なぜフリーランスの税金は高いのか?税理士さんにわかりやすく教えてもらった
- インタビュー
- フリーランス/個人事業主
- 税金
セキュリティエンジニアとして働く方のなかには、将来は独立してフリーランスになりたいと考えている方もいるでしょう。しかし、フリーランスとして独立することに不安を感じ、なかなか一歩目が踏み出せない方も多いのが実情だと思います。
そこで今回は、フリーランスのセキュリティエンジニアになるうえで知っておきたい将来性や単価相場、必要なスキル、案件獲得方法などをエンジニア目線で解説していきます。
目次
ひとことで「セキュリティエンジニア」といっても仕事内容は多岐にわたります。システムの脆弱性を検出したり、セキュリティ面での不具合が発見された場合には迅速な対策を行ったりと、幅広い業務を担当します。
フリーランスのセキュリティエンジニアには、クライアントのセキュリティニーズを分析し、適切なセキュリティ対策を企画・提案する役割が求められます。
提案する際には費用対効果まできちんと考慮し、セキュリティにあまり詳しくないクライアントに対しても分かりやすく説明する必要があるでしょう。
また個人情報保護法の施行以降は、情報セキュリティマネジメントシステム(ISMS)や、プライバシーマークの取得サポートも業務の一環です。
セキュリティの脆弱性はさまざまな場面で問題となります。そのため、セキュリティエンジニアはネットワークの運用やサーバー管理といったインフラ周りをしっかりと理解したうえで、システム設計を行うことが求められます。
また機器のマウンティングやコンフィグ作業、セキュアプログラミング、暗号化や認証設定なども行います。
昨今では、データをクラウドで管理するケースが増えていることもあり、クラウド周辺の知識やスキルがあるセキュリティエンジニアは需要が高まっている印象です。
テストでは、脆弱性診断とも呼ばれるセキュリティ検査を行います。システム上の脆弱性を発見し、その対策を行うことが求められます。またネットワークに接続されているシステムに対して侵入を試みる「ペネトレーションテスト」も必要でしょう。
加えてシステム導入後には、障害発生時にスピーディーに対策を施したり、サイバー攻撃からシステムを守るといった保守・運用業務を継続的に行います。
企業のIT化・DX化にともない、直面するデジタルリスクは増加傾向にあります。マルウェアやランサムウェアといったサイバー攻撃の方法も日々進化しており、今まで以上に高度な手法が用いられています。
仮に企業がサイバー攻撃を受けた場合、データの改ざんや情報漏洩、金銭的な損失などの被害を受ける可能性があり、加えて企業の信頼失墜や、最悪のケースでは倒産まで視野に入れなければならないでしょう。
このような背景を踏まえ、企業にとってはセキュリティエンジニアが担うサイバーセキュリティの強化が不可欠な状況です。その結果、セキュリティエンジニアの市場価値は上昇していると実感しています。
今後もセキュリティエンジニアの需要は増えると考えられており、高度なスキルや豊富な経験を持つフリーランスのセキュリティエンジニアにとっては、「売り手市場」な状況は続くでしょう。
まずは「求人ボックス」にて、セキュリティエンジニアの正社員の方の給与を確認します。
セキュリティエンジニアの平均年収は約543万円となっており、日本の平均年収と比較すると高い傾向にあります。月給換算すると45万円、初任給は21万円程度が相場のようです。派遣社員では平均時給が2,521円となっています。
しかし全体の給与幅が356万円~1,031万円と幅広いため、勤務先や経験・スキルなどによっても大きな差があるといえるでしょう。
次に「フリーランススタート」にて、フリーランスセキュリティエンジニアの月額単価の相場を確認します。
2024年3月時点では、フリーランスセキュリティエンジニアの平均月額単価が55.5万円、中央値月額単価が50万円、最高月額単価が130万円、最低月額単価が25万円となっています。
こちらも単価幅があるので、経験やスキル、クライアントとの信頼関係などで単価はおおむね変動することでしょう。
正社員の月給を45万円とすると、フリーランスでやっていこうと思うなら、その1.5倍である65万円以上の月額単価の案件は請け負いたいところです。
それでは実際のフリーランスセキュリティエンジニアの案件や報酬事例を確認していきましょう。参照元はすべて「レバテックフリーランス」に掲載されている事案で、2024年3月時点のものです。
案件種類 | 業務内容 | 求めるスキル | 報酬金額 | 想定稼働時間 |
【DB/フルリモート】セキュリティエンジニアの求人・案件 | ・セキュリティ監視 ・ネットワークセキュリティ、マルウェア対策 ・認証基盤やセキュリティイベントの対応 |
