セキュリティ人材にいま“本当に必要なスキル”とは何か？：Cybersecurity Dive

ITやセキュリティの急速な技術の進展はスキルギャップを招き、結果として人材の慢性的な不足につながっている。企業はスキルギャップを解消するためにどのようなアプローチを取ればいいのか。また、今セキュリティ人材に求められるスキルとは。

[Rosalyn Page，Cybersecurity Dive]

　サイバーセキュリティ領域は慢性的な人手不足に悩んでいる。企業は優秀な人材を見つけるために4年制大学の学位を持つ人材以外にも目を向けている。

慢性的なセキュリティ人材不足を解消するにはどうすればいいのか？

　非営利団体であるCompTIAの調査「サイバーセキュリティの現状」によると（注1）、大学の学位の代わりに、専門知識や認定資格を持つ人材を求める企業が増加している。

　セキュリティの専門家は「業界は人手不足を補うために新しい対策を必要としている」と考えている。

　Oracleでカスタマーサクセスサービスを担当するシニアバイスプレジデント兼CISO（最高情報セキュリティ責任者）であり、ISACAの副会長であるブレナン・ベイベック氏は「候補者を見つけて、採用し、雇用する方法について、創造的に考え始める必要がある」と述べた（注2）。

　ISACAのレポート「2023年サイバーセキュリティ人材調査」によると（注3）、世界中で400万人のサイバーセキュリティ専門家が必要とされている。この大きなギャップを埋めるためには業界や政府、職場の協力が必要だ。

　ベイベック氏によると、人手不足に対処するため、サイバーセキュリティ人材を育成する企業と政府機関との間でパートナーシップが生まれつつある。ハイパースケーラーは無料のトレーニングや認定資格を提供している。

　Oracleはシンガポール政府の取り組みを支援し、無料のさまざまなトレーニングと認定プログラムを提供している。

　ベイベック氏は「Cybersecurity Dive」に対して次のように述べた。

　「ハイパースケーラーは自社のプラットフォームの利用を促進している。提供されるトピックやコンセプトは貴重な知識を提供し、多くのスキルギャップを解消する。サイバーセキュリティのポジションにおける人手不足に対処する手助けとなる」

　ベイベック氏は、協力的なアプローチは誰にとってもメリットがあり、スキルギャップが最も顕著な分野に焦点が当てられると考えている。ISACAの報告書によると、クラウドコンピューティングやセキュリティ管理、コーディングスキル、DevOpsなどが特に人手不足の分野だ。

　「クラウド技術の利用が世界中で飛躍的に増加している今、ハイパースケーラーやその顧客、従業員にとっても、この技術は価値をもたらすものであるべきだ」（ベイベック氏）

スタッフの採用と育成のアプローチを変化させよう

　CompTIAの報告書によると、労働力に関するスキルギャップの主な要因は変化のスピードだ。特に、エンタープライズテクノロジー全般およびサイバーセキュリティの分野では、伝統的な学習では追い付けないほどに技術の進展が速い。

　企業はこれに対して、候補者が自らの知識やスキルを証明する方法にはさまざまなものがあると認識しつつある。企業は経験の浅い人材を採用し、彼らがスキルを高め続けながら企業の文化や目標に慣れてくれることを期待している。

　しかしこれを実現するためには、企業は採用基準を見直し、従来とは異なる候補者にも門戸を開く必要がある。

　ISACAの報告書によると、既存の非セキュリティスタッフに対してトレーニングを実施し、彼らのスキルを向上させてサイバーセキュリティにおける役割を新たに担ってもらうことも選択肢の一つだ。この手法の利点は、社内の人材はソフトスキルや大卒の学位、実践的な技術経験をはじめとするその他のスキルや要件をある程度備えていることだ。

　「新しいことを学ぼうとする興味や情熱、献身があれば、大半の場合は、特定のスキルギャップを埋めることが可能だ」（ベイベック氏）

　ベイベック氏は「スキルアップを支援するために、専門的な業界団体やサービスプロバイダーが提供するマイクロラーニングのように、より焦点が絞られており、モジュール化された学習プログラムが提供されるべきだ」と考えている。

　「それにより、ギャップを埋めるために必要なスキルを人々が習得し、早く職場で役立てるようになる。その後、学位や資格を用いてサイバースキルを補完できるだろう」（ベイベック氏）

今求められるソフトスキルとは何か？

　ISACAの報告書と最新のサイバーセキュリティ人材調査によると、コミュニケーションを含むソフトスキルは、現在において求められているもう一つの主要分野である。

　ISC2によると、サイバーセキュリティ業界への参入の容易性の観点から、企業は技術的なバックグラウンドを持つ人材を求めている。一方、非技術的なスキルを重視する傾向も強まっている。

　ISC2のクレア・ロッソ氏（CEO）は「ここ数年、非技術的なスキルを優先して採用する動きが企業に見られる。これらの企業は、詳細なスキルセットを求める企業よりも、より迅速に人材不足に対処している」と話した（注4）。

　ロッソ氏はCybersecurity Diveに対して、「組織が優先している非技術的なスキルには、問題解決能力や好奇心、学ぶ意欲、効果的なコミュニケーション、批判的思考と分析思考が含まれている」と述べた。

　生成AIの可能性に関する熱狂があるが、ロッソ氏は「AIは人の仕事を奪わず、人々が実行する仕事の種類を変える。その結果、非技術的な能力が重視されるようになる」と考えている。

　「AI主導の世界では、データを理解し、関連性と正確さについて判断し、それらに基づいて意思決定を行うため、分析的かつ批判的な思考力を活用できる人材が必要だ」（ロッソ氏）

　ロッソ氏は、組織内においてAIを安全かつ倫理的に使用するスキルや、より広範なリスクに対処するスキルの需要が高まると予想している。

　「採用担当者は、リスク評価や分析、管理のスキルを持つ人材を優先するようになるかもしれない」（ロッソ氏）

　これは、サイバーセキュリティにおける広範な変化の一部であり、攻撃的なアプローチからリスク管理を中心とした防御的な姿勢への移行を示すものだ。

　「リスクはサイバー防衛における全ての基礎であり、リスクの理解や分析、緩和、移転が重要だ」（ロッソ氏）

　アプローチに関するこれらの変化を実現する際、企業は特定の経験を優先せずに、その仕事に必要な能力を見直す必要がある。これによって、候補者の裾野が広がり、労働力のギャップを解消し、さらに多様性を向上させられるかもしれない。

　「長年にわたって労働力のギャップが存在している。組織は誰をどのように採用するかについて考え方に変化がみられる」（ロッソ氏）

（注1）STATE OF CYBERSECURITY 2024（CompTIA）
（注2）Brennan Baybeck（linkedIn）
（注3）State of Cybersecurity 2023 report（ISACA）
（注4）Clar Rosso（linkedIn）

原文へのリンク