サイバー人材不足 特効薬はこれだ

サイバーセキュリティは企業の存続に関わる重要な経営課題だ。だが、人材が不足しており、社内の担当者は疲弊している。どうすれば人材の不足を解決できるのだろうか。

[Akif Khan，Cybersecurity Dive]

　サイバーセキュリティ人材は不足しており、改善の見込みが立たない。最高の技術を持った人材でなければ、近年の高度なサイバー攻撃に立ち向かうことが難しい。

その考え方が誤っている

　このように考えていては問題の解決には至らない。Gartnerのアナリストはセキュリティ人材の不足を解決する方法について次のように語る。

Gartnerのアキフ・カーン氏（アイデンティティーとアクセス管理を専門とするバイスプレジデントアナリスト）は「Cybersecurity Dive」に次のような寄稿を寄せた（注1）。

　セキュリティチームが人員の補充や維持に苦労していることは周知の事実だ。Gartnerの調査によると、57％の企業が最も懸念しているのは、新しいセキュリティリーダーの発掘と採用だった。

　攻撃者が自組織に及ぼす脅威がますます複雑化していると実感しているセキュリティチームは多い。攻撃者は創造性に富み、多様な背景を持つ。このような事態に対処するのは難しい。

　困難が生じる一因はチーム内の「多様性の欠如」にある。

　なぜ多様性の欠如が問題になるのだろうか。それは人員のスキルが（部分的に）不足していたとしても、複雑化する脅威に対抗できるからだ。セキュリティリーダーは多様な応募者を集め、採用戦略を構築し、多様性のレベルを測定しなければならない。人材不足と多様性のギャップに対処しない企業の先行きは暗い。現在、そして将来のセキュリティプログラムに悪影響が及び、セキュリティとリスクの課題にうまく対応できなくなるだろう。

　セキュリティリーダーは企業のセキュリティプログラムを推進して長期的に有効な状態を維持するために、多様な人材を選び出し、その状態を維持しなければならない。

多様な応募者を集めるには

　セキュリティリーダーは人事部門と連携して、より多様な人材を採用するための戦略を立てるべきだ。こうすれば、スキル不足に対処できるだけでなく、リテンション（離職率の低減などによる人材の確保）の向上にも役立つ。

　セキュリティ人材の不足が続いている主な要因は、技術的なスキルだけが重視されていることだ。セキュリティリーダーは人事部門と協力して、純粋な技術スキルだけでなく、リーダーシップやコミュニケーション、コラボレーションなどの重要な「ソフトスキル」も評価対象となることを確認しよう。

　セキュリティリーダーは、次に挙げる3つの重要なベストプラクティスを学ぶ必要がある。そうすれば、採用範囲を広げて多様な応募者を引き付けることができる。

（1）柔軟性のある採用基準を設定する

　厳格な採用基準は多様な人材の確保を妨げる。職務の要件として記載されている（過剰な）経歴や経験、スキルをその通り備えていない人材は、そもそもその職務に応募しないことが多いからだ。

　この問題を解決するには、必要な資格や経験などの基準を調整して、潜在能力や移譲可能なスキルに重点を置くようにするのがよい。

　そうすれば、採用の質を犠牲にすることなく、特定のスキルを独学で身に付けたと考える応募者をより多く獲得できる。

（2）採用プロセスを応募者に合わせてカスタマイズする

　セキュリティリーダーは、不特定多数の応募者を採用するために、セグメントに特化した採用プロセスを構築する必要がある。障害のある応募者は、自分のニーズに合った職場環境でなければ、そもそも採用プロセスに応じないだろう。

　こういった応募者は従来の面接形式では敬遠されがちだ。過小評価されている応募者にアピールするために、職務記述書で（障害者への）配慮を言及すれば応募する可能性が高くなるだろう。

（3）代替人材モデルを検討する

　代替人材モデルを採用すれば、企業は正社員よりも低コストで新たなスキルニーズに対応し、より多様な人材を引き付けることができる。代替人材モデルの例としては、パートタイムやフリーランス、プロジェクトベース、契約ベースの雇用などがある。

