若手セキュリティエンジニア獲得に最も有効な手段とは？ ISC2調査：セキュリティニュースアラート

ISC2は、サイバーセキュリティ分野での初級人材における採用動向について調査結果を公開した。セキュリティ人材不足が深刻化する中、人材を獲得するためにどのような手法を駆使すればいいのかが判明した。

[後藤大地，有限会社オングス]

　ISC2は2025年6月11日（現地時間）、最新のサイバーセキュリティ人材採用動向に関する報告書を公表した。この調査は、エントリーおよびジュニアレベルのサイバーセキュリティ人材の採用に関するトレンドや課題について詳述している。

　同調査は2024年12月、カナダ（158人）、ドイツ（155人）、インド（152人）、日本（154人）、英国（155人）、米国（155人）のサイバーセキュリティ採用担当マネジャー計929人を対象に実施された。

若手セキュリティエンジニア獲得に最も有効な手段とは？

　主な調査結果は以下の通りだ。

• エントリーレベルおよびジュニアレベルのサイバーセキュリティ専門家を採用する場合、セキュリティマネジャーは関連学歴よりも実務経験と認定資格を重視する。多くのセキュリティマネジャーは、ITやサイバーセキュリティ、コンピュータサイエンスの教育のみを受けた候補者よりも、IT業務経験のみを持つ候補者（90％）や、エントリーレベルのサイバーセキュリティ認定資格のみを持つ候補者（89％）を検討する。サイバーセキュリティ関連の職種を争う際に、関連経験と認定資格が学位のみよりも重視されることが多いことを示している
• インターンシップ（55％）と見習い制度（46％）は、キャリア初期のサイバーセキュリティ人材の発掘・採用において強力なツールだ。一般的な求人広告や人材派遣、紹介会社は、エントリーレベルおよびジュニアレベルの採用において依然として主要な情報源であり（57％で同率）、教育や医療、政府、ITサービス、通信などの分野ではインターンシップの実施頻度が同程度か、それ以上に増加する。この傾向はインドや英国、米国で顕著に現れた。エネルギーや公益事業の採用担当者は、重要な役職の充足において見習い制度への依存度を高めている
• サイバーセキュリティの採用担当者の約5人に3人（58％）が「エントリーレベルおよびジュニアレベルのチームメンバーの離職率を懸念している」と回答した。しかし大半の担当者は「彼らの専門能力開発に投資する予算（75％）およびチームに十分な人員を配置する予算（73％）はある」と回答した。エントリーレベルおよびジュニアレベルの人材の育成は費用対効果も高く、高い潜在的リターンを期待できるとみられている
• 教育プログラムから採用を実施するサイバーセキュリティ採用マネジャーの約4分の1は、コンピュータサイエンスやIT、サイバーセキュリティ以外のプログラムからエントリーレベルおよびジュニアレベルのサイバーセキュリティ人材を特定する
• サイバーセキュリティの採用担当者は、非技術スキルを技術スキルと同等もしくはそれ以上に重視する指標がある。チームワーク能力や問題解決能力、分析的思考力は、データセキュリティやクラウドセキュリティよりも上位に入る。採用担当者がかならずしも技術的な知識を重視しているわけではないことを示している
• セキュリティマネジャーがエントリーレベルおよびジュニアレベルのサイバーセキュリティ専門家に期待するスキルや資格と、この層がキャリアの現段階で現実的に達成できるスキルや資格との間には、しばしば乖離（かいり）が見られる。セキュリティマネジャーがエントリーレベルおよびジュニアレベルの候補者が理解しておくべき技術的概念として多く挙げているのがクラウドセキュリティだ。クラウドセキュリティは理解すべき重要な概念だが、クラウドセキュリティのタスクをエントリーレベルの専門家が対応できると考えるマネジャーはわずか18％で、46％はジュニアレベルの専門知識が必要だと回答している

　ISC2の調査結果は、サイバーセキュリティ分野の採用環境が依然として厳しいが、採用要件の現実的な見直しや多様な人材の活用、基礎資格の活用が有効な対策となることを示している。企業は職務記述書の要件を明確にし、専門的背景にとらわれない採用戦略が求められる。早期キャリア層に対し、継続的な育成支援とキャリアパスの明示が優秀な人材の確保と定着に寄与すると考えられている。