30代IRの職務経歴書|差がつく書き方と実例
ショクレキ代行
ショクレキ代行
20代セキュリティエンジニアの職務経歴書|差がつく書き方と実例
ショクレキ代行
📌 この記事でわかること
- 20代セキュリティエンジニアが採用担当者に評価される職務経歴書の書き方
- 経験が浅くても「即戦力候補」として見せる方法
- 担当領域(SOC・脆弱性診断・セキュリティ監査・SIEM運用)別の伝え方
- 取得資格・対応件数・改善実績を数字で書くコツ
- 経験年数別(1〜2年・3〜4年・5年前後)の書き方の違い
- NG例・改善例つきで今日から使える例文
「SOC運用やセキュリティ監査で実務経験を積んできたのに、職務経歴書に何を書けばいいかわからない」「資格は持っているがアピールできているか不安」20代セキュリティエンジニアの転職活動でよく聞く悩みです。
20代セキュリティエンジニアの転職市場では「経験の深さ」より「対応量とスピード」「最新脅威・AI攻撃への適応力」「他チームと協働する素地」が評価されます。多くの20代が「重大インシデント経験がない」「設計経験が浅い」と思い込み、自分を過小評価した職務経歴書を書いてしまっています。
採用担当者が20代セキュリティエンジニアに期待しているのは「完成された専門家」ではありません。「対応量と学習スピード」「SIEM・EDR・脆弱性診断ツールへの適応力」「インシデント分析の論理性」です。この3点を職務経歴書で伝えられれば、経験が浅くても十分に評価されます。
目次
採用担当は何を見ている?
20代セキュリティエンジニアの採用担当者が職務経歴書で確認しているのは、主に次の3点です。
| 観点 | 内容 |
| 担当領域と対応件数 | SOC運用(アラート分析・インシデント対応)、脆弱性診断、セキュリティ監査、SIEM運用、EDR運用などの担当領域と、月間・年間の対応件数を確認している。「月間アラート分析約500件」「年間脆弱性診断約30件」のような具体的な数字が判断材料になる |
| 使用ツールと習熟度 | Splunk・Elastic Security・Microsoft Sentinel・CrowdStrike・SentinelOne・Burp Suite・OWASP ZAP・Nessus・Tenable などのツール経験を確認している。「業務日常使用」「個人検証」「学習中」を分けて書ける具体性が評価される |
| 取得資格と業務での活用 | CompTIA Security+・CEH・情報セキュリティマネジメント・情報処理安全確保支援士・CISSP(補佐レベル)などの資格と、実務でどう活かしているかを確認している |
よくある失敗(書類が通らない人に共通する3つのパターン)
パターン①:「セキュリティ運用を担当」で終わっている
「自社のセキュリティ運用を担当してきました」という記述では、採用担当者には何も伝わりません。担当領域(SOC・脆弱性診断・監査)、扱ったログ量、対応件数、使用ツールが書かれて初めて評価材料になります。
パターン②:使用ツールを並べるだけで習熟度が伝わらない
「Splunk・CrowdStrike・Burp Suite・Nessus 使用経験あり」と並べるだけでは、どのツールをどう使えるかが判断できません。「Splunk(業務日常使用、相関ルール作成・ダッシュボード設計)」「CrowdStrike Falcon(EDRアラート分析・端末隔離対応)」のように、ツールごとに業務での使い方を書くことが重要です。
パターン③:インシデント対応・分析プロセスが書かれていない
20代セキュリティエンジニアで最も差がつくのは「対応した件数」より「どう分析・対応したか」です。「アラートに対応した」だけでなく「アラート発生時、関連ログ(プロキシ・EDR・認証ログ)を相関分析し、脅威スコアの高いアラートから優先対応する手順を整備。月間トリアージ時間を約40%短縮」のような分析プロセスが書けるかが評価の分かれ目です。
書き方のポイント|20代セキュリティエンジニアならではの伝え方
ポイント①:担当領域と対応規模を冒頭に明記する
「BtoB SaaS企業(従業員約300名・サーバー約120台)のSOCチームに所属。Splunk によるSIEM運用とCrowdStrike Falcon によるEDRアラート対応を担当。月間アラート分析約500件・インシデント対応月平均15件」のように、担当領域と対応規模を冒頭に書くことで業務のスケール感がつかめます。