・セキュリティ関連の業務経験 ・Active Directoryを用いた業務経験 ・エンドポイントセキュリティの経験 |
~600,000円/月 | 140時間~180時間 |
【セキュリティ/上流】官公庁向けシステム標準化支援の求人・案件 | ・官公庁向けシステム標準化支援案件 | ・情報処理安全確保支援士 ・システム監査技術者試験 ・公認情報システム監査人 |
~950,000円/月 | 140時間~180時間 |
【セキュリティPM】某メーカー向けセキュリティ改善業務の求人・案件 | ・セキュリティチェックシート展開、回収、結果分析業務 ・クライアント担当者、現場担当者へのヒアリング業務 ・改善策の立案業務 |
・情報セキュリティ対策、改善業務経験 ・セキュリティコンサル経験 ・ISMSやISOなどに関する知見 ・OTセキュリティの知見 |
~850,000円/月 | 140時間~180時間 |
【セキュリティPM】外資系IT企業向けNWセキュリティ支援の求人・案件 | ・上流工程でのセキュリティアセスメントやセキュリティポリシー策定業務 ・セキュリティ要件の定義、IT課題の整理コンセプト設計業務 ・セキュリティソリューションの導入を前提とした設計業務 |
・NWセキュリティ運用および設計、構築経験 ・Cisco Tac経験 ・Cisco ACIなどを使用したネットワーク設計を上流からConfigを投入しての検証経験 |
~950,000円/月 | 150時間~180時間 |
フリーランスのセキュリティエンジニアとして活躍し続けるためには、どのようなスキルや知識が必要なのでしょうか。ここでは筆者が必要だと思うものを3つお伝えします。
セキュリティエンジニアには、当然ですが情報セキュリティに関する知識やスキルが不可欠です。たとえば、ネットワーク関連のセキュリティやアプリケーションにまつわるセキュリティ、最近ではクラウドに関するセキュリティも必要です。
そのため、幅広い分野の情報セキュリティの知識が求められます。
脆弱性の分析やリスク評価、侵入検知、暗号化技術、認証・認可の仕組みの理解に加え、各セキュリティ製品やツールの使用経験、また最新のセキュリティ分野の動向などの知識も重要となるでしょう。
セキュアなプログラミングとは、システムやアプリケーションの脆弱性の原因を事前に考慮して設計するプログラミング手法のことを指し、情報セキュリティ対策を行ううえでは欠かせない要素となります。
OSの最新化やWAFを導入することで、セキュリティ対策は万全だと考えている企業も多いです。しかし、開発時点で脆弱性への対処や攻撃を想定したコーディングをしておけば、被害を未然に防げる可能性はぐっと高まります。
一方で、情報セキュリティに関する知識を持ち、セキュアなコーディングまでできる人材は不足しています。そのため、セキュアなコーディングが適用されていないシステムも多くあるのが実情でしょう。
どのような設計・コーディングがセキュリティの強度を高めるかはケースバイケースとなるため、セキュアなコーディングに対する基本概念やテクニックはまず学んでおくことをおすすめします。
セキュリティに関連する法律の知識も積極的に学んでおきたいところです。
「個人情報保護法」や「不正アクセス行為の禁止等に関する法律」、「サイバーセキュリティ基本法」などの法律は最低限把握しておき、法的リスクを適切に管理できる知識が求められます。
個人情報や機密情報などの取り扱いに関する法律は年々厳しくなってきている印象です。
情報セキュリティに関する法律は、テクノロジーの進化にともない改正されるものなので、常に新しい情報をインプットするクセをつけておきましょう。
IT系の業務はいわゆる「士業」ではないので、資格がなくても業務に従事することは可能です。しかし、案件事例でもご紹介したように、募集要項に有資格者を対象としているものも多いです。
そのため、資格がある方がセキュリティエンジニアとして活躍の場はきっと広がるはずです。
ここでは、フリーランスのセキュリティエンジニアならば取得しておきたい資格を3つ厳選してご紹介します。
情報処理安全確保支援士試験とは、情報処理の促進に関する法律にもとづいた、経済産業大臣が認定する国家資格です。情報システムのセキュリティ対策を適切に行うための知識と実践的な技能を有することが証明できます。
サイバーセキュリティに関する相談や情報提供、助言、状況調査や分析などを通じて、情報セキュリティの確保を支援できる人材として、IT関連の企業や部署、官公庁などでの活躍が期待されます。
