tl;dr

• 就職活動はここ数年でも大きく変化しているから、その変化を知っている人の話・Web記事を信用してね
• 求職者のスキルやキャリア像によって、就職に適している情報は全く異なるしエントリー選択も異なるよ
  • 新卒/既卒就活で求められるスキルの違い
  • メンバーシップ型/ジョブ型の採用形態違い
• NFLabs. も夏インターンやるので、皆さんからのご応募ドシドシお待ちしております!!
  • 2023/08/10 までエントリー受付中です
  • https://job.rikunabi.com/2025/company/r280282062/internship/?isc=r21rcna00261

はじめに

あらためまして、ソリューション事業部に所属している @strinsert1Na って人です。普段はマルウェア解析なんかをやっているエンジニアのはずなのですが、最近は会社説明会やらOB訪問やらの採用イベントばかりに出ているので人事の回しものかもしれません。

さて、就職関連イベントに出る機会が増えると、もちろん就職に関する質問をいただく機会もすごく増えます。筆者はあくまで「エンジニア目線で仕事やキャリアなどについてお話しする」というロールで同席することが多いのですが、やはり求職者からは「一般的な就職活動における質問」も目立ちます。
筆者自身、就活をしていたのははるか7年ほど前なので調べながら回答することもままあるのですが、情報として間違ってはいないけれども求職者にマッチしていない就活情報を見ている方やそもそも新卒就活を誤解されている方もいらっしゃいました。

いただいた質問のなかで「うーん回答が微妙だったかなぁ」と思うようなものは後日先輩に相談するのですが、「キミ就活生にアドバイスする立場だったらそういう大事なコトを伝えるのが仕事じゃないの??」とダメ出しを受けたこともあったため、後日あらためて調査した内容をもとに筆者なりの回答をここに残します。もし筆者と会話をして中途半端な回答しか得られなかった方がこの記事を見ているならば、追加情報として参考にしていただけると幸いです。

なお、本記事は採用現場の一部に顔を出すエンジニア個人の主観が大いに含まれるものであり、これを見れば内定が手に入るといった攻略記事ではありません。また、暗にエントリーを促すステマでもありません。(何人応募が来ても筆者にインセンティブは1円も入りません。) 変化の激しい就活の情報戦の中で、皆さんのエントリーやキャリア形成、および読者各々に適した就活情報の見極めの一助になれば幸い、という駄文です。どうぞよろしくお願いします。

• tl;dr
• はじめに
• 就職活動の変化 (「OB・OG に聞いたんですけど～」系のはなし)
• 新卒と既卒、あるいは求められるスキル(「現在の専門は違うんですけどセキュリティで働けます?～」系のはなし)
  • 企業が求めるスキルセット
• メンバーシップとジョブ型採用、採用形態の変化 (「エントリー方式いっぱいあるんですけど、おすすめある?」系のはなし)
  • エントリーしてdocomo, NFLabs.でセキュリティやるには?
• セキュリティのおしごと! (「私が話している内容ってアピール/他の就活生との差別化になっていますか?」系のはなし)
  • 余談: ChatGPT はエントリーシート/面接を上手に評価できるか
• おわりに

就職活動の変化 (「OB・OG に聞いたんですけど～」系のはなし)

さて、2023年度が始まってまだ三ヶ月ですが、2025卒採用が激化してきましたね。
......この時点で(?)となった方は、新卒就活事情に取り残されている可能性が高そうです。ちなみに、筆者も対応当初は「え? なんで学部3年/修士1年になったばかりの学生さんがこんなに聞きに来るの? 今の主戦場は学部4年/修士2年では??」とか思っていました。
これについてはリクルートの一組織「就職みらい研究所」が公開している『就職白書2023』*1にてすでにデータとして表れています。P.5 にある「就職活動の開始時期」を確認すると、2022年卒では卒業前年の6月以前から就活を始めた学生は 27.0% でしたが、2023年卒の時点で 42.4% まで上昇しているようです。

