なぜあなたの企業にセキュリティ人材が集まらないのか？ ISC2が調査を公開

サイバーセキュリティ人材はなぜ足りないのか、これを解消するにはどうすればいいのか。ISC2が公開したグローバル調査の結果から日本企業におけるその答えが明らかになった。

[田渕聖人，ITmedia]

　ISC2 Japanは2023年11月1日、記者説明会を開催し、年次グローバルサイバーセキュリティ人材調査「ISC2 Cybersecurity Workforce Study」の2023年版を公開した。

　2023年版のISC2 Cybersecurity Workforce Studyは、Forrester Researchと共同で2023年4〜5月にかけて実施された。北米や欧州、アジア、ラテンアメリカ、中東、アフリカに居住している1万4865人のサイバーセキュリティ実務者から収集したオンライン調査のデータを基にしており、そのうち日本の回答者は936人含まれる。

　記者説明会ではISC2のCEOであるクレア・ロッソ氏が、同調査における日本の調査結果にフォーカスした分析結果を公開した。サイバーセキュリティ人材の需給やキャリア、スキルアップなどについて詳細な調査が明らかにされている。

なぜセキュリティ人材は足りないのか？　調査から見えた日本企業の“欠点”

　前提としてISC2 Cybersecurity Workforce Studyでは、サイバーセキュリティの分野や領域に自身の勤務時間の25％以上を費やしている人材を「サイバーセキュリティ人材」と定めている。

　まずはサイバーセキュリティ人材の労働人口から明らかにしていこう。ISC2は現在の世界のサイバーセキュリティ人材を約550万人と推定している。これは、前年比8.7％増、約44万人の新規雇用に相当する。日本に目を向けると、サイバーセキュリティ人材は48万1000人（前年比23.8％増）に達し、2022年から9万2000人以上が新たに雇用されたことが明らかになった。これはISC2がこれまでに同地域で記録した中で最多となっている。

　全世界で見るとサイバーセキュリティ労働人口が増加し続けているが、調査では依然として需要が供給を上回っていることが明らかになっている。労働力の需給ギャップは、2023年で前年比から12.6％増加し、過去最大の約400万人に迫っている。中東・アフリカやラテンアメリカのような供給が特に急増した地域ではギャップの解消が進んでいるが、アジア太平洋地域（特に日本とインド）と北米で需給ギャップの格差は広がった。日本に必要なサイバーセキュリティ人材数は59万1000人（前年比33％増）であり、需要と供給のギャップを埋めるには23％増が求められる。

　人材の需給について日本にフォーカスした調査結果を見ていこう。調査によると、日本の回答者の32％が「セキュリティ問題の対策やトラブルシューティングを行う、サイバーセキュリティ要員が大幅に不足している」と回答、48％が「セキュリティ問題の対策やトラブルシューティングを行う、サイバーセキュリティ要員がやや不足している」と回答しており、合計で80％が人材不足を課題としている。

80％の回答者が人材不足を報告（出典：ISC2の発表資料）

　では人材が足りないことでどのような影響が生じているのか。調査では「サイバーセキュリティのチームの各メンバーを十分にトレーニングする時間がない」（46％）や「適切なリスク評価・管理を実施するための十分な時間がない」（44％）と回答する日本の回答者が多いという結果になった。

　その他には「適切なプロセスと手順の看過がある」（36％）、「不完全なインシデント対応が発生している」（29％）、「重要システムへのパッチ適用の遅れが発生している」（29％）、「インシデント対応の遅延が発生している」（29％）などが挙がった。

　ロッソ氏によれば、これ以外にも日本の回答者の20％が「人材が不足していなければデータ侵害を防げたという経験がある」と回答していた。

　人材不足の原因としては「競争力のある賃金を払っていない」（39％）、「有能な人材を見つけられない」（38％）、「スタッフのトレーニングが十分に行われていない」（26％）「経営陣による社員のリソースの配置ミスが起こっている」（22％）が挙がった。

ISC2のクレア・ロッソCEO

　ロッソ氏は「『経営陣による社員のリソースの配置ミスが起こっている』というのは言い換えると、経営陣としてはサイバーセキュリティ以外の採用を重視しており、そちらを優先しているということがうかがえると思います」と分析している。

