MRの職務経歴書の書き方|採用担当が見るポイントと例文
ショクレキ代行
ショクレキ代行
セキュリティエンジニアの職務経歴書の書き方|採用担当が見るポイントと例文
ショクレキ代行
📌 この記事でわかること
- 採用担当者がセキュリティエンジニアの職務経歴書で本当に見ているポイント
- セキュリティ対策の実績・インシデント対応件数・脆弱性発見件数など「数字の出し方」
- SOC・脆弱性診断・CSIRT・セキュリティコンサルなど領域別の書き方のポイント
- 書類が通らないセキュリティエンジニアに共通する失敗パターン
- 経験年数別(若手・中堅・ベテラン)のアピールポイントの違い
- NG例・改善例つきで今日から使える書き方を解説
「セキュリティの仕事は守秘義務が多くて職務経歴書に何を書けばいいかわからない」「脆弱性診断やインシデント対応の経験をどう伝えればいいか」セキュリティエンジニアの転職活動でよく聞く悩みです。企業の重要な情報資産を守ってきた経験は確かな実力なのに、守秘義務と専門用語の壁で伝えにくさを感じている方がほとんどです。
書類が通らない原因の多くは、「何をしたか」は書けていても「どんな規模の組織で・どんな脅威に対して・どんな成果を出したか」が伝わっていないことにあります。採用担当者はセキュリティエンジニアの職務経歴書を通じて「セキュリティの脅威を検知・対応・防御できる人か」「技術と経営をつなぐセキュリティ推進ができるか」を判断しています。
この記事では、セキュリティエンジニアが転職活動で使える職務経歴書の書き方を、具体的な例文・NG例・経験年数別のアドバイスとあわせて解説します。
採用担当は何を見ている?
セキュリティエンジニアの採用担当者が職務経歴書で確認しているのは、主に次の3点です。
- どのセキュリティ領域を担当してきたか:SOC(Security Operation Center)・CSIRT・脆弱性診断・ペネトレーションテスト・セキュリティアーキテクチャ・セキュリティコンサル・GRC(ガバナンス・リスク・コンプライアンス)など、担当領域の幅と深さを確認している
- 技術的なスキルの深さと使用ツール:SIEM・IDS/IPS・EDR・脆弱性スキャナー・WAF・ファイアウォール・Kali Linux・Burp SuiteなどのツールとCTF参加・セキュリティ資格(CISSP・CEH・OSCP・情報セキュリティスペシャリストなど)を見ている
- セキュリティの脅威・インシデントへの実対応経験があるか:実際の脅威検知・インシデント対応・フォレンジック・脆弱性発見・修正の実績を確認している
よくある失敗(書類が通らない人に共通する3つのパターン)
パターン①:「セキュリティ業務を担当していました」で終わっている
「情報セキュリティの管理・運用を担当していました」という記述では、採用担当者には何も伝わりません。どんな規模の組織で・どんな脅威に対して・どんなツールを使って・どんな実対応をしてきたかが書かれて初めて、評価の材料になります。
パターン②:技術スタック・ツールの羅列で終わっている
「使用ツール:SIEM・IDS・IPS・EDR・WAF・Splunk・CrowdStrike…」と並べるだけでは、実際に使いこなせるかどうかが判断できません。「Splunkを使ってアラートのトリアージを月平均○件実施」「EDRを導入・設定し、インシデントの初動対応フローを整備した」のように、ツールの使用目的と実績をセットで書くことが重要です。
パターン③:守秘義務を理由に何も書かない
「守秘義務があるため詳細は書けません」という記述では、採用担当者はまったく評価できません。クライアント名・具体的な脆弱性の内容は伏せても構いませんが、「業種・規模・実施した診断の種類・発見した脆弱性の件数・対応した業務規模」は書けます。守秘義務に触れない範囲で最大限の情報を書くことが重要です。
書き方のポイント|セキュリティエンジニアならではの伝え方
ポイント①:担当領域と組織規模を明確にする
「従業員数約3,000名の事業会社のCSIRT担当として社内セキュリティ運用を担当」「セキュリティベンダーにてWebアプリケーション脆弱性診断・ペネトレーションテストを年間約30件実施」のように、担当領域(SOC・CSIRT・脆弱性診断・GRCなど)と組織規模をセットで書くことで採用担当者が業務のスケールをつかめます。
ポイント②:「検知・対応・防御・改善」のどのフェーズに関与したかを書く
セキュリティ業務は「脅威の検知(SOC・監視)」「インシデント対応(CSIRT・フォレンジック)」「防御・設計(セキュリティアーキテクチャ・設定)」「改善・診断(脆弱性診断・ペネトレーションテスト・GRC)」の4フェーズに大別されます。自分がどのフェーズを中心に担ってきたかを明確に書きましょう。
