください。
よくある質問(Q&A)
Q1. ホワイトハッカーとは何ですか?
攻撃する側と同じ目線で考えながら、法律と契約の枠内で組織を守るセキュリティの専門家です。ハッカー(高度な技術でシステムを深く理解する人)に対し、ホワイトハッカーは守る側、ブラックハッカー(クラッカー)は犯罪者です。主な仕事は脆弱性診断、ペネトレーションテスト、監査、インシデント対応。セキュリティ企業、官公庁・警察、自社セキュリティ部門などで活躍しています。
Q2. ホワイトハッカーはきついですか?
本調査では、学習負荷(採用側16票、転職者15票)、責任(14票、14票)、24h対応(13票、12票)、幅広い知識(11票、10票)、思考負荷(10票、9票)がきつい理由の上位でした。ただし、入社前にインシデント体制・業務配分・ポジションを確認して会社を選べば、きつさの多くは回避できると採用側14票が回答しています。会社選びや適性次第で「きつさ」は変わります。
Q3. ホワイトハッカーの年収はどのくらいですか?
厚労省の賃金構造基本統計、経済産業省・IPAの調査等によると、セキュリティエンジニア・ホワイトハッカーの年収は経験・資格で変動し、おおよそ400万〜800万円程度が一般的なレンジとされています。人材不足・専門性の高さから、高めの年収が期待できる職種です。詳細は各統計の最新版を参照してください。
Q4. ホワイトハッカーの将来性はどうですか?
本調査では、採用側20名のうち16名が「需要は高まる一方で、人材不足が深刻。職種がなくなる心配はない」、13名が「AIは補助にとどまり、人間の判断が不可欠」と回答。転職者20名も、10名が「懸念はなかった」、9名が「なくなるは誤解。人材不足で需要は増す」と答えています。なくならないと考えてよさそうです。
Q5. ネットワークエンジニアからホワイトハッカーになれますか?
なれます。採用側では「ネットワークの基礎がある分、脆弱性診断・ペネトレーションの理解が早い人が多かった」が12票、「攻撃者目線の思考やプログラミング・スクリプトの追加学習が必要」が9票、「転向ルートは一般的。当社でも積極的に採用している」が7票でした。転職者20名のうち、前職がネットワークエンジニアだったのは5名。NEの強みを活かしつつ、攻撃者目線・プログラミングの追加学習にコミットできるかがポイントです。
Q6. ホワイトハッカーになるには何が必要ですか?
主なルートは、(1)セキュリティエンジニア経験者、(2)ネットワークエンジニアからの転向、(3)未経験です。必要なスキルはプログラミング、ネットワーク、OS、セキュリティの基礎。資格はCISSP、CEH、LPIC、情報処理安全確保支援士など。本調査では「プログラミング・インフラ・英語・法律など幅広い知識が求められる」が11票で、学習負荷への覚悟が重要です。
まとめ
この記事では、採用担当者20名・転職者20名へのインタビュー調査をもとに、ホワイトハッカーが「きつい」と言われる理由と年収・将来性・なるにはを解説しました。
1. きついと言われる理由は学習負荷・責任・24h対応・幅広い知識・思考負荷が多く、会社選びで防げる
採用側・転職者ともに、学習負荷が最多票(16票・15票)。責任、24h対応、幅広い知識、思考負荷も上位でした。入社前にインシデント体制・業務配分を確認すれば、多くの「きつさ」は回避可能(採用側14票)です。
2. 年収は高め・将来性も高い。「なくなる」は誤解
人材不足・需要増で、採用側16票・転職者10票が「なくならない」と回答。AIは補助的役割にとどまります。
3. ネットワークエンジニアからも転向可能
ネットワークの基礎がある分理解が早い(12票)。攻撃者目線・プログラミングの追加学習が必要ですが、転向ルートは一般的で、積極採用している会社も多いです。
4. 向いている人・続けられる人の特徴を確認してから決める
学習意欲16票、責任覚悟13票が向いている人の上位。学習覚悟なし15票が向いていない人の1位。適性の見極めが重要です。
あなた自身の状況に当てはめて、ホワイトハッカーという職種を検討する際の判断材料になれば幸いです。