　ではこうした人材の不足を解消するためにはどうすればいいのか。調査によると、「人材不足の緩和に必要なこと」としては「トレーニングへの投資」（80％）、「資格取得への投資」（78％）、「柔軟な労働条件の提示」（72％）「態度と適性を重視して採用し、技術スキルを身に付けるトレーニングを提供」（65％）などがあった。

人材不足の緩和に必要なこと（出典：ISC2の発表資料）

　「緩和策の中には『態度と適性を重視して採用し、技術スキルを身に付けるトレーニングを提供』という項目があります。これはここ数年のサイバーセキュリティ業界でみられる傾向で、必要な技術スキルを備えた人だけを採用するというよりも、スキル自体は持っていなくても、それ以外の態度や適正を兼ね備えた人をまずは採用するというアプローチに変化しています。具体的な適正でいうと、コミュニケーション能力やプロジェクトマネジメントスキル、チームワーク、マインドセット、批判的思考能力などです」（ロッソ氏）

日本では94％の回答者が組織が求めるスキルに"ギャップ"を感じる

　次にサイバーセキュリティ人材の業務に対する満足度やキャリア、スキルなどを見ていこう。仕事に対する満足度について聞いたところ、日本の回答者の13％が「非常に満足している」、34％が「やや満足している」と回答し、合計47％という結果になった。

　ロッソ氏は「グローバルでは合計70％が『満足している』と答えているため、日本の回答結果は非常に悪い数字だ。仕事の満足度が低いということは燃え尽き症候群に結び付く可能性が高く、転職のきっかけとなってしまう。人材不足の中、せっかく獲得した人材が流出してしまうのは大きな損失であるため、企業は積極的な対策が求められる」と話す。

　スキルギャップについて調査したところ、日本の回答者の94％が「自組織においてスキルギャップ（企業に求められる能力と実際に従業員の持つスキルの差）がある」と回答した。グローバルの結果は92％のためほぼ横ばいだと言える。

　組織におけるスキルギャップが存在する分野の上位5つには「クラウドコンピューティングセキュリティ」（30％）、「リスク評価・分析・管理」（29％）、「脅威インテリジェンス分析（29％）」「デジタル・フォレンジック、インシデントレスポンス」（29％）、「AI（人工知能）」（28％）が挙がっている。

どこにスキルギャップが生じているか（出典：ISC2の発表資料）

　この他、日本の回答者はスキルギャップの影響をどう評価しているかという質問に対して「『スキルギャップは需給ギャップよりも深刻になる可能性がある』ことに、同意／強く同意する」（56％）、「チーム全体のスキルを効率的に配分すれば、労働者不足を緩和できることに、同意／強く同意する」（40％）と答えている。

　キャリアパスについても日本独自の結果が明らかになった。「企業・組織の社員教育の方法」について聞いた質問では「社内研修」（46％）、「外部の資格認定コースの費用を負担／負担」（45％）、「勤務時間中に能力開発の時間を提供」（32％）、「外部の会議やイベントへの参加費を負担／補助」（29％）などが挙がった。

企業・組織の社員教育の方法（出典：ISC2の発表資料）

　日本の回答者で「専門能力開発のためのイニシアチブ／インセンティブを提供していない」と回答したのは7％だったが、この数値はグローバルの結果が4％であることを鑑みると優秀といえる数値ではない。アジア太平洋の国との比較では、香港（12％）よりも優れているが中国（8％）、韓国（6％）とほぼ横並びとなっている。

　また、サイバーセキュリティ人材の採用トレンドにはどのような変化が見られたのだろうか。調査によると、2023年の採用トレンドとしては「サイバーセキュリティの実務経験がない技術者からの求職が増加」（60％）、「サイバーセキュリティ部門へ異動に向けて、社内の技術者に対する積極的な募集を実施」（54％）、「サイバーセキュリティ以外のバックグラウンドを持つ応募者をより多く受け入れるため、採用要件／期待値を変更」（51％）、「サイバーセキュリティ部門への異動に向けて、社内の非技術者に対する積極的な募集を実施」（49％）などの回答が上位となった。

　ロッソ氏は「日本では『サイバーセキュリティ部門への異動に向けて、社内の非技術者に対する積極的な募集を実施』の項目がグローバルの41％と比べて高い結果になりました。非技術者を積極的にセキュリティ人材に転換する動きがみられます」と話す。政府が掲げる「プラスセキュリティ人材」の育成や採用に取り組む企業が増えていると考えられるだろう。