大きな区分で言うとおよそインフラ系になるので（アプリ開発でもなければデータベースでもないので）、イメージ的には、セキュリティに強みを持つインフラエンジニアや技術コンサルなどでしょうか。それぞれ事業会社やコンサルァームで必要とされそうなポジションですが、なかなか見当たらですかね。それと以前、警察系組織でホワイトハッカー募集みたいな情報は見かけたことあります。

いくつかのJTC・メガベンチャーのCSIRT経験者です

セキュリティ界隈はインターネット業界と似ていてwinner takes allの世界です

技術的な専門性の高い職、というと例えば脆弱性診断やレッドチームなどが挙げられますが、それもそれぞれ自分で未知の脆弱性を発見して活用できるレベルの最上位層のことであって、その他大勢はその知識を多かれ少なかれ活用する仕事です

極論すると、技術が必要なポジションというのは特定の分野を指すのではなく、それぞれの分野の最上位層のことを指すといえます

ただしそれらの専門家が一般企業の防衛を司るCSIRT職員としても有能かというと微妙で、CSIRTに求められるのは社内特有の事情やインフラ、開発など隣接領域も含めたセキュリティのゼネラリスト的な知識と経験であり、一般企業では一番必要とされるけど育成が非常に困難、他所のCSIRTから引き抜くしかない、という課題でいつも難儀しています

専門家は特定の一企業で常時必要になるケースは稀なので、セキュリティ企業に所属してもらって必要な時だけ外部委託という棲み分けになっています

私の専門分野ではありませんが、コンサルでもセキュリティ支援の一つとしてペンテストはやってますね。

高度なスキルが求められるので誰でも出来るわけではなく、そのような専門人材はファーム内でも重宝されている印象です。

セキュリティベンダに勤めています。

・デジタルフォレンジック（=インシデントレスポンスサービス）については、大体どこのベンダでも提供していると思います。痕跡を収集・閲覧するのに独自のツールを使うことはありますが、解析には100%フォレンジックの技術が必要なので、市場を渡り歩くスキルはつきますよ。ベンダだと封じ込め根絶も自社製品を使ってできるので、インシデントレスポンスの旗振りに関してもコンサルに比べてやりやすい印象です。ポジションに関してもインシデントレスポンス専用のチームがどこもあると思います。

・ペネとレーションテストについては、ベンダよりもコンサルが実施することが主流だと思います（一部ベンダでも提供してますが）。私はIRとペンテ両方経験しましたが、ペンテの方が楽しくはありますw

ただ、IRもペンテ両方とも、脅威の知見とお客様の運用実態がもろに分かるポジションなので、今後セキュリティの分野でキャリアを深めていくにはかなり良いポジションだと思いますよ。

日本企業だと難しいと思いますが、外資系であれば普通にあると思います。

Xのセキュリティエンジニアっぽい人達は、大半が脆弱性診断やSOCの監視メンバーが多い気がしますが、その層と交流してても高度なロールに採用されるとか無いと思います。