「人手不足」は終わったが「スキル不足」が企業を壊す? ISC2が突き付ける2025年の残酷な現実
ISC2は2025年版「サイバーセキュリティ人材調査」を発表した。セキュリティ人材不足はこれまで企業の主要課題だったが、AIの普及によって人材の問題は「量」から「質」という新たなフェーズに移行するという。
サイバーセキュリティの専門家で構成される国際的な非営利団体ISC2は2025年12月16日、最新の「サイバーセキュリティ人材調査 2025年版」を発表した。
世界約1万6000人の専門家を対象とした同調査から見えてきたのは、長年叫ばれてきた課題であるセキュリティ人材の不足が「数」から「質(スキル)」という、より深刻なフェーズに移行したという事実だった。
ISC2のクレイトン・ジョーンズ氏(APACマネージングディレクター)は発表会の冒頭、同調査の信頼性と網羅性について強調した。今回の調査対象は、全世界で約1万6000人のサイバーセキュリティ実務家を対象としており。そのうち日本からは1225人が参加している。サンプル選定において同氏が最も重視したのは「企業規模と業種のバランス」だ。
「日本においてもNTTや日立といった大企業から、リソースの限られた中小企業までを幅広くカバーしている。大企業の担当者と中小企業の担当者が直面する課題は本質的に異なるからだ。それぞれがどのような問題を抱え、いかに解決に取り組んでいるかを正確に把握することを目指した」とジョーンズ氏は語る。
課題は「量」から「質」へ 頼みの綱のAIも望み薄……?
過去18カ月にわたる追跡調査の結果、ジョーンズ氏が指摘したのはリスクの所在が劇的に変化したことだ。
これまでサイバーセキュリティの最大の懸念は「人材の絶対数」の不足であった。しかし2025年現在、その懸念は「スキル不足」へと明確にシフトしている。
「人材の数自体は、以前より若干増加傾向にある。しかし、日々進化するテクノロジーや巧妙化する脅威に対し、既存チームのスキルが追い付いていない。この『スキルのミスマッチ』こそが、現在の企業が直面している最大のリスクだ」(ジョーンズ氏)
調査によれば、実に59%の担当者が「重大または深刻なスキル不足」を抱えていると回答した。これは2024年から上昇しており、さらに「少なくとも1つの領域でスキルが不足している」と答えた企業は95%に達する。もはや、完璧なスキルセットを維持できている組織は絶滅危惧種と言っても過言ではない。
スキル不足は、単なる「学習の遅れ」では済まない実害をもたらしている。ジョーンズ氏は具体的な悪影響として「システムの不適切な設定」「新たなテクノロジーの活用不全」「外部ベンダーへの過度な依存」「インシデント管理・対応時間の増大」などを挙げる。
ジョーンズ氏は「AIが発展してもそれを使いこなすスキルがなければ、むしろ組織にとっての『非効率』と『リスク』に変貌してしまう。これが2025年のパラドックスだ」と警鐘を鳴らす。
もちろん企業としても自社の穴を埋めるスキルを持つ人材を確保したい。しかしここにも課題がある。調査によると、それぞれ30%の回答者が「必要なスキルを有する人材が見つからない」「雇用するための予算がない」と答えたという。
市場は依然として「売り手」がコントロールしており、企業は提示できる給与や条件において劣勢に立たされている。ジョーンズ氏は「今、組織内でトレーニングプランを立てて人材を育成しなければ、ギャップの幅は広がる一方になる」と、人材育成の重要性を説く。
予算削減の「波及効果」 日本は世界より“マシ”なのか
経済的なプレッシャーは2025年のセキュリティの現場を苦しめた主要因だ。調査では、回答者の72%が「人員削減や予算縮小によってセキュリティ侵害の可能性が大幅に高まっている」と答えた。さらに76%が「予算削減によって侵害が発生した場合、その責任は(現場ではなく)組織そのものが負うべきだ」と感じていることが分かった。
ここで興味深いのは日本市場の特異性だ。グローバル平均と比較すると、日本は経済的な負の影響を比較的抑えられている。
| 項目 | グローバル平均 | 日本 |
|---|---|---|
| 予算削減の実施 | 36% | 29% |
| 採用凍結の実施 | 39% | 18% |
| レイオフ(解雇)の実施 | 24% | 12% |
「日本は世界と比較しても雇用環境が安定しており、セキュリティのエコシステム全体としては成長傾向にある」とジョーンズ氏は評価する。しかしスキル不足の状況(日本の回答者の94%が不足を感じている)は世界と大差なく、予断を許さない状況に変わりはない。
AI導入のジレンマと専門家の燃え尽き症候群にどう対応するか?
2025年のセキュリティ人材市場において、AIは無視できない変数だ。ジョーンズ氏は日本のAI導入について「文化的な慎重さや手続きを重視する側面から、導入自体は世界に比べてやや遅れ気味かもしれない」としつつも、現場の意識は高いと指摘する。
実際、AI導入に対する日本の回答者の「スキルアップの必要性」を感じている割合は74%に上り、グローバルと遜色ない。
「AIは簡単なインシデントの検知など、低レベルなタスクを自動化してくれる。しかし、それによって人間が不要になるわけではない。AIが出した結果をどう解釈し、どう分析してソリューションを導き出すか。より高度な『分析的スキル』が、食物連鎖の上位スキルとして求められるようになっている」(ジョーンズ氏)
この他、ジョーンズ氏は最も懸念すべきデータとして「専門家の疲弊」を挙げた。約50%の専門家が業務量の多さと技術進化の速さに「圧倒され、疲弊している」と回答している。
「セキュリティに携わる人々は非常に情熱的で、長時間労働も厭わない真面目な気質を持っている。しかし5割が燃え尽き寸前の状態で働き続けるのは極めて危険な兆候だ。雇用主はこの現状を認識し、柔軟な勤務形態の導入やメンタル面でのサポートなど、具体的なアクションを起こさなければならない」(ジョーンズ氏)
セキュリティ人材の増減はもはや問題ではないのか?
記者はこれまで、ISC2の調査といえばセキュリティ人材の増減を定点観測している印象を持っていた。しかし今回の調査で明確に人材の「増減」から「質」へと観測対象をシフトしたように感じる。
ジョーンズ氏はこの理由について「単純な人数のギャップはAIで埋められる可能性があるからだ」と説明した。技術革新によって課題が変化しているのだ。
これは日本のCISO(最高情報セキュリティ責任者)や人事担当者にとって極めて重要なメッセージだといえる。これまでわれわれはセキュリティ人材が「何人足りないか」「どう確保・育成すべきか」という議論に終始してきたが、これからの問いは「どのようなスキルが自社のセキュリティに必要なのか」というより発展したものになる。
この答えは今の時点で出すことはなかなか困難だが、従来の“人海戦術”という発想を捨て去る必要があるかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
守ったつもりが、守れていなかった アスクルのランサム被害報告書の衝撃
「EDRを入れれば安心」という考えが最も危険かもしれません。アスクルはランサムウェア被害に関する詳細なレポートを公開しました。ここから見えたのは「最新対策を導入していた企業」でも攻撃に遭うという事実です。ではどうすればいいのでしょうか。
アサヒのランサムウェア被害はなぜ起きたのか? 凶悪グループ「Qilin」のリアル
アサヒGHDのランサムウェア被害は消費者の生活にも影響を及ぼす大規模なインシデントだった。一体この事件はなