徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの？」

サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。

[田渕聖人，ITmedia]

　サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。

　ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8％増となっているが、求められる人材数は59万1000人（2022年比33％増）であり、需要と供給の間にはまだまだギャップがある。

　ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうすればいいのか。“セキュリティ業界のご意見番”であるイー・ガーディアングループの徳丸 浩氏（CISO兼EGセキュアソリューションズ取締役CTO）に実際のところを聞いた。

サイバーセキュリティ人材はなぜ足りないのか？　徳丸氏の見解は

――早速ですが、昨今のサイバーセキュリティ人材不足の要因についてお聞かせください。

徳丸 浩氏（以下、徳丸氏）：　一概に言うのは難しいと断りを入れておきます。セキュリティ人材を育成する仕組みはまだ十分に整っていないというのが、一つ要因としてはあると思います。

　サイバーセキュリティ企業はともかく、一般企業ではサイバーセキュリティ人材を増やしたくても指導し、育成できる人材がそもそも少なく、経験やベンダーから仕入れた知識、資格の勉強などから学ぶしかないのが現状です。

イー・ガーディアングループの徳丸 浩氏（CISO兼EGセキュアソリューションズ取締役CTO）

　そういう状況ですから、多くの企業は自社に人材がいない場合は他社から引っ張ってくるしかないと考えますが、これではサイバーセキュリティ人材があっちこっちに行くだけで全体数は増えません。つまり現状、人材を増やすためには、サイバーセキュリティ人材ではない人たちをサイバーセキュリティ人材として育成する必要があるわけです。

　では、どういった人材を育成すればいいかというとやはり、大学を卒業したばかりの人を新卒で雇ってセキュリティエンジニアとして育成するというのが一般的かなと思います。ただし大学は基礎的な知識や考え方、考える方法などについては教えてくれますが、当然、セキュリティのツールの使い方といった実務については教えませんので、これは会社に入ってから鍛えないといけないわけです。

　ですから新卒に即戦力になることを期待してはいけません。学生によって相当ばらつきはありますが、「大学の演習でやったような、非常に単純なプログラムは作れるが、本格的なものは作れない」といった方が大半なわけです。実務ができるようになるまで訓練するというのは非常に大変なのです。

――しかし新卒をせっかく採用し、育成しようにもその仕組みが整っていないわけですね。その他には問題はありますか。

徳丸氏：　個人的にはキャリアパスの問題は非常に大きいと感じています。IT以外の一般の事業会社にセキュリティエンジニアとして入社後、シニアになったときのキャリアパスが明確になってはいないのではないかと推察しています。

　会社も会社でキャリアのビジョンを示せず、サイバーセキュリティ人材をどう処遇すればいいのか分からない、そもそもその人の専門性を評価できず優秀かどうかも分からないというところもあるのかもしれません。「キャリアパス自体が整備されていないためロールモデルもいない。ロールモデルがいないのでどう動けばいいかも分からない」という負のループが生まれているのではないでしょうか。

徳丸氏が考える「サイバーセキュリティ」に向いている人の特徴

――キャリアパスの話でいうと、サイバーセキュリティ人材またはセキュリティ業務への憧れを持っている方もいるかと思いますが、徳丸さんはどう考えていますか。

徳丸氏：　セキュリティに憧れを持つ人材という意味では2種類いると考えています。一つはサイバー攻撃に敵意を燃やし、正義感から「日本を安全にしたい」という思いを持っているタイプ。もう一つはCTF（Capture The Flag）のようなスコアを競うイベントをきっかけにセキュリティに関心を持つタイプです。

　ただし残念ながら、高い志を持っているからといって素質があるかと言われると必ずしもそうとは言えません。また、ゲームをきっかけに興味を持つタイプの方は難しい問題を解いたという“爽快感”を求めているのだと思いますが、現実のセキュリティ業務は単純な作業が意外に多いのでそこにがっかりしてしまう方はどうしても出てきます。

