日本企業は「実務＞学歴」か？ （ISC）2、セキュリティ人材採用に関する調査を公開

（ISC）2が公開したアジア太平洋地域のサイバーセキュリティ人材の採用責任者を対象とした調査レポートから、日本企業のサイバーセキュリティ人材の採用傾向が見えてきた。

[後藤大地，有限会社オングス]

　International Information System Security Certification Consortium（以下、（ISC）2）は2022年11月21日（現地時間）、アジア太平洋（APAC）地域のサイバーセキュリティ人材の採用責任者を対象とした調査レポート「Cybersecurity Hiring Managers Guide - Asia-Pacific Edition」の2022年版を公開した。

　同調査では、日本や香港、韓国、シンガポールにおけるサイバーセキュリティ専門家のチームを管理する採用責任者787人から回答を得た。未経験者やジュニアレベルのサイバーセキュリティ人材の募集や採用、新人研修におけるベストプラクティスのヒントの他、効果的な職務記述書の作成とIT業界を超えて人材を求める必要性、非技術的なスキルやキャリア開発への投資の重要性が浮き彫りになった。

（ISC）2はサイバーセキュリティ人材の採用に関するレポートを発表した（出典：（ISC）2が発表した「Cybersecurity Hiring Managers Guide - Asia-Pacific Edition」の2022年版）

セキュリティ人材の確保　日本独自の採用基準が明らかに

　（ISC）2が2022年10月に発表したグローバル調査「(ISC)2 CYBERSECURITY WORKFORCE STUDY」の2022年版によれば、全世界で約340万人のサイバーセキュリティ人材が不足しているという。

　（ISC）2のCEOであるクラー・ロッソ氏は、この状況を踏まえて「サイバーセキュリティ人材の採用においては創造性を駆使する必要がある」とし、「サイバーセキュリティのスキルそのものを満たしていないジュニアレベルの候補であっても、彼らの専門能力開発に投資して必要な能力を身に付けることで、レジリエンスが高く持続可能なサイバーセキュリティチームを組織することにつながる」と説明する。

　今回の調査結果が示す日本企業の特徴は以下の通りだ。

• 71％が採用時の優先事項に過去の実務経験を挙げている（これはアジア太平洋の中で最も高い割合となっている
• IT認定資格の保有を重要視しない傾向がある
• 学歴があっても実務経験が少ない候補者は対象から外す傾向が強い
• 専門知識以外の能力に関してはコミュニケーション能力を重視する傾向がみられる
• 言語および文書コミュニケーションが重要視されている
• 非技術系スキルとしては主体性が高い評価を得ている
• 資格取得のための研修機会を提供している割合は42％で、調査対象国・地域で最も低い
• 就業時間中に専門知識を高める時間を確保できるのは72％で、調査対象国・地域で最も低い
• 外部研修コースを高く評価している
• 先輩従業員に同行するシャドーイング研修が実施される
• 33％が人材紹介会社のサービス利用して人材発掘や人材採用をしたことがある

　調査結果によれば、日本企業においては学歴や資格よりも過去の実務経験を重要視する傾向が高いこと、就職後の学習に関しては個人に依存しており組織としての取り組みは調査対象となった国や地域の中で最も低いこと、コミュニケーションスキルを重要視して自ら学習する人材を好んで採用する傾向などが見えてくる。

　（ISC）2は必ずしも最初から能力を満たしている人材だけを雇用するのではなく、雇用後の教育課程も含めて人材を確保する重要性を指摘している。