サイバーセキュリティ人材はなぜ不足しているのか? セキュリティ人材不足の現況を俯瞰する:セキュリティ人材育成を考える(1)
サイバーセキュリティ人材不足をどう解決すればいいのか、セキュリティ人材の育成などについて解説する本連載。第1回は、サイバーセキュリティ人材が不足する現状について整理、紹介する。
本連載は、「セキュリティの人材育成を考える」と題し全4回シリーズで紹介していきます。今回は「サイバーセキュリティ人材不足の現状」をテーマに、激化するサイバー攻撃から守る側の状況についてお話しします。
サイバー攻撃の非対称性、いつ攻撃されるか守る側からすると分かりにくいという性質や、誰でも狙われ得るという昨今の状況を考えた場合、企業、組織でサイバーセキュリティへの備えは依然重要といえます。
ともすると、セキュリティ対策製品やサービスの導入で完結させたくなりますが、セキュリティにおける最大の弱点は人ともいわれており、各人のスキル、リテラシーにおける弱点にも手を打つ必要があります。
セキュリティにおける人を考えた場合、従業員全体という視点と企業・組織のセキュリティを支える人材という視点がありますが、今回のコラムでは「企業・組織のセキュリティを支える人材」をどう育成していくかについて考えていきます。
サイバーセキュリティ人材の充足状況
最近のレポートでは、世界で470万人のセキュリティ人材がいるものの、それでもさらに340万人のセキュリティ人材が不足しているという報告(※1)があります。つまり、810万人のセキュリティ人材が必要ということです。
※1 「Cybersecurity Workforce Study 2022」(ISC)2
日本を含む29の地域で調査した結果ということなので、単純計算すると1つの国で16万人強のセキュリティ人材がいながらも、さらに12万人弱のサイバーセキュリティ人材が不足していることになります。
実際の日本では、セキュリティ人材が39万人弱いて、さらに5万6000人不足している状況です。サイバーセキュリティ人材の数自体は前年比1.4倍となり、順調に推移しているものの、人材の増加を上回るスピードで需要が拡大しているため、依然として人材不足の領域であることには変わりがありません。
では、単純にサイバーセキュリティ人材を増やせばよいのか、それとも人材維持という点に課題はあるのか、定着状況についても見てみましょう。
サイバーセキュリティ人材の定着状況
大手人材サービス会社の調査によれば、日本のセキュリティエンジニアの平均年収はITコンサルタントに次いで高給です。
職種 | 平均年収 |
---|---|
ITコンサルタント | 752万円 |
セキュリティエンジニア | 675万円 |
プリセールス | 670万円 |
データサイエンティスト | 621万円 |
社内SE | 606万円 |
業務アプリエンジニア・プログラマー | 562万円 |
インフラエンジニア | 555万円 |
制御系ソフトウェア開発者 | 553万円 |
Webサービス系エンジニア・プログラマー | 520万円 |
スマホアプリ系エンジニア | 489万円 |
サポートデスク | 476万円 |
IT職種の平均年収比較(パーソルキャリアの調査を基に筆者作成) |
DX(デジタルトランスフォーメーション)推進で主導的な役割を果たすデータサイエンティストよりも高給であり、決して待遇が悪い訳ではないようです。
また、セキュリティ専門家(※2)が指摘するように、サイバーセキュリティに携わることには以下の強みがあります。
- 企業、組織の事業継続で大きな役割を果たすことになる
- DX推進に当たっても、その基盤として重要な役割を果たすことになる
- 技術面を含め、非常に広範囲のスキルを習得できる
- 市場にニーズが強くあり、高い市場価値を維持できる
※2 Palo Alto Networks Blog「セキュリティの仕事は大変?」
しかしながら、その責任の大きさから、サイバーセキュリティに従事する難しさもあります。
業務負荷
- 休日や夜間であっても、インシデントが突然発生して振り回される
- 人材不足の影響により、1人が抱える仕事量が膨大になりやすい
- 問題が発生した時に、その責任を強く問われる
組織のセキュリティへの理解不足
- 所属する組織にその専門性や業務の価値が伝わらない
- セキュリティを改善、向上させるための予算を確保できない
- 新しいスキルの習得が必要であるにもかかわらず、その習得支援が不足している
私の経験からしても、異常が出た有事においては平時の仕事が立ち行かなくなり、緊急対応に追われることでストレスが増大します。もし、その大変さを周囲が理解してくれないとしたならば、仕事のやりがいを継続的に持つことは難しいでしょう。
世界と日本の給料格差
残業続きであったり、スキル習得に追われたりするのはサイバーセキュリティ人材に限らず、ITエンジニア職であれば世界共通といえるかもしれませんが、日本と事情が大きく異なるのは給与です。
先ほどは日本のセキュリティエンジニアの平均年収をご紹介しましたが、世界の給与事情についても紹介すると、世界のサイバーセキュリティ人材への平均年収は1607万円になり(11万4810ドル、1ドル=140円で換算)、相当に年収が高いです。
また、サイバーセキュリティで最上位の職種ともいえる最高情報セキュリティ責任者(Chief Information Security Officer:CISO)に関して、米国の都市別の年収ランキングを見ると以下のようになります。
米国の都市 | CISOの平均年収(1ドル=140円で換算) | |
---|---|---|
No.1 | サンフランシスコ | 42万1000ドル(5894万円) |
