“初心者”のセキュリティ人材を採用すべき理由 判断基準と即戦力化のコツは？

サイバーセキュリティ関連職の需要はこの12カ月間で43％も増加し、多くの企業がサイバーセキュリティの採用ポストを埋められないでいる。その解決策は、エントリーレベルの人材の採用や社内異動にある。その判断基準や即戦力化のコツとは。

[Brian Eastwood，Cybersecurity Dive]

　CyberSeekの最近の分析によると、サイバーセキュリティに携わる人がよく知るように「採用市場でサイバー人材の需要が急激に高まっている」ことが確認された。

　2021年の4月から翌年の4月までの12カ月間に、米国企業によるおよそ71万5000のサイバーセキュリティの仕事が掲載された。サイバーセキュリティ関連職の需要は、この12カ月間で43％増加したのに対し、他の職の市場の伸び率は18％だった。

　アメリカ国立標準技術研究所（NIST）が米国の労働機会を追跡するために開発したサイトであるCyberseek（注2）を支えるパートナーの一つであるLightcastのウィル・マーコウ氏（人材・応用研究担当バイスプレジデント）は「この増加率はこれまでで最速の部類に入る。2022年の最初の4カ月間で、各月に追跡した求人の最多記録で前月の記録を更新した」と話す。

　しかし高い需要には代償が伴う。マーコウ氏によれば、サイバーセキュリティの採用ポストを埋めるためにかかる時間は、他のIT関連の仕事よりも21％長く、サイバーセキュリティの給与はIT関連の給与よりも10％高い。サイバーセキュリティ人材不足が報告されていないのは、メイン州とワイオミング州の2州だけだ。

　「100件の求人が出されるごとに、それを埋める人材は66人しかいない。つまり、サイバーセキュリティの戦場では、3分の1の兵力が傍観している状態なのだ」とマーコウ氏は言う。

企業の死角にいる“セキュリティ人材”を調達する方法

　多くの企業が、サイバーセキュリティの採用ポストを埋められない理由として人材不足（注3）を挙げている。しかし問題の大部分は、採用担当者が自分たちが見つけられる以上のものを探していることにあるのかもしれない。

　ISACA（注4）による「サイバーセキュリティの現状」という分析レポート（注5）によると、60％以上の企業がサイバーセキュリティ職を充足できておらず、チームの人員も不足していることが示されている。

　調査対象となったサイバーセキュリティの専門家の半数以上が挙げたスキルギャップのトップは「問題解決」「批判的思考」「コミュニケーション」などのソフトスキルだ。しかし、候補者が適任かどうかを判断するのに使われる要因のトップは、「サイバーセキュリティの実務経験」「資格」と続く。

　ISACA Emerging Trends Working Groupのメンバーであり、Tiro Securityのジェナイ・マリンコヴィッチ氏（仮想CISO／CTO）は、「100万近い求人があるのに、若手を積極的に採用しようとしない」と述べる。

　理屈では、この戦略は理にかなっている。サイバー脅威が拡大し続け、政府機関や顧客の間でサイバーセキュリティの実践に対する監視の目が厳しくなる中、わずか数カ月の経験しかない人材に貴重なデジタル資産の保護を任せようとする企業はほとんどないと、マーコウ氏は述べる。しかし、こうした採用方法は「職務経歴書の乱用」につながってしまうと（ISC）2のCISO（最高情報セキュリティ責任者）であるジョン・フランス氏は言う

　例えば、エントリーレベルの人材を採用する場合に「CISSP」（Certified Information Systems Security Professional）の資格が必要になる場合がある。これは、5年間の業界経験とCISSP試験の合格が必要だ。

　「シニアレベルのユニコーンを求めて激しい競争が繰り広げられているが、そのような厳しい市場だからこそ、エントリーレベルの人材と経験豊富な人材をバランスよく採用する必要がある」とフランス氏は話す。

エントリーレベルに求めるべきスキルや資格は？

　応募資格としてベテランのスキルを求めるのは非現実的だ。(ISC)2 の「サイバーセキュリティ採用ガイド」（注6）によれば、米国のサイバーセキュリティ専門家の約62％が4年未満の経験しかないことが分かった。

