日本は11万人不足｢セキュリティ人材｣確保の難題

2024年1月22日 7時0分

サイバーセキュリティ人材の需給ギャップが拡大している（写真：metamoworks/PIXTA）

400万人ーー。世界のサイバーセキュリティ人材はこれだけ不足しているという。

この試算を出したのは、サイバーセキュリティに関する資格認定などを専門とするアメリカのNPO団体、ISC2（International Information Systems Security Certification Consortium、国際情報システムセキュリティ認証コンソーシアム）だ。

毎年独自に人材調査を行っており、最新となる2023年版は、北米、ヨーロッパ、アジア、ラテンアメリカ、中東、アフリカに居住する1万4865人のサイバーセキュリティ実務者を対象にオンライン調査を実施した（日本の回答者は936人）。

今回の400万人という需給ギャップは、ISC2の試算としては過去最大の規模だ。

人材需給ギャップの増加率が最も高い日本

日本も約48万1000人と前年から23.8％人材が増加した一方、需要は59万1000人と33％増加。需要に対して11万人足りず、人材不足の状況は悪化している。しかも、日本は人材需給ギャップの増加率が対象国の中で最も高かった。

なぜ需要が増加しているのか。1つの理由として、人材を必要とする業界が広がってきたことがあるのではないかと思う。

東洋経済Tech×サイバーセキュリティのトップページはこちら

私は2015年からISC2の仕事に携わっているが、当初、CISSP（Certified Information Systems Security Professional：ISC2が認定するサイバーセキュリティ専門家の資格）のトレーニングには、サイバーセキュリティやITの企業の社員しか参加していなかった。

それが、少しずつ銀行などの金融機関の社員が増え始め、最近ではいわゆる事業会社の社員も参加するようになってきた。リモートワークの普及やDXの推進、そして、ランサムウェアなどの脅威の増加が背景にあるのではないかと考えている。

求められる「クラウドコンピューティングスキル」

具体的には、日本ではどのようなスキルを持った人材が不足しているのだろうか。

同調査で人材が不足している領域としてトップに挙がったのは、「クラウドコンピューティングセキュリティ」（30％）である。これは、SaaSの安全な利用と、クラウドサービスを基盤とする新規システムの安全な構築といった両方のスキルが含まれていると考えてよいだろう。

オンプレミスのシステムとは異なり、SaaSは直接インターネットにつながっているため、設定の不備が即セキュリティインシデントになる可能性がある。また、近年の新規システムはほぼ例外なくクラウドサービスを利用しており、クラウドサービスプロバイダーが提供するサーバーレスのサービスを活用することも多い。

そこでは、サービスの内容を理解し、開発チームと正しくコミュニケーションできるスキルが必要とされる。そのほか、「リスク評価・分析・管理」（29％）、「脅威インテリジェンスの分析」（29％）、「デジタルフォレンジックとインシデントレスポンス」（29％）、「人工知能・機械学習」（28％）のスキルも上位に挙がった。

また、需給ギャップの拡大によってさまざまな問題が起きている。同調査によれば、日本では人材不足が与える影響を問う項目で「目の前の業務に追われ、新たなセキュリティ人材を育成する時間が取れない」という回答が最も多かった。これはまさに鶏と卵の状態であり、何らかのブレークスルーを起こさないと人材不足は解消しないと思わせるデータである。

次いで、「適切なリスク評価・管理を実施する時間が不足」「プロセスや手順が順守不全」「インシデント対応が不完全」「重要システムへのパッチ適用が遅延」、といった回答が上位を占めた。

組織がさまざまなクラウドサービスで個人情報を扱っているにもかかわらず、そのリスクが適切に把握できておらず、退職者のアカウント削除漏れが発生し、システムの脆弱性対応が後手に回り、仮に問題が起こっても正しく対応できない――。そんな様子が透けて見える。