ポイント②:使用ツールと業務での使い方をセットで書く
SIEM(Splunk・Elastic Security・Microsoft Sentinel)、EDR(CrowdStrike・SentinelOne・Microsoft Defender)、脆弱性診断(Burp Suite・OWASP ZAP・Nessus・Tenable)、IDS/IPS、ログ管理ツールなどを、業務での使い方とセットで書きましょう。
ポイント③:取得資格と業務での活用を書く
CompTIA Security+・CEH(認定倫理ハッカー)・情報セキュリティマネジメント試験・情報処理安全確保支援士・AWS Security Specialty などの資格を、取得時期と業務での活用方法とセットで書きましょう。「情報処理安全確保支援士(2024年取得)→ 社内のセキュリティ監査対応で活用」のような書き方が効果的です。
20代セキュリティエンジニアならではの悩みに答える
「重大インシデント対応経験がない場合、どうアピールすればいい」
重大インシデント経験は必ずしも必要ではありません。「日常運用での予防的対応」「軽微インシデントの早期検知・封じ込め」を書きましょう。「不審ログイン試行を早期検知し、対象アカウントの即時無効化により実害ゼロで対応」「フィッシングメール検知ルール改善で月間検知数を120件→320件に拡大」のように、予防・早期発見の実績を強調することで評価されます。
「AI時代のセキュリティ脅威への対応をどう書けばいい」
AI関連の脅威(プロンプトインジェクション・AI生成フィッシング・ディープフェイク・AI生成マルウェア)への学習姿勢は積極的に書きましょう。「AI を悪用した攻撃手法に関する社内勉強会を月1回開催」「OWASP LLM Top 10 を学習し、社内AI導入時のセキュリティチェックリストを整備」のような取り組みが評価されます。
例文
例①:BtoB SaaS・SOCアナリスト(経験1年半・第二新卒)
従業員数約300名のBtoB SaaS企業のSOCチームに所属。Splunk(SIEM)・CrowdStrike Falcon(EDR)を中心とした運用と、月次の脆弱性管理を担当。
【業務内容】
・Splunk によるSIEM運用・アラート分析(月間約500件)
・CrowdStrike Falcon によるEDRアラート対応・端末隔離(月平均15件)
・月次脆弱性スキャン(Nessus)と対応優先度の付与
・フィッシングメール対応・社員向けセキュリティ教育の運営補助
・月次セキュリティレポート作成・経営層への報告補助
【実績】
・月間アラート分析件数:約500件(うち重大度Highの一次対応 月平均15件)
・アラートトリアージ時間:従来比40%短縮(相関ルール改善による)
・フィッシングメール検知数:月間120件 → 320件に拡大(検知ルール強化)
・重大インシデント発生ゼロを1年半維持
・取得資格:情報セキュリティマネジメント(2023年)・CompTIA Security+(2024年)
【主な取り組み】
入社初期はアラートの一次対応で精一杯だったが、Splunkの相関ルール改善に取り組むことでトリアージの効率を大幅に向上させた。具体的には「同一IPからの認証失敗→正常ログイン→管理者権限操作」のような攻撃シナリオに沿った相関ルールを整備。誤検知を減らしながら本物の攻撃を見逃さない仕組みを作った。フィッシングメール対応では、添付ファイルとURLパターンの分析から検知ルールを継続的に更新。社員教育とも連動させたことで、報告される疑わしいメールが大幅に増えた。
自己PRでのアピールポイント
SOCアナリストとして「アラート分析の高速化」と「予防的セキュリティ運用」を1年半で実行してきた経験を持つ。Splunk・CrowdStrike Falcon の実務経験と情報セキュリティマネジメント・CompTIA Security+ の資格を組み合わせて、次の職場でもSOC運用の効率化と早期検知に貢献したい。
例②:脆弱性診断・ペンテスター(経験3年・中堅手前)
従業員数約80名のセキュリティ専門会社にて、Webアプリケーション・ネットワーク・モバイルアプリの脆弱性診断を担当。年間担当案件数は約40件。
【業務内容】