　そのため当社も実施していますが、入社前には事前にキラキラしたことばかりではない“泥臭さ”をしっかりと志望者に伝えるのが入社後のミスマッチを防ぐ最善の手段でしょう。

――憧れだけでは務まらない仕事ということですね。では、どういった方がサイバーセキュリティの業務に向いているのでしょうか。

徳丸氏：　Perlの開発者であるラリー・ウォールは「プログラマーの三大美徳」として「怠惰」「短気」「高慢」を挙げています。要するに、優秀なプログラマーは高品質で処理速度の速いコードを書いたり、面倒な仕事を自動化したりするということです。サイバーセキュリティにもこれらの要素は必要だとは思いますが、同時に先ほども言ったように泥臭い仕事も多いので、“真面目にコツコツ”といった勤勉性も重要になってきます。

　その他、脆弱（ぜいじゃく）性診断をうまく進めるためには、ある挙動からソースコードが入手できない場合に「ブラックボックス」の中身を推測するセンスが必要になることもあります。当社の採用試験でも簡単な脆弱性診断を用意しているのですが、向いている人とそうでない人では大きな差が生まれます。

　後は論理的思考も重要です。これも当社の採用試験にある例で、セキュリティ事件の要約を読ませて手口や原因を考察させると、論理的思考ができるかどうかで意見がだいぶ分かれます。これは実務経験が長ければ優れているかと言われると、そういうわけでもないと思います。

　さらに言うと、セキュリティは“総合格闘技”ですからITシステムを使った経験があったり、開発やインフラ運用などを一通り学んだりしないと分からないことも多いです。こう言うと非常に“欲張り”なことを言っている気がしてきますが。

――お聞きした内容ですと新卒からサイバーセキュリティの専門家としてのキャリアパスを構築するのは求められるものも多く非常に難しいように思えます。

徳丸氏：　もちろん全てを兼ね備えた人は現実には少ないので、重視する素質として、他の要素はいったん目をつぶって“勤勉性さえあればいい”と思っています。たまにホワイトハッカーを志す学生さんからも同じような相談を受けることがありますが、プログラミングも重要ですが、セキュリティには総合的な学力が必要になるのでまずは学校の勉強をしっかりとすることが大事だと答えています。特に大学の講義などは論理的思考を身に付けるいい機会になるでしょう。

企業はサイバーセキュリティ人材獲得に向けて何をすべきか？

――サイバーセキュリティ人材に必要な素養については分かりましたが、こうした人材を獲得するために企業としては何をすればいいのでしょうか。

徳丸氏：　当たり前ですが経営層がセキュリティの重要性をしっかり認識して、人材の獲得や育成などにお金を出すことが大事でしょう。もちろん若者に課長と同じだけの給料を払えますかと聞かれて、なかなか「うん」とは言えない企業が多いかと思いますが、“専門性に高いお金を払うっていう文化があまりない”のは問題だと思います。まずは専門家にしかるべき報酬を支払うことですね。

　その他には、サイバーセキュリティ人材のためにキャリアパスを考える、または整備してあげるのも重要です。働くために魅力的な環境を作りましょうということですね。

　または外部から連れて来るのが難しい場合は、自社の従業員をサイバーセキュリティ人材として育成するという方法もあります。これは当社もそうですが、サイバーセキュリティ教育を提供する外部のサービスを利用して育成するのが近道です。ただし、その従業員に先ほども言ったような、勤勉性といった素養があることが前提条件になってきますが。

　これだけは言いたいのですが、最近採用面接をしていると、志望者に「私がこの会社に入社したら、私はどうやって成長できるんですか。どういう風に成長させてくれるんですか」といったような質問をされるようになりました。優秀なサイバーセキュリティ人材を本気で獲得したいのであれば、企業はそういった質問にも答えられるように、キャリアパスや育成について真剣に考える必要があると思います。

――逆にセキュリティエンジニアはそういった質問を企業に投げかけてみれば、自分が成長できる機会が得られるかどうかを判断できるかもしれません。本日はどうもありがとうございました。