なぜ米国企業はセキュリティ人材が豊富なのか？ 構造的課題から見る日本との差：.conf25現地レポート

日本企業で深刻化するセキュリティ人材不足。現場では人が足りないまま業務が増え続け、限界を感じている担当者も多い。一方で米国企業では人材確保やCISOの存在が当たり前となり、組織としての強さを発揮している。この差はどこにあるのか。

[田渕聖人，ITmedia]

　日本企業における社内セキュリティ人材の不足は深刻な問題だ。その一方で米国企業ではIT・セキュリティ人材を自社で獲得・育成する文化が育っており、豊富な人材を抱えているケースも多くある。一体この違いはどのような背景が関係しているのか。

　Splunkは2025年9月8日〜11日（現地時間）、米国ボストンで大規模カンファレンス「.conf25」を開催している。「ITmedia エンタープライズ」では同イベントの現地レポートを公開している。今回はその番外編として、Splunkのマイケル・ファニング氏（CISO）の単独インタビューをお送りする。

　米国企業のセキュリティ人材が豊富な理由や、日本企業がCISO（最高情報セキュリティ責任者）を増やす方法、CISOに必要なスキルセットなどを解説しよう。

なぜ米国は人材が豊富なの？　日本とのセキュリティ人材事情を徹底比較

――日本のユーザー企業ではセキュリティ人材不足が課題になっています。その背景にはITやセキュリティ業務を外部委託する業界構造が関係しています。日本企業と米国企業のIT環境を比較するという意味で、なぜ米国企業はそんなに多くのセキュリティ人材を社内で雇えるのかを教えてください。

マイケル・ファニング氏（以下、ファニング氏）：　まず雇用するためには専門人材がたくさんいる必要があります。ではなぜ米国で多くのセキュリティ人材がいるのかというと、教育が充実しているからです。実際、私は軍出身のエンジニアから多くの知識を学びました。

Splunkのマイケル・ファニング氏（CISO）（筆者撮影）

　それだけでなく大学でも、サイバーセキュリティの準学士や学士号を取得できるようになっています。例えばルイジアナ州立大学では、学生主導のセキュリティオペレーションセンターを運営しており、学生が在学中から実務経験を積めるようにしています。

　付け加えると、日本のエンジニアは技術面で非常に強い人材基盤を持っていると思います。これはセキュリティを築くための基礎として大変重要です。私は、セキュリティを学ぶ前に別の技術関連分野を経験すべきだと考えています。そうすれば基礎や概念を理解し、それにセキュリティを適用できるからです。

　私は実際にセキュリティの経歴がない人を雇うこともあります。ソフトウェアエンジニアリングや他の役割の経験があり、私にとって価値ある能力を提供してくれると分かっているからです。私は自動化や構築が好きです。セキュリティしかやったことがない人を雇うと、そのスキルセットを欠いている可能性があります。

――つまり、国としてセキュリティ人材の需要が高く、かつ教育や育成をする場があり、そうした人材を受け入れる土壌があるので人材が増えていくということですね。ただ、人材育成には長い時間がかかります。何かすぐにセキュリティ人材を増やすためのアイデアはありますか。

ファニング氏：　やはりセキュリティ人材を増やすことや企業内でCISOを設置することを優先事項にするのが大事です。ただ、どのように優先順位を高めるかについては明確な答えはありません。強いて言えば、セキュリティを強化しない企業に対する罰則を設けたり、ビジネスにおける取引の要件にセキュリティを組み込んだりするなど、企業に一定の外圧をかける必要があると思います。

　例えば規制は大きな要因です。米国では上場企業や業種ごとの縦割り規制が強く存在します。金融や医療、保険といった分野では顧客データの保護、安全な製品の提供、リスクの報告が義務付けられています。上場企業であれば、CISOやセキュリティ部門なしにそれらの目標を達成できません。

――日本ではまだ本格的に規制は厳しくないですね。ただ最近は防衛省による「防衛産業サイバーセキュリティ基準」（注）も始まっているため、防衛分野ではセキュリティの強化が求められています。

（注）防衛装備品の調達における情報セキュリティを確保するための厳格な基準。防衛省と直接契約を結ぶ企業だけでなく、そのサプライチェーン全体に含まれる下請け企業にも準拠が求められる。防衛省との契約を希望する企業は、この新基準に準拠するための情報セキュリティ基本方針やシステムセキュリティ管理策を策定し、防衛省に提出する必要がある。

技術だけでも難しい……　CISOに必要なスキルセットとは何か？

――セキュリティ人材、特にCISOに求められるスキルセットは変化してきたと感じますか。

ファニング氏：　変化していると思います。CISOは経営層レベルでコミュニケーションを取り、組織全体にセキュリティの変革やベストプラクティスを浸透させる必要があります。技術スキルだけではそのレベルには到達できません。コミュニケーションの方法や優れたビジネスリーダーになる方法といったソフトスキルを理解する必要があります。

　実際、私はセキュリティリスクをビジネスリーダーに理解できる形で説明できるように、外部のコミュニケーションコーチの指導を受けました。この他、コーチは部下のエンジニアなどオーディエンスに合わせた話し方を指導してくれました。エンジニアに話すときと、経営層に話すときで会話を切り替える必要がありますから。

　ソフトスキルでいえば、組織内でコミュニケーション文化を構築することも重要です。正直なところ、エンジニアは促さなければ互いに話さないことも多いです。

　このように最も重要なのはソフトスキルですが、検知と対応、セキュリティエンジニアリング、脆弱（ぜいじゃく）性管理、アイデンティティー・アクセス管理、リスク管理といったセキュリティに関する基本的な理解はもちろん、セキュリティインシデント対応やセキュリティ戦略についても熟達している必要があるでしょう。

　この他、業界特有のドメイン知識も重要です。規制の厳しい医療分野であれば、日常業務に影響する医療規制に精通している必要があります。一方で、私のようにソフトウェア企業のCISOであれば、ソフトウェアがどのように作られるかを理解することが重要です。なぜなら安全なソフトウェアを構築し、顧客に提供する責任があるからです。

――ありがとうございました。

（取材協力：シスコシステムズ）