ポイント③:資格・CTF・セキュリティコミュニティへの関与を明記する
CISSP・CISM・CEH・OSCP・CompTIA Security+・情報処理技術者(情報セキュリティスペシャリスト・セキュリティ管理士)・AWS Security Specialty・CTF参加・OWASP活動などの資格と実績は、セキュリティエンジニアとして差別化できる重要なアピールポイントです。
セキュリティエンジニアならではの悩みに答える
「守秘義務があってインシデントの詳細を書けないとき、どうすればいい?」
クライアント名・具体的な攻撃者情報・脆弱性の詳細内容は伏せて構いません。「大手金融機関向けのSOC運用支援(監視対象エンドポイント約5,000台)」「製造業クライアント向けのWebアプリケーション脆弱性診断(年間約20件実施)」のように、業種・規模・業務の種類・件数で代替することで採用担当者には十分伝わります。
「インフラエンジニア・SIerからセキュリティエンジニアへの転職で、セキュリティ専門経験が少ない場合は?」
インフラ・SIerでの「ネットワーク・サーバー・クラウドの深い知識」は、セキュリティエンジニアとして非常に高く評価される基礎です。「インフラの深い知識を持ちながら、セキュリティの観点で守れる人材」として自己PRするとともに、CTFへの参加・セキュリティ資格の取得・個人での脆弱性診断学習など、セキュリティへの自己研鑽を積極的にアピールしましょう。
例文
例①:SOCアナリスト・セキュリティ運用担当(経験3年・若手)
セキュリティベンダー(従業員数約200名)にて、企業向けSOCサービスのアナリストとして勤務。複数クライアント(製造・金融・流通業)のSIEM監視・インシデント対応・フォレンジック調査を担当。
【業務内容】
・SIEMプラットフォーム(Splunk・Microsoft Sentinel)を使ったセキュリティイベントの監視・トリアージ
・月平均約600件のアラートのトリアージ・優先度判断・報告書作成
・インシデント対応(フォレンジック調査・原因特定・封じ込め・報告)
・脅威インテリジェンス(OSINT・IOC)の収集・分析・クライアントへの情報提供
・セキュリティルール(SIEMのユースケース)の作成・チューニング
・クライアント向けの月次セキュリティレポートの作成
【実績】
・月平均600件のアラートトリアージを担当し、実際のインシデントエスカレーション判断の精度を維持(誤検知率:約8%以下を継続)
・インシデント対応を年間約40件担当(マルウェア感染・フィッシング・不審な通信の調査・封じ込め)
・SIEMのユースケース(検知ルール)を15件新規作成し、検知率を従来比約30%向上させた
・フォレンジック調査で不審なC2通信を発見し、APT攻撃の初期段階を早期に特定した実績あり
【主な取り組み】
SIEMのアラート精度向上には、誤検知の多いルールを「False Positiveリスト」として整理し、チューニングの優先順位をつけて月次で改善する習慣をつくった。15件のユースケース新規作成では、MITRE ATT&CKフレームワークの各戦術(Lateral Movement・Credential Dumping・Exfiltration)に対応する検知ルールを優先的に整備した。インシデント対応では「検知→トリアージ→エスカレーション→封じ込め→報告」の標準手順書(プレイブック)を担当チームと共同で整備し、対応時間の短縮に貢献した。
自己PRでのアピールポイント
Splunk・Microsoft SentinelをはじめとするSIEMツールの実運用経験と、年間約40件のインシデント対応経験がある。MITRE ATT&CKを活用した検知ルールの設計と脅威インテリジェンスの活用力を次の職場でも発揮したい。
例②:脆弱性診断・ペネトレーションテスト担当(経験6年・中堅)
セキュリティ専門会社(従業員数約150名)にて、Webアプリケーション・ネットワーク・スマートフォンアプリの脆弱性診断・ペネトレーションテストを担当。年間約50件の診断を実施。診断チーム5名のリーダーも担当。
【業務内容】
・Webアプリケーション脆弱性診断(OWASP Top 10・ビジネスロジック診断)
・ネットワーク脆弱性診断(外部・内部)・ペネトレーションテスト
・スマートフォンアプリ(iOS・Android)の診断
・診断ツール:Burp Suite Pro・Nessus・Nmap・Metasploit・Kali Linux