動きが速いですよね。そして、2025年卒採用からはさらに大きな変化がありました。それは、「経団所属企業の就活ルールが改訂され、採用直結インターンシップが可能となった」という点です。
www.asahi.com

これがどれほど影響を与えているかはわかりませんが、現実として企業・就活生双方ともに動きが非常に早くなっており、2025卒採用に至ってはもう前年6月時点で就活をしていない人のほうが少数派になるのではないかと思われます。ちなみに筆者が就活をしていた2018年卒の時期の場合、前年の6月以前から会社説明会などに参加していた人の割合は全体の10%*2を下回る程度でした。

最初期は卒業の1年10か月前からOB訪問や説明会にきてくれた人に対して「この時期から始めるなんて意識高いねー」なんて感情が筆者の中で少し芽生えましたが、この考えが出てくる時点でもうお爺ちゃんです。しかしここで問題になってくるのは、すべてのOB・OGが必ずしも最新の就活事情や人事に精通しているとも限らない点です。OB・OGの一部は「あくまで現場で活躍している一社員」というかたちで参加している場合もあるため、自社で行われる採用活動の変化を全く調べてきていないという人もいます。そのため、「あー弊社は冬インターンが本番だからそれまでは大丈夫」とか「就活なんて本気にならなくても実績さえあれば内定もらえる」のような少々昔のスケジュール感でのアドバイスを送ってくれる人もいるようです。(弊社の場合、夏インターンは短期のみで冬からが本番というのは過去の話です。)

しかし、ジョブ型採用などはそのジョブ(ポスト)に採用枠が数名と決まっているので、夏インターンの直接採用で枠が埋まれば後半は非常に厳しい椅子取りゲームとなるのは当たり前です。(下手したら、もうポストが埋まっているということもあるかもしれません。)「経団連所属企業は動きが遅い」というのはもう過去の話なので、OB・OGの話やよくわからないWebサイトの記事、口コミを信じ込みすぎないようにしましょう。正確なところは企業ごとに異なるので、きちんと企業の説明会に顔を出し、不明点は人事担当者に直接質問をしてみることをおすすめします。

新卒と既卒、あるいは求められるスキル(「現在の専門は違うんですけどセキュリティで働けます?～」系のはなし)

これに付随する質問はめちゃくちゃ多いです。例えば、以下のような内容ですね。

単刀直入に書くと、文系だろうがプログラミング経験がなかろうが、弊社のセキュリティの現場でバリバリ働くことはできます。以下のような具体例があります。

ではここに挙げたエンジニアはどのようにして入社したかというと、すべてが新卒での"ポテンシャル採用"です。セキュリティエンジニアのキャリアについてインターネットで調べると、確かにバイトでの就労体験や資格の話をしているWebサイトは検索上位にポツポツ出てきます。しかし、これは既卒(転職)向けの内容が混じった話です。就職活動はざっくり2つにわけると、以下の2タイプに分かれると思います。

そして、それぞれによって重視される項目は異なります。新卒採用では多くの場合"ポテンシャル"が、一方で既卒採用の場合"即戦力"が重視されます。
そのため、既卒就活の場で「現在の専門は違うんですけどセキュリティで働けます?」と聞かれると、「これまでの経験にもよるが、基本的には厳しいのではないか」と回答すると思います。そもそも既卒採用の場合、募集要項で「経験年数n年以上」と書かれている場合が多いためわかりやすいでしょう。今回は新卒就活を対象にしているため既卒採用については割愛しますが、「ネットワークをやっていた → ネットワーク関連のセキュリティ」のような隣の畑に移るくらいがよくあるケースではないかという感想です。

企業が求めるスキルセット

では、新卒就活の場合どうなっているかというと、この募集要項が非常に緩く設定されていると思われます。(セキュリティエンジニアの求職だと、「大卒理系」程度。)
これは現在の専門性ではなく、将来性のある学生を見極めて育成をするという前提で行われる採用であるため、その学生のもつ基礎能力の高さや心意気が重視されるわけです。
じゃあ実際にどんなものが評価されるのかというと、これも就活白書2023に書かれているのでデータを見てみましょう。下図の左側が、企業側が採用で重視する項目ですね。

