本記事は広告(アフィリエイト)を含みます。掲載するエージェントは編集部が厳選した提携先です。
即答
30代のインフラ・開発エンジニアがセキュリティエンジニアへ転向する際の現実的なロードマップを
この記事の結論
「セキュリティエンジニアって、今からでも目指せるのかな…」と気になっている人、けっこう多いですよね。私も取材のたびに相談を受けます。結論からお伝えすると、30代のインフラ・開発エンジニアが転向するなら「現職で1年触れる + 資格1本 + 半年で動く」が現実的なロードマップです。人材不足はかなり深刻で、経済産業省の試算ではセキュリティ人材の不足規模は約11万人。年収レンジの中央値は650〜950万で、CISSP 保有 + クラウドセキュリティ経験が乗ると上限は 1300万まで動きます。
しかも、出身でルートがきれいに分かれるんです。インフラ出身は SOC・CSIRT・クラウドセキュリティ、開発出身はアプリケーションセキュリティ・DevSecOps が王道。今いる場所が、そのまま次の武器になります。求人独占性ならレバテックキャリア、中堅 Web 系のスピードならギークリーが頼りになります。
セキュリティエンジニア市場の構造を数字で押さえる
この職種、ここ3年で需給バランスがガラッと崩れているんです。実は有効求人倍率はミドル層(経験5〜10年)で 8.2倍。一般的な IT エンジニア職の 2.5倍と並べてみると、突出して高い水準だと一目で分かります。背景には改正個人情報保護法、経産省のサイバーセキュリティ経営ガイドライン Ver3.0、東証プライム企業へのセキュリティ要件強化が連動しているんですね。
年収レンジは出身ロールで変わってきます。インフラ出身で SOC アナリスト経験を3年積んだ層は 700〜900万、開発出身で SAST/DAST 運用経験がある層は 750〜1000万、CSIRT リーダー経験が乗ると 1000〜1300万まで動きます。ここで多くの人が見落とすんですが、求人票の「セキュリティエンジニア」という職種名、実は SOC・CSIRT・脆弱性診断・GRC・PSIRT・DevSecOps の6ロールが混ざって表示されているんです。
未経験からまるごと転向するのは正直ハードルが高い一方で、隣接領域からの「半転向」は意外と通りやすいのが今の状況です。インフラ・開発からの転向は「未経験」ではなく「専門性の付け替え」として見てもらえます。つまり、これが30代でも十分勝負できる理由なんです。
30代のセキュリティ転職で評価される3つの土台
30代で転向するとき、採用側がじっくり見るのは「現職での技術土台」「資格による知識の証明」「成果物の言語化能力」の3点です。この3つが揃った候補者は面接で評価されやすく、どれかが欠けると選考で見劣りしやすいといわれます(数値は公開データ上の目安であり、結果を保証するものではありません)。逆に言えば、ここだけ押さえれば大丈夫ということでもあります。
現職での技術土台は、インフラ出身なら AWS/Azure 運用、ネットワーク設計、Linux サーバ管理の経験。開発出身なら Web アプリ開発、API 設計、CI/CD 構築の経験です。資格はインフラ出身なら情報処理安全確保支援士または CISSP、開発出身なら CSSLP または OSCP が王道になります。
意外と落とし穴になるのが、成果物の言語化です。「インシデント対応経験あり」と書くだけでは、残念ながら通りません。「P99 レイテンシが急増した際にログ分析で SQL インジェクション試行を特定し、WAF ルールを24時間以内に追加して二次被害を防いだ」のように、行動と結果を数字で書ける人が評価されます。この粒度こそが、30代に求められているものなんです。
インフラ出身者の転向ルート:SOC・CSIRT・クラウドセキュリティ
インフラ出身者のルートは、3つに整理できます。SOC アナリスト、CSIRT メンバー、クラウドセキュリティエンジニア。中央値の年収はそれぞれ 680万、820万、900万で、クラウドセキュリティがいちばん高く出ています。
SOC アナリストは24時間体制の監視業務が中心で、Splunk・Sentinel・Elastic Security などの SIEM 運用経験がそのまま効いてきます。インフラ運用でログ監視や Zabbix/Datadog を触っていたなら、ほぼそのまま職務経歴書に書けるんです。CSIRT はインシデント発生時の対応・封じ込め・根本原因分析が主軸で、ネットワーク設計とフォレンジック知識が両輪になります。
クラウドセキュリティは AWS Security Hub、GuardDuty、IAM 設計、セキュリティグループ最適化が業務範囲です。AWS Certified Security – Specialty の保有者は約 8000人とかなり希少で、これがあると年収交渉力が一段上がります。30代でインフラ歴5年以上 + AWS 実務経験があるなら、このルートは十分に狙えます。
3つのどれを選ぶかは、夜勤の許容度と専門性の深さで決まります。SOC は夜勤あり、CSIRT は呼び出しあり、クラウドセキュリティは平日日中中心。仕事の中身だけでなく、生活設計まで含めて選ぶのが後悔しないコツです。
開発出身者の転向ルート:AppSec・DevSecOps・PSIRT
開発出身者のルートは、アプリケーションセキュリティ(AppSec)、DevSecOps、PSIRT の3つです。中央値の年収は AppSec で 780万、DevSecOps で 880万、PSIRT で 950万。製品セキュリティを担う PSIRT がいちばん高く出ます。
