「未経験者でもいいから……」 セキュリティ人材獲得に向け採用基準を見直す企業も――（ISC）2調査

（ISC）2は国内企業のセキュリティ担当者650人を対象にした調査結果を発表した。同調査から企業におけるセキュリティ人材不足の現状とその原因、人材の採用状況、AIツールに対する考え方などが明らかになった。

[田渕聖人，ITmedia]

　International Information System Security Certification Consortium（以下、（ISC）2）は2023年5月19日、「2023年版のサイバーセキュリティ人材に関するパルスサーベイ」の調査結果を発表した。

　同調査は、サイバーセキュリティ業界における労働力や脅威対策、AI（人工知能）の導入動向、規制など、広域にわたる最新の動向を明らかにすることを目的としており、日本国内の（ISC）2会員650人を対象に同年4月に実施したオンライン調査に基づいている。

70％がセキュリティチームのスキル不足に直面　その原因とは？

　2023年版のサイバーセキュリティ人材に関するパルスサーベイによると、63％の回答者が、現状の脅威状況について「過去5年間で最も厳しい」と認識していることが分かった。

　回答者の48％が、不安定な経済状況下において、自身の所属する組織のサイバーセキュリティチームが持つ安全を維持する能力に懸念を示しており、40％の回答者が「経済の不確実性が悪意のあるインサイダーなどの内部脅威のリスクを高める」と答えた。さらに回答者の70％が「組織のセキュリティチームがスキル不足に直面している」と回答している。

あなたの組織のセキュリティチームには、どのようなスキルギャップがありますか（出典：（ISC）2提供資料）

　また、スキル不足に陥っている原因としては以下のポイントが挙がった。

• 組織は十分な人員を雇うための予算を持っていない（18％）
• 経営陣による人材の配置が不適切（14％）
• 需要のあるスキルを持つ人材の維持ができない（14％）
• セキュリティ強化に向けて、非セキュリティ部門のIT人材を訓練するためのリソースが限られている（14％）

スキルギャップの原因（出典：（ISC）2提供資料）

　回答者がスキル不足を感じている分野について深堀りしたところ、、インシデントレスポンスや脅威インテリジェンス分析、クラウドコンピューティングのセキュリティ、ペネトレーションテストにおいて、人材のスキル不足が著しいと回答する対象者が多かった。

企業や組織がスキルギャップを抱える分野（出典：（ISC）2提供資料）

セキュリティ人材不足を企業はどう補う？

　今回の調査では、国内企業におけるセキュリティ人材の採用事情も明らかになった。51％の回答者がサイバーセキュリティ未経験の応募者をより多く受け入れるために、採用条件や基準を見直している。また、45％の回答者が、社内の非IT人材を積極的にサイバーセキュリティ担当に転身させようとしている。

企業のセキュリティ人材採用事情（出典：（ISC）2提供資料）

　調査によると、アジア太平洋（APAC）地域の企業はセキュリティスキルが初級または中級レベルの人材を採用する際には、以下の特徴を求めることが判明している。

APAC地域の企業がセキュリティスキルが初級または中級レベルの人材を採用する際に求めるもの（出典：（ISC）2提供資料）

セキュリティ担当者はAIツールについてどう考えているか

　その他、同調査では、AIアプリケーション導入の動向や規制順守についても詳細に聞いた。その結果、57％の回答者がAIに対して全くあるいは最低限の知識しか有していなかった。

57％がML（機械学習）を含むAIについて「ほとんど分からない」と回答した（出典：（ISC）2提供資料）

　ただし54％の回答者が「『ChatGPT』をはじめとしたAIツールの利用について規制をかける前に、まずはこれについてよりよく理解する必要がある」と回答している。

AIツールの規制について54％が「規制する前に、この技術をよく理解しなければならないと考えている」と回答した（出典：（ISC）2提供資料）