• 1位: 人柄
• 2位: 企業への熱意
• 3位: 今後の可能性
• 4位: 性格適性検査の結果
• 5位: 基礎学力
• 6位: 能力適性検査の結果

上位6項目は、順位まで含めて筆者が就活をしていたころと全く変わりませんでした。求職者の能力を大きくわける指標として「ソフト/ハード/メタスキル」というものがありますが、1~6位に該当する項目を当てはめると、おそらく「ソフトスキル」と「メタスキル」という言葉になるのではないかなと思います。

• ハードスキル: 業務遂行における専門的なスキル (ツールに関する知識、プログラミング言語の習得、資格など)
• ソフトスキル: 業務遂行における非専門的なスキル (ロジカルシンキング、コミュニケーション、チームワークといった社会人基礎力)
• メタスキル: スキルを習得そのものに関わるスキル (学習速度、スキルの熟練度、物事に取り組む姿勢)

就活生の多くが「社会人基礎力」という文字列を見て(うわぁ......)と感じたかと思いますが、実はこれ、社会人になっても一生付きまとってきます。特に弊社のような大企業に入ると半期ごとに自身の目標設定と評価シートを記入するのですが、社会人基礎力に対する項目のものがいっぱいあります。自分はいつも「苦しい......」と唸りながら目標を書いているのですが、裏を返せば社会人になって使われる評価指標が採用活動で考慮されないわけがありません。社会人になる前哨戦だと思って、今のうちに自身のソフトスキルを文章でアピールする練習台としてください。*3

特に人柄などのソフトスキル関連について、「陰キャは不利じゃん!!」と思った方は人柄の解釈を誤解されている可能性があります。様々な組織でのエンジニア採用回りの記事でその重要性が書かれているので、簡単に調べてみましょう。多くの組織では「個ではなくチームでバリューを出す」ことに重点を置いている以上、メンバーときちんとコミュニケーションをとれたり全体にバフをかけてドライブできるような人材を求めていることがわかると思います。特に弊社の人事は優秀なので、ブリリアントジャーク的な個人のスキルは高くても全体にデバフかける振る舞いが目立つような人材はほぼ採用しません。チーム活動で苦労した点などを聞かれて、「チームメンバーのあいつらが悪くて足引っ張ったけど、俺の力で全部何とかしたで」といった返答をすると、例え事実だとしても印象が悪くなるでしょう。下記で引用させていただいているツイートが、その一例ですね。

Netflixのカルチャーでお馴染みの「有能だけど有害な人」＝ブリリアントジャーク問題について、見極め方法・チェックポイントは画像に書いた3つくらいあると思ってます。

ただ、"誰の心にもひっそりと存在してるもの"なので、採用の見極めというか、まず自問自答する方が先かなと思ってます。 pic.twitter.com/ggQIPZei05

— さかいふうた (@fuuuuuta21) 2022年10月17日

そして多くの学生さんが心配して質問するのはハードスキルの部分ですが、グラフを見てわかるとおり、資格で16%, プログラミング経験で6%程度とこれを重視する企業は少なめです。筆者もセキュリティに関する資格は持っていませんでしたが、就職活動では特に苦労しませんでした。大企業の場合、専門資格は会社が費用含めてサポートしてくれる場合が多いので、必須要件などに入っていなければ無理して取得する必要はないと思います。むしろ資格を取得したという結果よりも、「どのような課題感でそれを取得しようと考えたのか」「取得した結果何を得た(学んだ)のか」ということをきちんと言語化して説明できることのほうが大切ではないかと筆者は考察しています。なぜなら、大企業の人事担当者はセキュリティの専門家ではなく、「〇〇を取得しました」だけでセキュリティ以外のその他の資格や、別の活動(例えば、学会発表やHackathonでの入賞経験など)と並列して価値を評価することは難しいからです。その資格を取得することでどんなことができるようになって、ひいては会社にとってどんなうれしいことをもたらすかを論理的に説明して初めて評価されるというのは、採用のみならず仕事でも同じかなと思います。