サイバーセキュリティ人材を増やす方法としては、外部からの採用が手っ取り早いが、昨今においてはそう簡単ではない。

例えば、前述の認定資格のCISSPを有する者は、グローバルで15万人以上いる。そのうち10万人はアメリカにいるが、それでも企業が人材募集時に「CISSP必須」とすると、まったく応募が来ないという。

ちなみに、先日参加したアメリカのセキュリティイベントでは、「CISSPを必須にせずに、よいサイバーセキュリティ人材を採用するための募集要項の書き方」というプレゼンテーションが行われていた。

日本にいるCISSP保有者は4000人強、情報処理安全確保支援士は2万人強だが、両方保有している人も多いことを考えると、資格保有者に限定しての採用はアメリカ以上に難しいと推測される。

「社内研修」より「社内勉強会」が有効？

組織も少しずつ採用の考え方を変えつつある。

同調査では、60％が「実務経験がない技術者に対する募集を増やしている」と回答。また、社内公募などで内部人材を登用するほか、社内外を問わずサイバーセキュリティに携わりたいという熱意と適性がある人に対してトレーニングを実施し、サイバーセキュリティ人材になってもらうというアプローチを取り始めている傾向が見られた。

世界的な人材不足の状況を受け、ISC2では、新たにCC（Certified in Cybersecurity）という資格の提供を開始した。これは、サイバーセキュリティに対する基本的な考え方を備えていることを認定する資格で、高度なトレーニングを受ける適性を判断する材料として使える。

ISC2では、このCC資格のオンライントレーニングと試験費用を世界中で100万人に無償提供するプログラムも始めている。日本語でも提供されているので、ぜひ活用していただきたい。

では、確保した人材をどのようにして育成していけばよいか。同調査で、社員教育の方法として日本で最も多かった回答は「社内研修」（46％）だった。ただし、これはサイバーセキュリティ専業の会社など、社内研修の内容が整っている環境でないと実施は困難だろう。

実際には、次点で回答が多かった「外部の資格認定コース費用の負担/補助」（45％）が現実的な解になってくる。幸いにして、世の中には多くのサイバーセキュリティトレーニングがあるので、それらを活用するとよいだろう。

日本（およびアジア圏）で特徴的だったのは、「勤務時間に能力開発の時間を提供」という回答が多かったことだ。実際に私も、社内勉強会のような仕組みを持っている企業は、CISSP合格者の輩出数が多いことを実感している。企業は人材育成に当たり、組織として社内勉強会の時間を業務時間として認めるといった施策を考えてもよいのではないだろうか。

アメリカにとって人材維持は国レベルの課題

せっかく立派なサイバーセキュリティ人材を育成しても、その人がすぐに会社を辞めてしまったら元も子もない。現在、サイバーセキュリティ人材は引く手あまたの状況だ。

この件について、さまざまな組織の人と話す機会があるが、皆口をそろえて「今、セキュリティ業界では高給のオファーがいくらでもある。うちではそんな高い給料は払えないので、引き留めることはできない」と言う。

ただ、転職者によれば、問題は給料だけではないようだ。「本当は前の組織でサイバーセキュリティの仕事をもっとしたかったのに、違う仕事ばかりさせられたので、サイバーセキュリティ専業の会社に移った」と話す転職者に少なからず出会う。

こうしたとても残念な状況を改善するためには、組織の人事制度を変える必要もあるだろう。しかし、非常にハードルが高いのも事実である。実際、私が以前所属していた組織で「セキュリティ人材を維持するために異動先をIT部門に限定するようにできないか」と進言したところ、「人事に口を出すとは何事だ」とえらく怒られたことがあった。

一方で以前、ISC2の幹部からこんな話を聞いた。アメリカの政府機関でも同様に人事制度の課題があり、ジョブローテーションと人材維持を両立させるために、サイバーセキュリティ人材を異なる省庁間でローテーションさせることにしたという。アメリカでは、サイバーセキュリティ人材の維持を国レベルの課題として捉えているのだ。