・診断報告書の作成・クライアントへのリスク説明・改善提案
・診断チーム5名のリーダー(スケジュール管理・品質レビュー・新人育成)
【実績】
・年間約50件の脆弱性診断を実施(Webアプリ約30件・ネットワーク約15件・スマートフォン約5件)
・診断で発見した重大・高リスク脆弱性:年間約120件(SQLインジェクション・認証バイパス・SSRF・RCEなど)
・ペネトレーションテストで実際のシステム侵入に成功した実績あり(クライアントの事前承認を得た演習)
・診断チームの品質向上施策として「診断手順の標準化」を主導し、ジュニア診断員が独り立ちするまでの期間を6ヶ月から3ヶ月に短縮
・Bug Bountyプログラムで重大脆弱性を2件報告・承認済み
【主な取り組み】
重大脆弱性の発見率を高めるために、標準的な診断ツールに加えて「業種・システム特有のビジネスロジックの脆弱性」に注目する診断アプローチを習慣化した。金融系クライアントでは認可制御・取引ロジックの検証を、EC系クライアントでは在庫操作・価格改ざんの可否を重点的に確認するなど、システムの特性に合わせた診断設計を心がけた。チームの品質向上のために「セカンドオピニオン制度」(別の診断員が診断結果を再確認)を導入し、見落としを防ぐ体制を整えた。
自己PRでのアピールポイント
年間50件の脆弱性診断実績とペネトレーションテスト経験・チームリーダー経験を持つ。MITRE ATT&CK・OWASPを活用した攻撃者視点の診断アプローチと、クライアントへのリスク説明力が強みであり、次の職場でも攻撃側の視点でセキュリティ強化に貢献したい。
例③:CISOオフィス・セキュリティ統括(経験13年・ベテラン)
東証プライム上場の総合商社(従業員数約5,000名・グループ会社国内外30社)のCISOオフィスとして勤務。セキュリティチーム10名のマネジメントと、全社サイバーセキュリティ戦略の立案・推進を担当。
【業務内容】
・全社サイバーセキュリティ戦略の立案・ロードマップ策定・取締役会への報告
・セキュリティチーム10名のマネジメント(SOC・CSIRT・GRC・教育の各機能を統括)
・グループ全社のセキュリティポリシー・標準の策定・展開
・サイバーインシデント発生時の危機対応統括・経営陣への報告
・ゼロトラストアーキテクチャへの移行プロジェクトの統括
・外部監査・規制対応(個人情報保護法・改正サイバーセキュリティ基本法)の統括
【実績】
・ゼロトラストアーキテクチャへの移行を主導し、3年間でセキュリティインシデントによる業務停止リスクを大幅に低減(インシデントによる業務影響件数を年間15件から3件に削減)
・全社セキュリティ教育プログラムを刷新し、フィッシングメールのクリック率を3年間で23%から4%に削減
・SOCの内製化により、外部委託費を年間約8,000万円削減しながらインシデント検知・対応の速度を向上
・グループ全社30社へのセキュリティ基準の展開を主導し、ISO 27001認証を本社・主要子会社5社で取得
【主な取り組み】
ゼロトラスト移行は「一度に全部変える」ではなく「リスクの高い領域から段階的に移行する」アプローチを採用した。初年度はIDaaS(Microsoft Azure AD)の導入と多要素認証(MFA)の全社展開を最優先とし、認証起点での侵害リスクを最初に低減した。フィッシング対策では、定期的な標的型メール訓練を実施しながら「クリックしてしまった社員を責めず、学ぶ機会にする」文化づくりを徹底したことで、報告率と意識の向上につながった。SOCの内製化では、優秀なセキュリティエンジニアの採用・育成に注力し、外部依存から自社の専門チームへの移行を2年かけて実現した。
自己PRでのアピールポイント
セキュリティの技術実務からCISOオフィスとしての戦略立案・組織マネジメント・経営陣との連携まで幅広く担ってきた。「技術と経営をつなぐCISO視点」と「組織全体のセキュリティ文化を変える推進力」を持ち、次の職場でもCISO・セキュリティ責任者として貢献したい。
書き方ステップ
① これまでの担当領域(SOC・CSIRT・脆弱性診断・GRCなど)と組織規模をすべて書き出す
② 数字になるものを探す(アラートトリアージ件数・インシデント対応件数・脆弱性診断件数・発見した脆弱性の件数・セキュリティ教育の受講者数など守秘義務に触れない範囲で概数で書く)
③ 業務内容・実績・主な取り組みの3ブロックに分けて整理する(業務内容は「何をどんな組織規模で担ったか」、実績は「件数・検知率・削減効果の数字」、主な取り組みは「どんな手法・アプローチで成果を出したか」)