メンバーシップとジョブ型採用、採用形態の変化 (「エントリー方式いっぱいあるんですけど、おすすめある?」系のはなし)

さて、先ほどまで筆者は新卒採用において資格不要論を出しました。しかしながら、新卒採用で資格を求められる割合は少しずつ増えているように思われます。現に筆者が就職活動をしていた2018卒の場合、資格取得を重視する企業は全体の8.3%であり、現在の16%と比較すると約2倍に伸びています。筆者は詳細な理由まで知っているわけではありませんが、資格が重視されるようになった理由の一つに採用形態の多様化によるジョブ型採用の増加があると考えています。

ジョブ型採用とはいわゆるポジションで募集をかける採用方式であり、従来のポテンシャル採用の代表であったメンバーシップ型採用と違い入社後のキャリアがかなり明確に決まっています。前者が専門職種採用、後者が総合職採用と表現した方がわかりやすいかもしれませんね。特に大企業のような様々な部署・部門がある企業に総合職で入社した場合、どうしても配属ガチャの壁が立ちはだかります。弊社の場合なるべく希望に沿うよう人事の方々が配慮してくれますが、完全に希望通りになるとは限らないためファーストキャリアの時点で失敗するというケースも少なからず存在するでしょう。しかし、専門職種採用ならば配属ガチャなしで募集されていたポストに配属されるため、やりたいことがほぼ必ずできて思い描いていたキャリアも形成しやすいです。しかしながら、ポストで採用するわけですからもちろん総合職採用よりもスキルや専門性が求められます。その専門性を図るための一つの手段が、資格であるという予想です。

しかしながら、資格取得にはお金も時間もかかります。例えばOffsec.関連資格の場合だと、学生という短い期間に十数万円と数か月の投資が必要になりますが、所属している研究室や経済事情によっては厳しいでしょう。たしかに学生時代にOSCPや情報処理安全確保支援士を取得すればジョブ型採用でのアピールポイントとなりますが、専門性をアピールする題材は資格以外でも全く問題ありません。例えば、「研究を頑張ってCFP通しました」「Hackathonでソフトウェア作って入賞しました」などです。あくまでポテンシャル採用ですので、求職者の能力がそのポストで十分活躍しうるということを述べていただけるだけで十分専門職種でも採用されうると思います。*4特にエンジニアの採用では、他業界と異なり業務遂行上必須となるような資格が求められるケースはレアなので、資格を持っていなければポストに就けないという企業はさほど多くないと推察しています。

エンジニア視点だとジョブ型採用のメリットは非常に大きく感じるかもしれませんが、もちろんデメリットもあります。例えば、「キャリアプランを変更したい」と思っても総合職と違いポストで採用されているため、変更が難しいという点が挙げられるでしょう。「この会社にいる以上は〇〇でずっと食べてい行くぞ!!」という強いビジョンがあり興味が移ろいにくい性格の方には向いているかもしれませんが、そうでない人には無難にメンバーシップ型で応募するほうが賢明ではないか、と筆者は無責任に考えます。なんだかんだ人間は変化する生き物で、エンジニアやめてコンサルやってみたら以外とそっちのほうが合っていたという方もいますし、家族ができて仕事に対する価値観ややりたいポストが変わったという方も見ました。弊社のような大規模なグループ企業の場合、やりたいと思ったことが部署移動という低リスクな行動でできるというのも大きなメリットかなと考えていますし、現にこの強みを活かしながらキャリア形成をしている方もいらっしゃいます。なので最終的には、現在皆さんが思い描いているキャリアプランや理想の働き方に沿ったものを選んでいただければと思います。そのプランの話については、次項で簡単に記述します。

セキュリティのおしごと! (「私が話している内容ってアピール/他の就活生との差別化になっていますか?」系のはなし)