・Webアプリケーション脆弱性診断(Burp Suite・OWASP ZAP)
・ネットワーク脆弱性診断(Nessus・Tenable)
・モバイルアプリ診断(Android・iOS)
・ペネトレーションテスト(年間8件程度・社内シニアと協働)
・診断レポート作成・クライアントへの報告会・改善提案
【実績】
・担当診断案件数:3年間で計100件以上(うちWeb約65件・ネットワーク約25件・モバイル約10件)
・クライアント満足度評価(社内アンケート):平均4.7/5.0
・検出した重大脆弱性:累計約180件(Critical・High)
・取得資格:CEH(2023年)・OSCP(2024年)・情報処理安全確保支援士(2024年)
・業界カンファレンスでの発表:直近2年で2回
【主な取り組み】
脆弱性診断で重要なのは「検出能力」と「報告品質」の両立だった。検出能力ではOWASP Top 10 を超えた攻撃パターン(ビジネスロジック脆弱性・複合的な攻撃チェーン)の発見に注力。報告品質では「再現手順の明確化」「リスクレベル判定の根拠提示」「具体的な改善提案」の3点を徹底し、クライアントが対応しやすいレポートを目指した。直近では AI を悪用した攻撃手法(プロンプトインジェクション・AIエージェントの権限濫用)の検証も開始し、社内ナレッジ共有を主導している。
自己PRでのアピールポイント
Web・ネットワーク・モバイルの3領域での脆弱性診断経験と、CEH・OSCP・情報処理安全確保支援士の資格保有が強み。「ビジネスロジック脆弱性の検出」と「クライアントが対応しやすいレポート作成」を意識して動くスタイルで、次の職場でも脆弱性診断の質と量の両立に貢献したい。
例③:CSIRT・サブリーダー候補(経験5年・20代後半)
従業員数約500名の事業会社にて、社内CSIRTのメンバーとして勤務。3年目からサブリーダーとして後輩2名の指導も担当。
【業務内容】
・インシデント対応のリード(過去3年で重大インシデント対応6件)
・セキュリティ監査対応(SOC2 Type II・ISO 27001)
・後輩CSIRTメンバー2名のOJT指導・コードレビュー
・経営層への月次セキュリティ報告
・セキュリティ教育プログラムの設計・運営
【実績】
・重大インシデント対応:3年間で6件(うち全件を72時間以内に封じ込め完了)
・セキュリティ監査:SOC2 Type II 取得をリード・3年連続更新
・後輩2名の育成:両名がインシデント一次対応を独立してできるレベルに成長
・セキュリティ教育プログラム:年間8回実施・受講後テストの平均点を65点→88点に改善
・取得資格:CISSP(2024年)・情報処理安全確保支援士(2022年)・GIAC GCIH(2023年)
【主な取り組み】
CSIRTサブリーダーとして「インシデント対応の標準化」と「予防的セキュリティ文化の醸成」に注力した。インシデント対応では、過去事例を分析した上で「発生〜検知〜封じ込め〜根絶〜復旧〜事後分析」の各フェーズで使うランブックを整備。これにより誰が一次対応してもブレない品質を確保した。SOC2 Type II 取得では、各部門との合意形成を慎重に進め、運用の負荷増加を最小限に抑えながら基準を満たす設計を行った。AIセキュリティ対応では、社内のAI活用ガイドライン整備を主導し、プロンプトインジェクション対策やAI生成コードのレビュープロセスを設計した。
自己PRでのアピールポイント
CSIRTサブリーダーとして「インシデント対応の標準化」「予防的セキュリティ文化の醸成」「AI時代の新しい脅威への対応」を5年間追求してきた経験を持つ。次の職場でもCSIRT組織の立ち上げ・強化に貢献したい。
書き方ステップ
① 担当領域と対応規模を書き出す
SOC運用・脆弱性診断・セキュリティ監査・CSIRT・SIEM運用などの担当領域と、月間・年間の対応件数を書き出します。セキュリティ職のスケール感の起点になります。
② 数字を3軸で探す
対応量(アラート件数・インシデント件数・診断案件数)、改善(誤検知削減率・検知ルール強化数・トリアージ時間短縮)、教育・予防(セキュリティ教育受講者数・予防策の効果)の3軸で数字を探します。
③ 使用ツールと使い方をセットで整理する
SIEM・EDR・脆弱性診断・脅威インテリジェンス・ログ管理ツールなど、業務で使ったツールを「どう使ったか」とセットで書き出します。
