不足するセキュリティ人材、新人を募集する以外に方法はないのか

サイバーセキュリティを担う人材が不足している。募集しても獲得できない。さらにサイバーセキュリティに興味を持つ学生が増えない。どうすればよいのだろうか。

[Sue Poremba，Cybersecurity Dive]

　(ISC)2の「2022年労働力調査」によると（注1）、世界でサイバーセキュリティに携わる人員は470万人に拡大し、過去最高水準に達した。これは心強いニュースだ。

　しかし、同調査では依然として340万人以上のセキュリティの専門家が必要だ。2021年の数値と比較すると、26％以上増加した。なお、2021年の調査（注2）にあったサイバーセキュリティの求人職種の数が2年間で実際に減少した傾向を逆転させる傾向だ。

セキュリティ人材難は続くのか

　この傾向は2023年も続くのだろうか。それとも、2022年の傾向は単なる一過性のものだったのだろうか。

　認証サービスなどを手掛けるOneSpanのキャロライン・ヴィニョレ氏（研究開発担当シニアバイスプレジデント）は、「サイバーセキュリティの人材不足は2023年も継続的な課題だ」と述べる。

　現在のセキュリティ状態と望ましい状態との間のセキュリティギャップが残っている上に、核となる問題も変わっていない。攻撃の脅威が進化し、検知と防御がより困難な状況にある中、サイバーセキュリティに対する需要はかつてないほど高まっている。しかし、即戦力となる潜在的労働力は需要に追い付いていない。

若い人材が不足している理由

　これは主に、サイバーセキュリティの求人市場に参入する若者の関心が低いことが原因だ。

　「長年にわたり、サイバーセキュリティ業界で働くことは残念ながら好ましくない経験と位置付けられてきた。その結果、若い世代はあまり興味を示さなくなった」（ヴィニョレ氏）

　組織のサイバー防御能力を評価するHorizon3aiのテイラー・エリス氏（顧客脅威アナリスト）は、今日の大学生や新卒者の関心が低いのは、STEM（科学、技術、工学、数学）分野のカリキュラムが十分ではないためだと述べる。

　数学や科学の十分なスキルを備えていない現役学生や元学生が多過ぎる、とエリス氏は言う。サイバーセキュリティのキャリアに導く可能性のある技術系の上級プログラムの受講資格を得ることができないのだ。

　「人材不足を解消するための主な問題はサイバー専門家の採用よりも、むしろスキルに関連していると多くの管理職が報告している」（エリス氏）

人材を募集するか、育てるか

　サイバーセキュリティの人材を採用する企業の多くは、ユニコーン（適切なスキルや資格、経験を持つ応募者）を求めている。だが、技術的なスキルは教えれば身に付くものだと理解することが重要だ。

　サイバーセキュリティの人材を募集している企業が応募者個人に対して注目すべきなのは、教室での教育ではなく、自然に身に付く「ソフトスキル」だ。

　「企業がサイバーセキュリティ体制を継続的に強化するために必要なのは、テクニカルスキルとソフトスキルの組み合わせということが多い」（エリス氏）

　サイバー業界ではテクニカルスキルとソフトスキルの組み合わせによる高い適応力が重要だ。あるニッチな分野で才能を発揮しても、技術の進歩に伴い、いずれは新しい職務を担うことが求められるようになるのだ。

　例えば、新入社員はクラウドセキュリティの経験を持っているかもしれないが、クラウドでの作業は人工知能やブロックチェーン、IoTなどの分野に急速に広がっている。

　「サイバーセキュリティの職種を募集する際、企業は技術的な問題を扱う個人の適応力や柔軟性のレベルについて考えることが重要だ」（エリス氏）

　マネジャーや他のソースの両方から学ぶ姿勢と意欲を持った人材を求めるべきだ。そのためには、独学で技術を習得した経験（独学が最も価値がある場合が多い）や、問題解決や試行錯誤に秀でた人材を採用することが必要だ。

　企業レベルでも教育レベルでも、狭い範囲の学歴を備えた候補者だけに注目している限り、若い人材をこの分野に引き込むことは難しい。

追い付かない大学の教育内容

　多くの企業が現在の従業員を訓練してサイバーセキュリティの役割を担わせるために内部に目を向け始めているが、大学はより大きな人材不足に対処しなければならないだろう。問題は、サイバーセキュリティが比較的新しい分野であり、新しいカリキュラムに関して高等教育が進化するのが遅いことだ。

　サイバーセキュリティとIT人材開発プラットフォームを手掛けるCybraryのウィル・カールソン氏（コンテンツ担当シニアディレクター）は、「大学は研究と厳密さの上に成り立っている」と述べる。そのため、サイバーセキュリティのような新しい分野にモデルを適用することが難しい場合がある。

　大学にはもう一つ問題が立ちはだかっている。サイバーセキュリティを学生に教える意思と能力のある大学教授が不足しているのだ。

　「過去10年間の給与の競争的上昇により、多くの有能なサイバー専門家は、（民間企業で勤務後に）大学で夜間教えるよりも、フルタイムで働くことを希望している」（エリス氏）

　しかし希望は見えている。サイバーセキュリティに特化したコースを設置する大学が増えており、サイバーセキュリティの専門家の中には、たとえパートタイムであっても教えることで業界内での個人の評判が向上し、より良い機会につながる可能性があることを認識している人が増えている。

　大学は企業と提携しており、学生は現実的なサイバーセキュリティの環境で技術的なスキルを実践できる。このような実践的な経験は、学生を助けて、企業が欲しがる人材をより多く排出することにつながる。米連邦政府は、2022年の初めにホワイトハウスで開催された「the National Cyber Workforce and Education Summit（全米サイバー人材・教育サミット）」（注3）のような措置を講じている。

　しかし、これらの取り組みが根付くには時間がかかる。

　「私の予測は外れるかもしれないが、2023年にスキルギャップが（これ以上広がらず）横ばいであれば幸運だと思う」（カールソン氏）

出典：The cybersecurity talent shortage: The outlook for 2023（Cybersecurity Dive）

注1：(ISC)2 2022 Cybersecurity Workforce Study

注2：(ISC)2 Cybersecurity Workforce Study Sheds New Light on Global Talent Demand Amid a Lingering Pandemic

注3：FACT SHEET: National Cyber Workforce and Education Summit