以前学生さんから「やっぱり学生時代にセキュリティやっている人のほうが有利なんですよね?」という質問を受けたことがあります。筆者としては学生時代にセキュリティをやっていたかどうかで評価したことはないのですが、やはり傾向を見るとセキュリティエンジニアは学生時代もセキュリティに関わる何かをやっていたという人が多いと感じます。これには研究室にOB・OGがいるといった有利がもちろん関与しているとは思いますが、どちらかというと対話をしていて「業界分析と自己理解ができている」人が学生時代からセキュリティをやっていた人に多いということが起因しているのではないかというのが筆者の考えです。

もう少し具体化すると、"セキュリティ"というあまりにもデカい主語を業界分析の結果からより具体的な業務内容に落として、それを自身の経験・強みと結びつけられているかどうかが決定的に違うと思います。例えば、志望動機を尋ねた結果、冒頭で以下のような返答をした事例を想定してみてください。

近年のランサムウェア侵害に関わるニュースを見て、セキュリティに関心を持ちその重大さを知った
私はセキュリティに力を入れている御社の一員となって、一人でも多くの人をサイバー犯罪から救いたい

たしかに、筋は通っているようには聞こえると思います。しかしながら、この志望動機を聞いたセキュリティ従事者はおそらく次のように返答するのではないのでしょうか?

「サイバー犯罪の被害を防ぐために、具体的にどんなことをしたい? 脆弱性を探して指摘する人になりたい? それともセキュアな運用を推進する人になりたい? ネットワークやエンドポイントログから脅威を検知できるようにしたい? 問題が発生したときにレスキューしたい? ...(続く)」

この返答に対して、「自分が具体的にどんなことをやりたいのかとそれを裏付けるエピソード(強み)」を打ち返せるかがまず重要です。これの答えにどもってしまうと、「求職者がどのようなことに興味があるのか」「どのような適性があるのか」といった、企業が最も重視する項目である「人柄」ひいては「今後の可能性」を評価することができません。また、求職者のやりたいことがその会社でもできるような環境でなければ「なぜここにきたのか案件」になってしまうので、2番目に重視される「企業への熱意」への一貫性をとろうとするならば自身のやりたいことと企業側でできることも一致している必要があります。そしてさらに、ポテンシャル採用である以上やりたいことに対する適正も図られるでしょう。大企業の場合、選考の序盤で性格適性検査を受け、その性格適性があなたのやりたいことにマッチしているかも総合的に評価します。(現に、性格適性検査の結果は4番目に重視されていますね。)

つまりまとめると、これらの「性格適性検査 + あなたのやりたいこと、できること(人柄) + やりたいことができることを裏付ける強み(今後の可能性) + それがその会社で実現できる(企業への熱意)」が一貫して論理的に述べられていることによって「この人なら活躍してくれそう!!」と評価しやすくなるわけです。
......はい、ある程度業界を知っていて、かつ何でもいいからセキュリティに関する経験をしていて自分の興味に対する理解ができていなければ、こんなの一貫できないですよね。なので、一般的にはセキュリティを学生時代からやっていた人のほうが有利となります。

しかし、きちんと業界分析をしてペルソナを作れば、セキュリティ未経験者でも十分アピールはできる範疇ではあると筆者は考察しています。
「セキュリティ知らないのに具体例あげるのは難しい......」と思われる方もいらっしゃるかもしれませんが、業界分析の過程で、具体的な仕事例の中から最も興味のあるものを2、3程度調べていただけるだけで十分です。たとえば、サイバーセキュリティに関わる具体的なお仕事については、SANS さんが代表的な20個のキャリアをあげてくれているのでここから選んでみましょう。

【SANSがおすすめするサイバーセキュリティの仕事20選】
今回紹介 #セキュリティアーキテクト は、企業のディフェンスを俯瞰的に見て、あらゆる層でセキュリティ対策を行います。ビジネス面と技術面を考慮し、組織のセキュリティを実装します。

