サイバー人材不足に対処する5つのステップ

参照するレポートによって違いはあるものの、サイバーセキュリティ業界では世界で340万から350万人の人材が不足しているとされています。²ですが、人材の需給ギャップに苦しんでいるのは我々の業界だけではありません。例えば、医療業界では世界では1,000万人以上の医師が不足しています。³言うまでもなく、人材不足は課題をもたらします。ISACAによると60%の組織が人材の定着に苦労しており、62%は人材不足の問題を抱えたまま業務を遂行していると回答しています。⁴

とはいえ、サイバーセキュリティ業界は恵まれた立場にあります。なぜなら、コミュニティとしての活動と組織単位の活動の両方を通じて人材不足の影響を緩和するチャンスがあるためです。

以下のセクションでは、改善策の一部をご紹介します。

1.複合的な採用アプローチ

筆者が強く支持するものとして、従来の人材採用アプローチ、すなわち、学歴、資格、経験、資質の面で適正な人物を洗い出す手法があります。しかし、最近では条件を満たす人物は稀であり、幸運を祈るしかありません。

人材不足に正しく対処するには、視野を広げる必要があります。サイバーセキュリティ分野に向く人物像は、テクノロジに興味がある人物、熟考するタイプの人物、物事の仕組みの解明に興味がある人物、システムを他と融合させて本来の用途とは異なる仕事をさせ、できるだけシームレスに保護する方法を見つけることに熱意を示す人物です。

必要なことは、人材を捉える網を広く構えることです。こうした人材は、従来型の高等教育を受けていない場合もあります。実行力のある人材を探す必要があるのです。ただし、チームとの協調性や高い倫理観も欠かせません。サイバーセキュリティは、善悪両方の可能性を人間に突きつけます。そのため、コミュニティに新たな人材を迎え入れる際には、善悪の境界を理解した道徳意識の高い人物であることを見極める必要があります。

2.多様性の向上

多様性はお馴染みのキーワードですが、サイバーセキュリティ業界ではジェンダーの多様性を重視することが多いようです。この分野で女性の採用を増やす必要があることは確かですが、多様性がジェンダーだけを対象とした概念ではないことも確かです。

出身地、文化、年齢、宗教、民族性など人間には多様な側面があります。新しい人材を採用する際には、企業文化への適応性と文化的価値観の面で、その人物がチームに何をもたらすかが検討事項になります。採用担当は、その人物が、新しいアイデアや視点を生み出す文化の違いをチームにもたらすのか評価することが求められます。また、そうした人材を探す場所や、十分な訓練を受けているかどうかを確認する手段も、特に従来型の高等教育を受けていない人材に関して、検討が必要です。

3.メンターシップ

サイバーセキュリティ業界での正式なメンターシップ プログラムは比較的新しい試みですが、サイバーセキュリティのスキル、気質、倫理観をもつ可能性がある人物を見極める上で前向きな進歩です。また、コミュニティ カレッジが行うような個人スキルの連携と評価に役立つ別のメカニズムが業界団体によって提供されています。

メンターシップは新たな人材の雇用に関係するだけでなく、関係構築、育成、訓練、定着でも重要な役割を果たします。筆者がフィールドCTOの立場から常に意識していることは、チームの新規人材にメンターをつけた上で、具体的なゴールと目標のある明確なキャリア パスを用意することです。残りの人生をアラートの追跡と単調な反復作業に費やすわけではないことを伝えなければなりません。この活動が強力な社会関係資本を構築し、それが強固な絆となるのです。

4.リーダーシップと文化

サイバーセキュリティには、いくつかの点で西部開拓時代のような気風があります。数十年あるいは数世紀前から存在する他の業種と比較すると、(長くとも)30年から40年の歴史しかありません。このような業界では、すべてのリーダーに技術的背景や第一線での実務経験があるとは限りません。

技術的スキルとビジネス感覚を兼ね備えた人材を組織のトップ レベルやその近辺に配置し、チームの部下を統率・指揮することが重要です。サイバーセキュリティの専門家になる必要はありませんが、専門家とコミュニケーションが取れるだけの認識と知識が求められます。例えば私が参加した採用委員会では、面接を受ける側よりも知識の浅い人物が採用を担当していたことがありました。

5.テクノロジ

人材不足の解決を支援するテクノロジに大きな関心が集まっています。この業界の現在と今後にとって重要な進歩です。自動化、機械学習、人工知能(AI)の普及に伴い、テクノロジを利用して人的資源を補足・補完できるようになったのです。

ただし、人間を機械で置き換えることだけが、人材不足の影響を緩和する手段ではありません。機械を活用すれば、人間の創造的要素が必要とされる面白くやりがいのある業務により多くの時間を充てることができます。従業員が自分にとって本当に有意義な業務に集中できるなら、サイバーセキュリティ業界の魅力が増し、仕事の満足度も高まるはずです。この活動が、優れたサイバー人材を惹きつけて定着させるうえで、従業員の位置づけと彼らへの価値提案を改めるスタート地点となります。

総力を結集

人材不足に包括的に対処すると、セキュリティ業界とセキュリティ企業に新たな人材を惹きつける良いチャンスが生まれます。

つまり、サイバーセキュリティ分野での成功に必要なスキル、気質、道徳意識を持ちうる人材を狙って広く網を張るのです。従来求められていた学歴や資格を持たない人物も対象とします。ただし、こうした新規人材には知識、スキル、学識を高め改善する努力が求められることを自明とする必要があります。

人材不足に包括的に対処することは、セキュリティ業界とその仕事を多様な経歴の人材にとって魅力的なものにすることです。これには、彼らの成功や幸福にむけた、ツールや、トレーニング、指導を誰しもに提供することによって実現します。

これを達成するには、自動化、機械学習、AIを利用した現代的なテクノロジへの投資が必要です。加えて、コミュニケーション、文化、メンターシップ プログラムなどを通じて強力なリーダーシップを発揮することも求められています。筆者は、「心構えで採用し、訓練で能力を伸ばし、指導を通じて成果を出させる」をモットーとしています。

人材不足を完全に解決するパイプラインの構築は一夜にして成るものではありません。ですが、その間にできることは数多く存在します。特に、優れたサイバー人材はリスクを軽減するだけでなく、組織のイノベーションを支える戦略的な成功要素だと認識しているなら、傍観はできないはずです。

1. Cybersecurity Workforce Study, (ISC)2、2022年10月20日
2. Cybersecurity Workforce Study, (ISC)2、2022年10月20日。
3. Why is there a global medical recruitment and retention crisis?, World Economic Forum、2023年1月9日。
4. State of Cybersecurity 2022 Report, ISACA、2022年3月23日。