セキュリティ人材を探すときにやってはいけないこと

セキュリティ人材が不足している。だが、不足しているのには採用側にも理由があった。どうすれば人材を確保できるのだろうか。

[Sue Poremba，Cybersecurity Dive]

　サイバーセキュリティの人材は世界的に不足している。サイバーセキュリティの専門家向けのトレーニングを手掛ける非営利団体(ISC)2が発表した調査によれば、サイバーセキュリティ分野の求人は世界で340万件を超える（注1）。

　サイバーセキュリティに携わる専門家のうち70％が、サイバー攻撃から組織を守るために十分な人材を確保できていないと感じている。

有望な人材を排除する傾向のあるサイバーセキュリティ業界

　サイバーセキュリティの専門家を採用する際、多くの組織は結果的に人材不足につながる基準を知らず知らずのうちに作り上げてしまっている。

　例えばエントリーレベルの職種を採用する際、ニーズに対する能力やスキルを持つ人材を探すことから始めるのは当然のことだろう。だが実際はそうなっていない。サイバーセキュリティとは無関係の特定のスキルや5年以上の経験に重点を置くことが多い。これのような障壁が業界全体に広がっている。

典型的な「専門家像」から外れていると働きにくい

　この現象はサイバーセキュリティ分野において性別の不均衡が存在する理由の一つでもある。冒頭で取り上げた、世界のサイバー技術者1万1779人を対象にした「(ISC)2 2022 Cybersecurity Workforce Study」の調査結果によればサイバーセキュリティ分野では女性の占める割合が少ないことが分かった。30歳未満では女性が30％を占めるが、30〜38歳の場合は24％まで落ちる。39歳以上ではその差はさらに大きくなり、女性の占める割合は10％台前半まで下がる。

　女性は求人に応募する前にブロックされてしまうことが多い。技術職、非技術職を問わず、他の仕事で身に付けたサイバーセキュリティに必要なスキルセットを持っていても、求人内容に記された（不必要に）厳格な資格要件に適合しない場合があるからだ。

　半導体メーカーNVIDIAのショーン・リチャードソン氏（サイバーセキュリティオペレーションのシニアマネージャー）は、「求人情報に掲げられた資格要件に対して能力が技術的に十分ではないと言われた」と語る。

　「これは採用担当者が知っている『細かい物事』を私は知らないという意味だと学んだ。私はコーダーやハッカーではなかったため、（サイバーセキュリティの専門家になるために）自身のスキルセットをどのように活用すれば良いのを理解するまで時間がかかった」（リチャードソン氏）

　リチャードソン氏が実際に持っていたスキルに対する「尊重」が面接者に欠けていたというエピソードは特別なものではない。2023年に発表されたWomen in Cybersecurity（以下、WiCyS）の調査でも複数の事例がある（注2）。

　この調査の参加者によると、クライアントから「IT部門の男性に話を聞きたい」と言われて否定される場面があったという。また、自分のアイデアがチームの男性のものになったり、対等に扱われなかったりする状況もあったようだ。

　「私は、多くの男性同僚と比べて自分自身の能力を『証明』しなければならなかった。男性の同僚が自分自身の役割を分かっていると見なされているところで、私は自らもサイバーセキュリティの専門家だということを示すために、さらに努力しなければならないと感じた」（リチャードソン氏）

仕事のライフサイクル全体から排除されてしまう

　National Cybersecurity Allianceのリサ・プラグマイヤー氏（エグゼクティブディレクター）によれば、サイバーセキュリティ部門ではダイバーシティー（多様性）とインクルージョン（需要）の面で進歩しているにもかかわらず、男性中心の組織文化が今も機能している。

　「採用担当者になった時点でポジションにふさわしいスキルセットを持たない人があまりにも多い」とプラグマイヤー氏は言う。そのような採用担当者はソフトスキルよりも技術的なスキルで評価されてきたため、（ソフトスキルを見抜くことが必要とされる）採用面接を進める準備ができていない。

　「同じ性別、同じ技術スキル、同じ学術的背景の人々とだけ話をすることがデフォルトになっている」とプラグマイヤー氏は言う。これにより、特に典型的な教育や技術の道から外れてサイバーセキュリティの業界に参加した女性が排除されてしまう。

　さらに採用されても昇進するのは難しい。WiCySの報告によると、女性の勤続年数が長いほど排除のレベルが高まるため、サイバーセキュリティ業界において「ガラスの天井」が現実のものとなっている。

　Drivenのリズ・ジャルアゲ氏（シニアセキュリティエンジニア）は「これまで私が自分の給与を増やす唯一の方法は転職だけだった」と述べた。

それでも未来は明るい

　現在のポジションに到達するまでの戦いはあったにせよ、女性にとって業界全体の状況は良くなっている。

　サイバーセキュリティ業界における女性の進出が進んでいるように見えるのは、業界が協調性や人的ネットワーク形成といったスキルを必要としているからであり、これらの領域では女性が特に秀でているためだとプラグマイヤー氏は指摘する。

　また、Women in Cybersecurity、Executive Women’s Forum、Minorities in Cybersecurity、Empow(H)er Cybersecurityなどの組織は、女性が採用プロセスやその他の障壁を乗り越える支援をしている。こうした背景から、シャルアゲ氏は業界における女性の将来について楽観的だという。

　「サイバーセキュリティは幅が広い分野だ。多くの人々は偶然にサイバーセキュリティの仕事に就くことになったのであり、必ずしもコンピュータサイエンスや情報技術を学んだわけではない。あなたに学ぶ意欲があれば、コミュニティーの誰かが助けてくれるだろう」（シャルアゲ氏）

出典：Women in cybersecurity still fight for inclusion despite the talent shortage（Cybersecurity Dive）

注1：(ISC)2 CYBERSECURITY WORKFORCE STUDY（(ISC)2）

注2：EXECUTIVE SUMMARY:THE STATE OF INCLUSION OF WOMEN IN CYBERSECURITY（Aleria）