　また、過去12カ月間に米国で出されたサイバーセキュリティ関連の求人情報には、CISSPの資格を求めるものが13万7000件以上あったと、マーコウ氏はCyberseekのデータを引用して述べる。しかし、同時期に資格を取得したのは9万5000人未満だ。

　「要求するスキルセットや資格について慎重に考えることは非常に有益だ。多様な経験や学歴を持つ人材を受け入れるために、採用の門戸を広げる必要がある。企業は少なくとも学士号を持つ人がサイバーセキュリティの職に就くことを望んでいるが、次の人材を4年も待つわけにはいかない」（マーコウ氏）

　マリンコヴィッチ氏も同様に、「学位を要求する雇用主は減ってきているが、そのバイアスはなかなか切り離せない。サイバーセキュリティは考え方が一辺倒になりがちだ」と話す。

　このニーズに応えるアプローチの一つが、エントリーレベルの認定資格だ。(ISC)2 は、学生だけでなく、他の業界からサイバーセキュリティに参入しようとしている人たちも対象に、このようなプログラムを試験的に導入している（注7）。

　「他の分野にも目を向け、転職に興味のある人を引きつけなければならない。サイバーセキュリティの新人は、必ずしも若いということではない」とフランス氏は言う。

　マリンコヴィッチ氏は、GRC for Intelligent Ecosystems（GRCIE）（注8）のエグゼクティブディレクターの仕事を通じて、十分なサービスを受けていない地域の女性やマイノリティー、その他の人々がサイバーセキュリティの初級職に就くための6カ月のコースを開発した。

　トレーニングでは、技術的なスキル（特にリスク評価や規制の枠組み）と、コミュニケーションや紛争解決などのソフトスキルの両方に重点を置いている。

エントリーレベルの人材をスピーディーに実務に投入する方法

　OJT（実地訓練）は重要だが過小評価されている。(ISC)2 の調査によれば、企業の約3分の2が、サイバーセキュリティ人材が一人前になるまでに9カ月かかると考えている。

　多くの管理職にとって、それはあまりにも長い。マリンコヴィッチ氏は「時には体を張って試行錯誤しなければならないこともある。誰かが仕事をできるようになるまでに少なくとも6カ月かかり、既にスキル不足で悩みながら週に100時間働いているところに、新しく誰かを投入すれば、作業効率に影響が出るだろう」と述べる。

　新しいサイバーセキュリティ専門家の学習曲線を短縮するために、移行可能なスキルを持つ社内候補者に注目する企業の傾向をマーコウ氏は見てきた。そうすれば、サイバーセキュリティの職務に就くために必要なのは、「ラストマイル」のトレーニングだけだ。

　そのような社内候補者は、会社のテクノロジースタックと企業文化を既に知っている。

　「これは、企業が人材のパイプラインを拡大するために非常に有効な方法だ。従業員の流動性を高めることでリテンションを促進し、応募者プールの多様性を高める効果的な方法だ」とマーコウ氏は言う。

　さらに同氏は、ITプロジェクトマネジャーやソフトウェアエンジニアがソフトウェア開発サイクルの中に積極的にセキュリティを組み込むことを奨励するなど、企業がサイバーセキュリティのタスクを「分割」していることを目の当たりにしてきた。

　「セキュリティが日常業務に組み込まれると企業全体のセキュリティが向上し、サイバーセキュリティのスキルを持った人材プールがさらに構築される」とマーコウ氏は話す。

（出典）As cyber talent demand heats up, hiring managers should shift expectations（Cybersecurity Dive）

注1　Cybersecurity Hiring Momentum Ramps Up, New Data from CyberSeek™ Reveals

注2　Cyberseek

注3　Companies are investing in security operations but limited by talent gaps

注4　情報システム、情報セキュリティ、ITガバナンス、リスク管理、情報システム監査、情報セキュリティ監査等、情報通信技術専門家の国際的団体

注5　What’s the Current State of Cybersecurity？

注6　Cybersecurity Hiring Guide

注7　Introducing your ultimate starting point for an exciting career — Certified in Cybersecurity℠

注8　GRC for Intelligent Ecosystems （GRCIE）