ニューロダイバーシティーの従業員に特化した採用と包括戦略の構築

　ニューロダイバーシティー（注2）のある労働者は、企業から見落とされがちだ。このような応募者は、セキュリティチームに有益な特殊スキルと特性をもたらす。

「ニューロダイバーシティー」（Neurodiversity、神経多様性）とは、Neuro（脳・神経）とDiversity（多様性）という2つの言葉が組み合わされて生まれた、「脳や神経、それに由来する個人レベルでのさまざまな特性の違いを多様性と捉えて相互に尊重し、それらの違いを社会の中で生かしていこう」という考え方。特に、自閉スペクトラム症（ASD）、注意欠如・多動症（ADHD）、学習障害（LD）といった発達障害が原因で生じる現象を、能力の欠如や優劣ではなく、『人間のゲノムの自然で正常な変異』として捉える概念（ニューロダイバーシティとは《経済産業省》）。

　このような応募者を採用すれば、高度な脅威との戦いに役立つ新しいレベルの思考の多様性が生まれる。

　セキュリティリーダーは、職場環境に加わる際に大きなプレッシャーがかかる可能性があるため、ニューロダイバーシティーのある従業員のためのダイナミックなサポートエコシステムを構築する必要がある。

　コミュニケーションのベストプラクティスを定義しよう。マネジャーやチームメンバーがニューロダイバーシティーのある同僚とコミュニケーションをとる方法が重要だ。期待やフィードバック、一般的な議論をどのように進めるのかを示すのがよい。

　セキュリティリーダーは、ニューロダイバーシティーのある従業員に成功するチャンスが与えられるよう、包括的な職場環境を設計しなければならない。これはパフォーマンス基準を下げるという意味ではない。従業員が業務をうまく遂行できるように職場環境を変更するという意味だ。

　ニューロダイバーシティーの人材プールに対しては、アプローチの仕方が一律ではないことを認識しよう。全てのセキュリティチームメンバーが、人を管理するスキルや優れたコミュニケーション能力を持つわけではないが、役割を果たすために実際には必要のない一般的なスキルをニューロダイバーシティーの従業員に要求して、排除しないようにしなければならない。

多様性レベルのベンチマークとチームカルチャーの評価

　多様性の向上は全体的なビジネスの成果と職場環境を向上させる。セキュリティチームに多様性がなければチームとしての能力が低下し（注3）、有害な職場文化や環境が続いてしまう。セキュリティ業界の従業員には、ストレスによる燃え尽き症候群がよく見られる。こうなると離職につながるだろう（注4）。

　セキュリティリーダーは人事担当者と緊密に連携して多様性を測定し、現在の状況がどの程度基準から離れているのかを調べないといけない。セキュリティリーダーが多様なチームに結び付く採用やリテンションについて、うまくいっていない点を特定するには、チーム内の文化を調査するGartnerの「Culture PRISM」が役に立つ。

・目的　なぜそれを行うのか
・ルール　何を期待され、何が許容されるのか
・アイデンティティー　他者との関係において、自分がどのような人間だと考えるのか
・安全　お互いの成功をどのように助け合うのか
・測定　何を大切にし、何に注目しているのか

　5つの要素全てが重要だが、「安全」の概念に注目することが不可欠だ。多様性や有害文化に関する問題に関しては、安全性が重要な役割を果たす。安全で快適でなければ、個人の潜在能力を最大限に発揮することはできない。多様性と包括性（ダイバーシティーとインクルージョン）の実践を推進するリーダーは、従業員の安全に対する感覚を向上させなければならない。

　セキュリティ業界のスキル不足は、セキュリティチームの多様性を向上させるための対策がとられない限り、今後も世界的に続くだろう。セキュリティリーダーは、人事部門と連携して、チームの多様性を広げるための行動計画を立てる必要がある。

　グローバルな人材プールは多様な応募者で構成されているため、主流の採用プロセスを通過するのが難しいと感じる人たちにアピールするために、職務の基準を柔軟でカスタマイズ可能なものにすることが重要だ。

出典：How cybersecurity leaders can tackle the skills shortage（Cybersecurity Dive）

注1：Gartner Expert（Gartner）

注2：ニューロダイバーシティの推進について（経済産業省）

注3：Four Facets of Effective CISO Leadership（Gartner）

注4：Gartner Predicts Nearly Half of Cybersecurity Leaders Will Change Jobs by 2025（Gartner）