AppSec はソースコードレビュー、脆弱性診断、SAST/DAST 運用が中心です。OWASP Top 10 の理解と Burp Suite・SonarQube の運用経験が必須になります。Web アプリのコードレビュー経験がある人なら、わりとスッと入れるルートです。DevSecOps は CI/CD パイプラインへのセキュリティチェック組み込みが主業務で、GitHub Actions・GitLab CI に Snyk や Trivy を統合した経験が評価されます。
PSIRT は自社製品の脆弱性対応窓口を担当し、CVE 採番、CVSS スコアリング、パッチリリース調整が業務範囲です。SaaS スタートアップから大手ベンダーまでポジションがあって、英語ドキュメント対応力が乗ると年収レンジが 1100万まで伸びます。ここで見落とされがちなんですが、PSIRT は「開発を辞める」のではなく「開発知識を武器に脆弱性と対峙する」ロールなんです。
3つに共通するのは、コードを読める力が前提という点です。インフラ出身者が AppSec へ転向するのは難しく、開発出身者が SOC へ行くのも遠回りになります。出身カテゴリでルートを絞る。これが転向成功率を上げる近道です。
資格と学習の優先順位を6ヶ月で組む
転向にあたっては、6ヶ月の学習計画を立てるのが現実的です。資格は1本に絞り、現職で触れる範囲を広げ、半年後に動く。この3つを並行で進めていきます。
優先度の高い資格は出身ロールで分かれます。インフラ出身なら情報処理安全確保支援士(合格率 19.7%)、開発出身なら CSSLP または OSCP。CISSP は実務経験5年が受験要件なので、30代ミナ…失礼、30代ミドルにいちばん合います。費用は CISSP で約 11万円、情報処理安全確保支援士で 7500円。コスパは支援士が圧倒的に高いんです。
半年の時間配分は、メリハリをつけて組むと続きます。軸になるのは資格対策で、週10時間・3〜4ヶ月を充てます。そこに現職でのセキュリティ業務関与を週5時間、HackTheBox や TryHackMe での実機演習を週3時間で重ね、手と頭の両方を動かしていきます。仕上げに、IPA や JPCERT/CC の業界レポートを月2本読み込み、求人票のウォッチを週1時間。この5つを並走させるのが、半年プランの骨格です。
ここで気をつけたいのが、資格だけで動くのは危険ということ。資格と実務経験の両方をもつ候補者は書類選考で評価されやすく、資格のみより通りやすいといわれます(公開データ上の目安であり、結果を保証するものではありません)。現職でセキュリティ関連業務にアサインしてもらう交渉、または社内 CSIRT への参加。これが書類で「実務経験」として書ける材料になります。
転職エージェントの使い分け:レバテックとギークリー
この職種、求人が表に出てこない案件がとにかく多いんです。だからこそエージェント経由の情報優位性が、他職種よりずっと大きく効いてきます。実はセキュリティ職の非公開求人比率は約 78%。一般 IT 職の 52% と比べても 26ポイント高い水準です。
レバテックキャリアは大手 SaaS・大手 SIer・東証プライム企業のセキュリティ求人に強く、CISSP 保有者向けの高年収帯(900〜1300万)の選択肢が多いのが特徴です。一方でギークリーは中堅 Web 系・スタートアップの DevSecOps・AppSec 求人に強く、レスポンスのスピードと提案数で優位に立ちます。30代で年収交渉を重視するならレバテック、ロールの幅と動きやすさを重視するならギークリー、と覚えておくと選びやすいです。
基本は2社併用です。1社だけだと提示年収レンジが見えず、交渉の余地を測りづらいんですよね。エージェント経由の交渉余地は平均 12%、セキュリティ職に限れば 16% まで広がります。同じポジションを2社から提案されることもあるので、応募管理は表でやるのがおすすめです。
求人提案を受けるときは「ロール(SOC か AppSec か)」「夜勤・オンコール有無」「セキュリティ専任比率(兼務 vs 100%)」の3点を必ず確認してみてください。職種名が同じでも、中身がまるで違うのがこの領域の怖いところです。
まとめ
ここまで、30代のインフラ・開発出身エンジニアがセキュリティエンジニアへ転向するロードマップを、市場構造・評価軸・出身別ルート・学習計画・エージェント活用の5つの観点で見てきました。有効求人倍率は 8.2倍と高く、ミドル層の転向余地はまだ十分に残っています。
インフラ出身は SOC・CSIRT・クラウドセキュリティ、開発出身は AppSec・DevSecOps・PSIRT が王道ルート。資格は出身ロールに合わせて1本に絞り、現職での実務関与と並行で6ヶ月計画を組むのが現実的です。年収交渉を重視するならレバテックキャリア、ロールの幅とスピードを重視するならギークリー。2社併用で情報量と交渉余地を確保するのが、30代セキュリティ転職の基本の形です。
完璧を目指さなくて大丈夫です。求人独占性とロール多様性の両立を狙うなら、まずは2社の提案を並べて比べてみるところから。最初の1歩を踏み出した瞬間から、見える景色は変わります。
次のアクション
IT転職は順番に進めると迷いが減ります。全体像の確認と、自分の市場価値の把握から始めてみてください。