詳細はこちら👇https://t.co/YaOidXNAXj pic.twitter.com/9ehyJo1139

— SANS Japan (@SANS_JAPAN) 2023年7月4日

あとは、このお仕事を具体的に調査して特に重点的に求められるソフトスキルをピックアップし、自身のこれまでの経験からアピールできそうなものを当てはめていくようなイメージです。将来的にセキュリティやってみたいなぁ～と考えている方なら楽しくできると思うので、あとの細かい部分は会社説明会での質問などで具体化してください。もし苦行だという方はセキュリティのおしごと向いていない可能性があるので別の分野を探すか、「就活は茶番劇」と割り切って作業することをおすすめします。

余談: ChatGPT はエントリーシート/面接を上手に評価できるか

昨年末に ChatGPT (GPT-3.5) のサービスがリリースされ、多くの方がAIという強力な加護を気軽に利用できるようになりました。一部では「エントリーシートがAIだけで生成される可能性がある」といった危惧もあるようですが、せっかくなので就職活動にも有効活用してみようということで筆者も求職者目線でいくつか実験をしてみました。試した実験は「筆者がここまで書いてきた背景を考慮しながら、 ChatGPT はエントリーシートや面談を適切に評価できるのか」というものです。結論から言うと、プロンプトエンジニアリングをしっかり行えば、GPT-3.5 でも上記の背景情報を汲みながらアピールポイントの添削をすることは可能でした。しかしながら、プロンプトエンジニアリングが不十分であったり背景情報を全く入力しないと、ChatGPT は当たり障りのない回答しか行ってくれません。例えば、「エントリーシートを評価してください」だけの要求では、新卒や既卒・採用形態がすべて入り混じったカオスな状態でフィードバックをしてくれます。正直なところ、この内容を真に受けても何の改善にもなりません。

その一方で、筆者がこれまで述べた「これから新卒採用の面接官になってください。重視する項目は～です。」「メンバーシップ型採用なので特にソフト/メタスキルを重視し、ハードスキルが書かれている場合、それに対する課題発見や問題解決に対する考え方を評価してください。」「私の性格適性検査の結果は～です。」といった設定を数十行にわたって説明すれば、ある程度は大企業の面接官に沿ったフィードバックを返すことができます。つまり ChatGPT にエントリーシート/面接をうまく評価してもらうためには、利用者側が企業の評価基準や採用形態の背景、自己分析結果をきちんと理解して ChatGPT 側に設定しなければなりません。しかしながら、これを適切に設定できる就活生の方はわざわざ ChatGPT に頼らなくても就職活動をきちんと理解している方なので、どうも「鶏が先か、卵が先か問題」が発生しているようにも感じます。AIやWebサービスが発展し就職活動に使える便利なツールも増えましたが、これらを使いこなせるのは適切な情報の収集と取捨選択ができる人だけですね。*6

おわりに

筆者が今年度もらった就活関連の質問で気になったものを、データを交えながらなるべく丁寧に回答してみました。就職活動やキャリアパスに悩んでいる方、筆者に質問してくれたけれども回答がよくわからなかった方の一助になっていれば幸いでございます。なお、本記事で言及した内容はあくまで日本の伝統的な大企業に入社してセキュリティに関するお仕事をしたい一般人の、選考序盤～中盤までの動きを想定して記述しています。ベンチャーやセキュリティを専門にやっている企業ではもちろん選考基準が異なる可能性がありますし、選考が終盤になれば重役クラスの人が介入するため、より視座の高い視点から見て話した内容*7がその人の心に刺さるかなどの運要素も強くなってきます。本記事を含めて特定の情報を過信しすぎず、あくまで自分のキャリアを形成するための一つの参考資料程度で見てください。

そして最後に宣伝ですが、NFLabs. でもこの夏インターンシップをやります!! 2023/08/10 までエントリーを受けてつけていますので、ご興味がある方はぜひぜひ応募してください。
job.rikunabi.com

また、採用に関する最新情報は随時Twitterにてお知らせします。エントリーを考えている方に有益な情報も流れると思いますので、フォローをよろしくお願いします！！
https://twitter.com/NFLaboratories

それでは、今度こそ技術系の記事でお会いしましょう👋