セキュリティ人材不足の裏にある“からくり”と“いびつな業界構造”：セキュリティニュースアラート

セキュリティ業界の人材不足が深刻化している。専門スキルの要求は高まる一方で、実際の採用市場は厳しく、多くの求職者が職を得るのに苦労している。この背景には“いびつな業界構造”が関係していた。

[後藤大地，有限会社オングス]

　セキュリティメディアの「Dark Reading」は2025年3月5日（現地時間）、サイバーセキュリティ業界が深刻な人材不足に直面しながらも、求職者にとって厳しい市場が続いているというパラドックスについて報じた。サイバー犯罪による被害額が増加する一方でサイバーセキュリティ業界ではかつてないほどの人材不足が発生しているという。

なぜセキュリティ人材が足りない？　根本にある“いびつな業界構造”

　ISC2の「2024 Cybersecurity Workforce Study」によれば、世界全体で340万人のサイバーセキュリティ専門家が追加で必要とされている。しかし実際の採用市場は厳しく、多くの求職者が職を得るのに苦戦している。サイバーセキュリティ雇用市場データを提供するCyberSeekの調査によると、2023年9月〜2024年8月にかけて米国では45万7433件のサイバーセキュリティ関連の求人があったが、雇用主は適切なスキルを持つ人材の確保に苦戦しているとされている。この要因は一体どこにあるのか。

　Dark Readingはこの要因の一つとして、サイバー脅威の急速な進化を挙げている。サイバー攻撃の高度化に伴い、専門家は最新の脆弱（ぜいじゃく）性や攻撃手法に対応し続ける必要がある。IBMの2024年のサイバーセキュリティに関するレポートによれば60％の企業がサイバーセキュリティ職の採用に苦労しており、その主な理由として求人に高度な専門スキルを要している点が挙げられている。

　業界内では攻撃型（オフェンシブ）と防御型（ディフェンシブ）のスキル需要に大きなギャップがある。多くの新人はペネトレーションテスト（侵入テスト）などの攻撃型の手法を学んで参入するが、実際に業界で求められるのは防御型のスキルの方が多い。結果として攻撃型の専門家が過剰供給となり、一部は業界を去るか、防御側への移行を余儀なくされている。さらに防御型の業務は膨大な書類作成やルーティンワークが伴うため、バーンアウトのリスクが高い。

　また、特定の業界や地域では規制やコンプライアンス要件が追加の障壁となっている。米国や英国、欧州連合（EU）では金融、医療、防衛分野におけるセキュリティ職は技術スキルだけでなく、各国の法規制に関する知識も求められる。例えば、欧州ではEU一般データ保護規則（GDPR）、米国では米国国立標準技術研究所（NIST）基準、国際的にはISO規格が関わる。

　さらに一部の職種では国籍要件や身元調査を求められることが多く、海外からの人材流入やアウトソーシングが困難な状況となっている。Deloitteによると、特にコンプライアンス関連のサイバーセキュリティ職の40％以上は外部委託が不可能とされ、これらのポジションにおいて多くの企業が採用に苦戦していることがうかがえる。

　もう一つの要因として「ゴースト求人」が課題として挙げられている。企業の採用部門は将来的な候補者リストを確保するために求人情報を掲載するが実際にはポジションが存在しないことが多い。この慣習は求職者の時間を浪費させ、フラストレーションを生み出すとともに市場における求人の実態を見えにくくしている。さらに多くの求人は過剰なスキル要求を設定していることも指摘されている。例えば同じ募集要項内でペネトレーションテストやネットワーク防御、規制順守のスキルを同時に求めるケースがあり、これは本来であれば別々の職種に割り当てられる求人であるべきだ。

　サイバーセキュリティ分野において多くの企業が人材育成への投資を十分に実施していないと分析されている。ITガバナンスや情報セキュリティに関する調査を提供するISACAの調査によると、企業の半数以上が社内での人材育成プログラムを持たず、即戦力の専門家を求める傾向にあるとされ、このような姿勢が人材不足をさらに深刻化させている。

　この状況を改善するために人材育成の取り組みを強化することが重要とされている。ジュニアレベルの専門家を積極的に採用し、実務経験を積む機会を提供すること、さらに教育機関との連携を深め、継続的に優秀な人材を輩出できる環境を整備することが求められる。企業が努力を怠り続ければサイバーセキュリティ業界の人材不足はさらに深刻化し、組織のセキュリティリスクも高まり続けることになる。持続可能なサイバーセキュリティ人材の確保に業界全体での積極的な取り組みが不可欠とされている。