人材の多様性とセキュリティ強化の関係とは？ 多くの企業が見落としている対策

サイバーセキュリティはビジネスで最も重要な課題の一つになった。サイバー犯罪はとどまるところを知らず、被害が増え続けている。だが、人材が足りない。どこからどのような人材を探せばよいのだろうか。

[MK Palmore，Cybersecurity Dive]

　あらゆる規模の企業や政府に対するサイバー攻撃が続いており、サイバーセキュリティの重要性が、世界的に最重要課題として認識されている。

　セキュリティ業界の非営利団体であるISC(2) が発表した調査によると（注1）、世界のサイバーセキュリティ人材は、過去1年間に46万4000人増えたものの、依然として340万人以上不足している。サイバーセキュリティは、企業が取り組まなければならない最も重要な課題だが、人材は不足している。

人材不足に対処し、新しい解決策を見つけるには

　人材が不足しているのであれば、これまでとは違う方法を採るべきだろう。

　この課題のどう対処すればよいのだろうか。一つの解決策はDEI（Diversity：多様性、Equity：公平性、Inclusion：包括性）を重視して、企業のセキュリティ態勢にどのように良い影響があるのかをよく考えることだ。

　技術分野の多様性を積極的に追い求める業界関係者がいる一方で、セキュリティチームの大多数は、DEIをないがしろにしている。Aspen Instituteが公開した調査結果によると（注2）、サイバーセキュリティの従事者のうち、ヒスパニック系はわずか4％、黒人系は9％、女性は24％と偏っている。サイバーセキュリティの全体像は、最終的にはそれを実行し、変革できる多様で熟練した労働力を持つかどうかに左右される。

　CISO（最高情報セキュリティ責任者）は2023年の目標達成に向けて、チームの多様性を高め、未開拓の人材にアプローチする新たな方法を見いだすことを優先すべきだ。

サイバーセキュリティでなぜDEIが重要なのか

　ソフトウェアサプライチェーンのセキュリティは、依然として国家安全保障上の重要なリスクだ（注3）。ランサムウェアのような金銭的動機による攻撃は長年にわたって研究され、記録されてきた（注4）。分散型サービス拒否（DDoS）攻撃は頻度と規模が増した。

　攻撃者はサイバー衛生の不備をついて行動し、ソーシャルエンジニアリングを用いて人間の脆弱（ぜいじゃく）性を常に利用している（注5）。

　サイバーセキュリティ業界全体にこれらの問題が重要だという共通認識があるものの、過去数十年にわたり解決策が変わっていない。凝り固まっている。

　これが、サイバーセキュリティにおける多様性が非常に重要な理由だ。CISOにとってはサイバーセキュリティの問題はサイロ化している。これを止めて多様な視点を取り入れることによって、より創造的な解決策が得られる可能性を考えなければならない。

　異なる考え方をする人材がいれば、高度なサイバー脅威を緩和するための新しく優れた解決策が得られる。セキュリティの世界では、明確な解決策がない複雑な問題に対応しなければならないことがよくある。サイバーセキュリティにおける多様性の問題に取り組むことは、セキュリティそのものを次のステージに進めることにつながるのだ。

　サイバー攻撃の頻度と複雑さが増す中、企業は新たな脅威を検知し、防御するためのユニークなアイデアを必要としている。企業は一歩先を行くために、従来とは異なる才能を持つ人材を採用する必要がある。

　このような人材は新しいアイデアと解決策をもたらす。異なる背景を持つ人々の視点を取り入れることは、企業が将来の脅威を予測し、準備するための解決策を立て、大規模な攻撃が成功する確率を下げるために役立つ。

多様性を進めるためにCISOは何をすればよいのか

　企業における多様性、公平性、包括性を高めるために、セキュリティリーダーが2023年に採るとよい幾つかの施策がある。

採用担当者は視野を広げる必要がある

　人材を発掘する範囲を広げなければならない。職務をより詳細に説明し、その職務で成功するために必要な要件に焦点を当てた職務記述書を作成することから始めよう。

　例えば4年制大学の学位は必要なのだろうか。箇条書きにある採用条件を見直すべきだ。

　面接では候補者が持つ技術的なスキルだけに注目するのではなく、候補者の興味の度合いや総合的な適性も考慮することが成功につながる。

　そうすることで、キャリアチェンジのような非正規雇用の応募者が、従来は考慮されなかったような経験や革新的な思考をもたらす職務に就くことができるようになる。

企業は継続的なトレーニングと従業員の能力開発を取り入れなければならない

　業界のリーダーは既存の従業員を対象としたトレーニングプログラムを構築するだけでなく、この業界に入りたいと考えている人たちに対する支援も提供する必要がある。

　トレーニングを新人研修だけで終わらせるべきではない。セキュリティ部門のメンバーだけに終わらせてはならない。習熟度に関係なく、誰もがサイバーセキュリティのスキルセットを磨くことができるトレーニングや開発プログラムに参加できるようにする。人材は社内から見つかることもあるからだ。

リーダーはセキュリティにおけるキャリアに対する認識を高める必要がある

　セキュリティ業界が拡大し、進化するためには、CISOとセキュリティ担当リーダーは、セキュリティが従来のコンピュータサイエンス以外のテーマに関心のある人にとっても就業の機会がある業界だということを外部に発信する必要がある。

　企業は大学生や高校生も巻き込んで、テクノロジー分野のキャリアに対する従来の認識を覆し、多くの場合、志望者が認識しているよりも現実的なキャリアパスであることを理解してもらう方法を検討すべきだ。

メンターシップによる人材確保を優先させる

　企業はさらなる成長を可能にするために、現在の従業員を継続的にトレーニングし、指導することが重要だ。

　地域社会に根ざしたメンターとメンティーの関係は、情報共有や新たな脅威に対処するための既成概念にとらわれないブレーンストーミングのために重要であり、業界の多様な人材を確保するための重要な要素でもある。

プロフェッショナルなネットワークを拡大する

　人とのつながりは長い間キャリアを成功させるための重要な社会的要素だった。つながりを作ることは難しいが、望ましい結果を導くために役立つツールや企業サービスがある。

　サイバーセキュリティ分野に進むことを希望する人は、「LinkedIn」や他の専門的なソーシャルメディアプラットフォームなどのツールを使用して個人のブランドを構築し、継続するべきだ。また、情熱を注ぐ分野や専門知識についてブログを書いたり、特定の分野や領域、トピックに専門性を持っていることを示す「ソートリーダーシップ」を執筆したり、サイバーセキュリティのあらゆる段階において多様なキャリアを目指す人の支援に焦点を当てた多くの非営利団体を探すべきだ。

　2023年にCISOがサイバーセキュリティの課題を解決するためには、リーダーが新鮮な視点と解決策を提供することが不可欠となる。

　サイバーセキュリティはチームスポーツだ。従ってCISOはこれらの課題に取り組み、業界全体の進歩に貢献できる多様なプレイヤーのチームを作ることが重要だ。

出典：Why CISOs should prioritize DEI initiatives in 2023（Cybersecurity Dive）

注1：(ISC)2 CYBERSECURITY WORKFORCE STUDY（PDF）

注2：Diversity, Equity, and Inclusion in Cybersecurity（PDF）

注3：New insights for defending the software supply chain

注4：Report: Ransomware Attacks and the True Cost to Business 2022

注5：The Uber Hack’s Devastation Is Just Starting to Reveal Itself