④ 応募先のセキュリティニーズ・求める人物像に合わせてアピール軸を絞り込む(SOC・CSIRTなら「脅威検知・インシデント対応の実績」、脆弱性診断なら「診断件数・発見実績・ツール」、CISO系なら「戦略立案・組織マネジメント・GRC」を前面に出す)
NG例 → 改善例|通らない書き方の直し方
失敗①:「守秘義務があるため書けない」という記述
失敗②:技術スタックの羅列で終わっている
失敗③:実対応経験が一切書かれていない
失敗④:資格・CTFの記載がない
経験年数別アドバイス
経験3年未満(若手・担当者)
「担当したセキュリティ領域(SOC・脆弱性診断など)・使用ツール・実対応件数」が評価のポイントです。インシデント対応や脆弱性診断の実績が少なくても、「CTFでの実践経験」「Bug Bountyプログラムへの参加」「個人でのセキュリティ学習・ラボ環境構築」などを書くことで、技術への積極的な姿勢が伝わります。
経験3〜10年(中堅・専門担当)
「専門領域での実対応件数・脆弱性発見実績・ツールの深い活用経験」と「後輩育成・チームへの貢献」が評価の軸になります。「MITRE ATT&CKを活用した脅威分析」「ゼロデイ脆弱性の発見・報告」「セキュリティアーキテクチャの設計経験」など、より高度な専門性をアピールしましょう。
経験10年以上(ベテラン・リーダー層)
CISOオフィス・セキュリティ組織のマネジメント・セキュリティ戦略の立案・経営陣との連携が最大のアピールポイントです。「チーム人数・インシデント削減効果・コスト削減・ISO 27001取得の主導」など、組織全体のセキュリティ力を高めてきた実績を中心に書きましょう。
よくある質問
Q. OSCPやCISSPなどの資格はセキュリティエンジニアの転職で有利ですか?
OSCPは攻撃系(ペネトレーションテスト・レッドチーム)の実力証明として最高評価の資格の一つです。CISSPはセキュリティ管理・GRC・CISO系のポジションで特に高く評価されます。保有資格は必ずスキル欄に記載しましょう。
Q. CTFの参加実績は職務経歴書に書いていいですか?
積極的に書くべきです。CTFへの参加は「実践的な攻撃技術の理解」「セキュリティへの主体的な学習姿勢」の証明になります。大会名・参加カテゴリ・成績(上位○%・入賞など)を記載しましょう。
Q. Bug Bountyプログラムでの脆弱性発見実績は書いていいですか?
積極的に書くべきです。HackerOne・Bugcrowd・IPA届出などでの脆弱性報告・承認実績は、実際の脆弱性診断能力の強力な証明になります。報告した脆弱性の種類・件数・プログラム名を記載しましょう。
Q. インフラエンジニアからセキュリティエンジニアへの転職で気をつけることはありますか?
インフラの深い知識はセキュリティの土台として高く評価されます。セキュリティへの自己研鑽(CTF・資格取得・脆弱性診断の学習)と「なぜセキュリティに転向したいか」の明確な動機を自己PR欄に書くことが重要です。
Q. 職務経歴書はA4何枚が適切ですか?
セキュリティエンジニアは技術スキルのリストが多くなりがちなため、2〜3枚が目安です。スキルシートを別添で作成し、本文では「実際に使って成果を出した業務」を優先して記載しましょう。
まとめ
- 採用担当者は「担当領域・組織規模・実対応件数・使用ツールと成果」をセットで見ている
- 「守秘義務で書けない」ではなく、業種・規模・件数など書ける情報を最大限に書く
- 技術スタックは「何に使ったか・どんな成果が出たか」とセットで書く
- 資格(OSCP・CISSP・情報処理安全確保支援士)・CTF実績・Bug Bounty実績は積極的に記載する
- 経験年数に応じて「実対応件数・ツール活用」「専門領域の深さ・育成経験」「CISO視点・組織マネジメント」を使い分ける
- NG例に共通するのは「守秘義務を理由に何も書かない・ツールの羅列・実対応なし」の3パターン
セキュリティエンジニアの経験は正しく書けば必ず評価されます。まずは担当してきた領域・インシデント対応件数・脆弱性診断の実施件数を書き出すところから始めてみてください。
人事・採用担当として1,000名以上の面接、30社の採用支援に携わった経験をもとに、職務経歴書の作成代行・添削を行っています。
採用側での経験をもとに、評価される書類づくりをサポートしています。「経験はあるのに書類で落ちる」という方に特に支持をいただいています。
これまでのご支援数は370名以上。製造・IT・金融・医療・サービス業など、幅広い業界・職種に対応しております。
職務経歴書の書き方にお悩みの方は、お気軽にご相談ください!