情報セキュリティに関連する国家資格において、ITスキル標準レベルは「4」として最上位に位置づけられており、合格率は20%前後。そのため、情報セキュリティ業務に従事されているエンジニアでも、簡単に合格できる資格ではないといえます。
また2020年から資格の更新条件が変更となり、資格取得後も毎年のオンライン講習の受講と、3年目の更新では実践演習または特定講習の受講が義務化されています。
情報セキュリティマネジメント試験とは、情報セキュリティに関する基礎的な知識を問う認定試験で、IT系の国家資格のひとつとなります。
サイバーセキュリティに関する情報の提供、調査、分析、評価、指導などを行い、セキュリティの維持向上を目指す資格です。
情報セキュリティ管理、情報セキュリティ技術、情報セキュリティ対策の方法、法律などについて学習することができるので、セキュリティエンジニアにはとくにおすすめの資格です。
ITスキル標準レベルは、基本情報技術者試験と同じ「2」に該当しており、難易度としてはそこまで高くありません。
合格率も50%程度あり、適切な学習と試験対策をすることで十分に合格を狙える試験です。ただし、2016年からスタートした比較的新しい試験なので、年度や期によっては難易度が変化する可能性はあるでしょう。
CEH(認定ホワイトハッカー)とは、ホワイトハッカーとしてのスキルを持っていることを証明する資格です。ホワイトハッカーとは、悪意を持ってサイバー攻撃を行うブラックハッカーとは異なり、脆弱性の対策などを善良な目的で行うハッカーのことを指します。
ブラックハッカーの攻撃からシステムを守るには、どのような攻撃が行われるのかを理解しなくてはなりません。CEH取得を通じて、サイバー攻撃の脅威への理解やハッキングテクニックなど、より堅牢なセキュリティ環境を構築するためのスキルや知識などが身に付くはずです。
最後に、フリーランスのセキュリティエンジニアが案件を探すのにおすすめのサービスを3つ厳選してご紹介します。
『Workship』は、「仕事を発注したい人」と「仕事を受注したい人」をマッチングさせるフリーランス・副業ワーカー向けマッチングサービスです。
高単価案件が多いプラットフォームで、時給1,500円~10,000円の案件が豊富に揃っています。
またエンジニア向けの案件が充実しているのはもちろんのこと、「週1~」「リモートワーク」といった希望するスタイルに合わせて案件を選べるのも嬉しいポイントとなるでしょう。
トラブル相談窓口や会員制優待サービスの無料付帯など、安心して働ける仕組みも用意されているので、手厚いサポートを受けながら、良質な案件を請けたい方にはとくにおすすめのサービスです。
『ITプロパートナーズ』は、エンジニア・デザイナー・マーケター・プロデューサー向けの案件を多く扱っているエージェントサービスです。
直接クライアントと契約する「エンド直」形式が採用されているので、比較的高単価な案件が数多く揃えられているのが特徴のひとつで、専属エージェントから定期的にフォローやサポートも受けられます。
スタートアップやベンチャー系の案件が多いので、新サービスの開発やトレンドの言語・ツールなどを活用した案件にチャレンジしたい方にはとくにおすすめのサービスです。
『レバッテクフリーランス』は、IT系のフリーランスエンジニアをおもにサポートするエージェントサービスです。業界最大手の企業でもあるため、登録者数や案件数もかなり豊富です。
フリーランス利用者の平均年収は約876万円で、かつ利用者満足度も92.6%と非常に高く、大手企業を中心とした直請案件も豊富に取り扱っております。登録者向けのサポートや特典なども充実しており、専属の担当者が契約更新手続きや営業活動といったことまでサポートしてくれます。
またクリエイター向けには姉妹サービスである『レバテッククリエイター』も提供されているので、得意分野に合わせてエージェントを選択するのもいいでしょう。
5GやIoTといった最先端のテクノロジー技術や、クラウドの導入・在宅ワークの推進といったITトレンドを推進するためには、セキュリティ対策が不可欠です。大企業や公共機関においては、国内外からのサイバー攻撃は常に発生していると思っておいていいでしょう。
一方で、IT業界では慢性的な人手不足から、優秀なセキュリティエンジニアの需要は逼迫しているのが実情です。それはフリーランスのセキュリティエンジニアでも同じ。
加えて比較的自由な立場で柔軟にプロジェクトに参画できるフリーランスエンジニアは、企業からのニーズも増加傾向にあり、スキルや知識が豊富な方は引く手あまたな状況だといえるでしょう。
セキュリティエンジニアときくとなんだか難しそうなイメージをお持ちかもしれませんが、今からでも目指してみる価値は十分にあるのではないでしょうか。
(執筆:kansaitarou 編集:少年B)