④ 取得資格と業務での活用を書く
CompTIA Security+・CEH・OSCP・情報セキュリティマネジメント・情報処理安全確保支援士・CISSP・AWS Security Specialty・GIAC各種などの資格を、取得時期と業務での活用方法とセットで書きましょう。
⑤ インシデント・診断対応プロセスを1〜2件詳しく書く
「どんな状況で」「どう分析・対応したか」「結果どうなったか」のサイクルを1〜2件詳しく書き出します。20代の再現性を示す核心部分です。
NG例 → 改善例|通らない書き方の直し方
失敗①:担当業務の抽象的な記述
失敗②:ツール使用の羅列
失敗③:分析プロセスが見えない
失敗④:AI時代の脅威への対応が書かれていない
経験年数別アドバイス
経験1〜2年(第二新卒・若手)
「対応件数」と「資格取得・学習継続」が最大のアピールポイントです。大きな実績がなくても「月間アラート分析○件」「年間インシデント対応○件」「Security+ 取得」など、行動量と学習姿勢を具体的に書きましょう。
経験3〜4年(中堅手前)
「複数領域の経験」「重大インシデント対応の実績」「セキュリティ監査対応経験」が評価の軸になります。日常運用に加えて、「セキュリティルールの設計・改善」を書くことで差別化できます。
経験5年前後(20代後半)
「サブリーダー・チームリードとしての実績」「CSIRT・脆弱性管理プログラム運用」「セキュリティ監査リード」が評価の軸になります。30代に近づくにつれ「個人対応の成果」より「チーム成果・仕組み化」が求められ始めます。
よくある質問
Q. SOC運用から脆弱性診断・ペンテスターへの転換は可能ですか?
可能です。SOC で培った「攻撃手法の理解」「ログ分析能力」は脆弱性診断でも強みになります。CEH・OSCP の取得と、TryHackMe・Hack The Box でのハンズオン経験を職務経歴書に記載しましょう。
Q. 重大インシデント経験がないと転職は不利ですか?
不利ではありません。「予防的対応・早期検知の実績」を中心に書くことで十分にアピールできます。むしろ「重大インシデントを起こさせない運用」は採用担当者に好まれます。
Q. AIセキュリティへの対応はどこまで書けばいいですか?
学習レベルでも書く価値があります。「OWASP LLM Top 10 を学習中」「プロンプトインジェクション対策の社内チェックリストを整備」などの取り組みを書きましょう。AI関連の脅威への意識は今後ますます重要になります。
Q. 資格は取得済みのものをすべて書くべきですか?
セキュリティ関連の主要資格(CompTIA Security+・CEH・OSCP・情報セキュリティマネジメント・情報処理安全確保支援士・CISSP・各種GIAC)は取得時期とセットで書きましょう。古すぎる資格や応募職種と関連性が低いものは省略しても構いません。
Q. 職務経歴書はA4何枚が適切ですか?
1〜2枚が目安です。担当領域・対応件数・使用ツール・取得資格など20代セキュリティエンジニアならではの情報を優先して記載しましょう。
まとめ
- 採用担当者は20代セキュリティエンジニアに「対応量と学習スピード」「資格取得姿勢」を求めている
- 担当領域と対応規模(月間アラート件数・年間インシデント件数)を冒頭に明記する
- 使用ツールは「使用経験あり」ではなく「何をどう使ったか」で書く
- 取得資格と業務での活用方法をセットで記載する
- インシデント対応・分析プロセスを1〜2件詳しく書く
- AI時代の新しい脅威(プロンプトインジェクション・AI生成フィッシング)への学習姿勢を書く
20代セキュリティエンジニアの経験は「対応量と分析プロセス」として必ず評価されます。まずは担当領域・対応件数・使用ツール・取得資格を書き出すところから始めてみてください。
人事・採用担当として1,000名以上の面接、30社の採用支援に携わった経験をもとに、職務経歴書の作成代行・添削を行っています。
採用側での経験をもとに、評価される書類づくりをサポートしています。「経験はあるのに書類で落ちる」という方に特に支持をいただいています。
これまでのご支援数は370名以上。製造・IT・金融・医療・サービス業など、幅広い業界・職種に対応しております。
職務経歴書の書き方にお悩みの方は、お気軽にご相談ください!
