2023.2.2 /

サイバーセキュリティ人材の不足の背景|人材確保の方法も解説

NRIセキュアテクノロジーズは2022年2月8日、日本、アメリカ、オーストラリア3カ国の企業を対象とした「情報セキュリティ実態調査」の結果を発表しました。

2018年の調査では対象の日本企業で86.9%がサイバーセキュリティ人材が不足していると回答しているのに対して、2022年では90.4%と年々セキュリティ人材の不足を感じる企業が増えています。

この記事ではサイバーセキュリティ人材の不足理由とともに、人材を確保する方法を解説します。

 

サイバーセキュリティ人材が不足している理由

世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²は「(ISC)² Cybersecurity Workforce Study」の2022年版の結果を発表しました。

調査によると世界のサイバーセキュリティ人材は470万人になることがわかりました。

日本でも約39万人のサイバーセキュリティ人材がいます。

しかしながら、それでもサイバーセキュリティ人材は世界で340万人不足している状況です。日本でも5万6千人が不足している状況です。

背景には国同士の争いごとや経済の不安定、情報漏洩の増加とともに、物理的なセキュリティの課題も増えています。

また、近年では大企業から中小企業までDXの波が来ており、サイバーセキュリティ人材へ求めるスキルが変化したことにより、サイバーセキュリティ人材の価値が上がっています。

 

日本企業が考えるべきサイバーセキュリティ人材不足の対策

NRIの2018年時点の調査では日本企業だけがサイバーセキュリティ人材の不足を強く感じていました。

2022年の調査でも90.4%の日本企業はサイバーセキュリティ人材の不足を感じています。

一方でアメリカ、イギリス、シンガポール(2022年調査は対象外)は85%以上の企業で「充足している」と回答がありました。

なぜ日本企業だけ足りていないという意識なのかは求める人材像からわかります。

 

アメリカやイギリスでは「経営層に対して適切な表現で、 現状や対策内容等を 説明・報告できる人」が割合として1番大きいものでしたが、日本では「セキュリティ戦略・企画を

策定する人」が1位となっています。

また、日本のランキングでのみ「ログを監視・分析して、危険な兆候をいち早く察知できる人」がトップ5以内に入っています。

そのため、日本企業ではセキュリティ対策を考えられる人、監視分析できる人を求めていると言えるでしょう。

しかしながら、海外企業の場合はそれらの業務はアウトソーシングしているため、必要な人材像が違います。

人材不足の対策としては日本でもアウトソーシングを活用して、業務の標準化や自動化を行うことが考えられます。

出典:NRI Secure Insight 2018、企業における情報セキュリティ実態調査2021

 

日本企業で求められているサイバーセキュリティ人材

日本企業ではサイバーセキュリティ人材は自社で雇い、自社で全ての業務を完結させたほうがいいと考えている事が多いです。

そのため、様々なスキルや経験が求められます。

ここではサイバーセキュリティ人材に求められているスキルを解説します。

幅広いIT・セキュリティスキル

サイバーセキュリティ人材は自社の社内セキュリティだけでなく、顧客のシステムに関するセキュリティ状況を理解して、提案や判断をする必要があります。

そのため、ソフトウェア面でのセキュリティだけでなく、情報機器の持ち運びなどハードウェア面での知見も求められます。

また、必要となる分野も広くオンプレミスのインフラからクラウドのネットワークなど幅広い経験が必要です。

経営レベルでの視野

セキュリティ人材の育成やセキュリティツールの導入はどうしてもツール費用や教育費、人件費などがかかり、高額な投資となります。

もちろん金額だけでなく、教育やセキュリティ対策の浸透に時間もかかります。

それらの投資に対して、経営者に近い視野をもつことで経営層へ適切な提案ができるようになります。

ITに詳しくない人とのコミュニケーションスキル

経営層や実際に本業を行っている人などITに詳しくない人はビジネスの現場では多数派です。

しかしながら、セキュリティの領域は専門用語や専門知識が多くコミュニケーションが難しい側面があります。

そのような人とも適切な表現を用いてコミュニケーションできるようになれば、セキュリティ人材として重宝されます。

 

サイバーセキュリティ人材を確保する方法

最後にサイバーセキュリティ人材を確保する方法を紹介します。

アウトソーシング

まずはアウトソーシングです。

前述のように日本以外の国(アメリカ、イギリス、シンガポール)ではセキュリティ人材は足りており、その理由は自社で行う業務とアウトソーシングする業務を明確に分けているためでした。

そもそも採用は考えず、外部の専門家を活用することで採用コスト、教育コストを抑えながらサイバーセキュリティの対策を講じることができます。

ITエンジニアとして採用して教育する

プログラマーやインフラエンジニア、ネットワークエンジニアなどとして採用した人材を教育し、スキルアップさせてサイバーセキュリティ人材にしていく方法です。

この方法は教育コストはかかるものの採用する方法としては比較的現実的です。

サイバーセキュリティ人材としてのスキルを持った人を採用しようとすれば、市場価値が高いため、そもそも人材が見つからない、採用コストが高いなどの問題に直面します。

自社で育てるコストはあるものの、自社の人材がセキュリティに強くなるということは一つのメリットになります。

 

自社の人材としてサイバーセキュリティ人材を採用する

サイバーセキュリティ人材を募集して採用する方法です。

サイバーセキュリティ人材を採用できれば手っ取り早いですが、紹介した方法の中では最も現実的でないかもしれません。

 

総務省の「我が国のサイバーセキュリティ人材の現状について」によると、平成30年時点で「本業が忙しく、情報セキュリティにまで人材が割けない」、「業務繁忙のため教育やトレーニングを行う余裕がない」が企業規模問わず、最も割合が高いものとなっていました。

そのため、採用活動、教育自体を行える企業が少ないと言えるでしょう。

 

まとめ

サイバーセキュリティ人材は需要が高く、求められるスキルも多い非常に市場価値の高い人材です。

短中期的にはアウトソーシングを検討し、セキュリティ課題を解決。

中長期的には人材育成を進めていくことが解決の糸口となるかもしれません。

 

サイバージムではサイバーセキュリティ人材の育成のためのトレーニングを実施しています。

専門部隊の育成・強化トレーニングや有事の模擬役員会を含むマネジメントワークショップなどを行っています。

ご興味のある方はサイバーセキュリティトレーニング総合ガイドブックをダウンロードしてみてください。

SHARE

COLUMN LIST

CONTACT

お問い合わせはこちらから