No.2 | ニューヨーク | 40万6000ドル(5684万円) |
No.3 | ワシントンDC | 38万ドル(5320万円) |
No.4 | ロサンゼルス | 37万8000ドル(5292万円) |
No.5 | シカゴ | 36万2000ドル(5068万円) |
米国CISOの都市別平均年収比較(SilverBullの調査を基に筆者作成) |
「さすが米国、夢がある」といえる結果でしょう。このように比較すると、サイバーセキュリティに限った話ではないでしょうが、激務の割に日本のサイバーセキュリティ人材にとって給料が安過ぎるように感じます。
一朝一夕でこの辺りの事情を劇的に改善することは難しいでしょうが、サイバーセキュリティ人材の不足を解消するためには、待遇面の改善も必要になるでしょう。
サイバーセキュリティ人材採用の難しさ
コロナ禍による働き方の変化、具体的にはテレワークの普及によりIT技術へのニーズが高い状況は続いています。DXの推進などデジタル化が進む中、IT人材の有効求人倍率(1人当たりの求人数=募集している数÷働きたい人の数)は全業種で見ても高く推移しています。
具体的には、2023年4月時点の全体的な有効求人倍率が1.32倍に対し、情報処理、通信技術者は1.50倍となっており、正社員に限定した場合にはさらに高い倍率となります(※3)。
※3 厚生労働省 一般職業紹介状況(2023年4月分)について
そんな中でサイバーセキュリティ人材の採用を考えた場合、幾つかの採用パターンが考えられます。
- サイバーセキュリティの即戦力を採用する
- IT経験があり、サイバーセキュリティ未経験の人材を採用する
- ITもサイバーセキュリティも経験がないポテンシャル人材を採用する
当然のことながら、即戦力を採用したいと考えるでしょうが、IT人材自体が不足している状況において、その難易度は高く、会社のネームバリューや事業内容、待遇面、働き方の柔軟性に魅力を感じてもらえるのか、採用する側も品定めされることになります。
また、会社全般でメンバーシップ型採用であっても、サイバーセキュリティ人材はその専門性の高さから、ジョブ型採用になる場合が考えられます。その場合は人事評価をどうするのか、その会社でのキャリアパスをどう示すのか、組織の根幹に関わる課題が残存します。
ITがそのまま事業、商売になるような業種や企業であれば、サイバーセキュリティ人材との相性が良いことは容易に想像がつきますが、古くからある大企業、いわゆる伝統ある企業などではその企業文化とサイバーセキュリティ人材の相性が良いかどうかでいうと、定着に不安があるように映ります。
例えば、サイバーセキュリティに取り組む理由は企業の価値、事業、文化を守ることであり、途中から入ってきたサイバーセキュリティ人材にその企業理念、企業文化、風土をどこまで浸透させることができるのか。この辺りに苦労されている企業も多いでしょう。
サイバーセキュリティの効率性は業務にとっての非効率。業務の効率性はサイバーセキュリティにとっての非効率。せっかく、それぞれの立場にとって、役割に応じた仕事をしているにもかかわらず、双方にとって分かり合えない状況になれば、組織の成長阻害なのか、サイバーセキュリティの脆弱(ぜいじゃく)性なのか、何らかの形で影響を及ぼすことになるでしょう。
社内の人材をサイバーセキュリティ人材へ
短期的には外部から人材登用することが必要といえます。しかし、その規模を拡大していくためには企業文化を変える必要が出てくるかもしれません。なぜなら、先の調査(※1)によると、サイバーセキュリティ人材が退職する理由の一つに企業文化への不満が挙げられているからです。
企業の発展を継続していくためには、今の時代は働き方改革や多様性を受容する組織風土も必要となります。その意味で企業は変わり続ける必要がありますが、もともとある企業の強みを発展させる方向であってほしいはずです。
その企業の強みとサイバーセキュリティを両立するためには、外部登用だけに頼るのではなく、企業文化を体現している社内の人材をサイバーセキュリティ人材に育成していくことを取り入れていきたいところです。
人材育成のステップは簡単に表現すれば、以下のようになります。
- サイバーセキュリティ業務のうち、社内で対応することと外部に委託することを整理する
- 中長期計画を策定し、外部登用と人材育成とのバランスを検討する
- 実際に人材育成をPDCAサイクルに基づいて進めていく
厳密にいえば、サイバーセキュリティにおいても多様な役割があります。役割ごとに求められる素養も異なるため、企業は自社に必要な役割を定義した上で、採用や育成の力点を変えていくのがよいでしょう。業務部門とのコミュニケーションが欠かせない役割の場合には、特に人材育成が重要な意味を成します。
この辺りの具体的な進め方は第2回以降で紹介していきます。
次回、第2回は「必要なサイバーセキュリティ人材」と題して、セキュリティで必要な業務と必要なスキルについて考えていきます。お楽しみに。
参考文献
「サイバーセキュリティスキルギャップレポート2023年版」フォーティネットジャパン
「Cybersecurity Workforce Study 2022」(ISC)2
調査結果 ― 3分の2が「自社にサイバーセキュリティ分野の人材を惹きつける魅力がない」ヘイズサイバーセキュリティ人材・スキル調査
「Trellix Survey Findings: A Closer Look at the Cyber Talent Gap」Trelix
Paloalto Networks公式ブログ「セキュリティの仕事は大変?」
「保存版ハンドブック スキル年収マップ ITエンジニア編」パーソルキャリア
Copyright © ITmedia, Inc. All Rights Reserved.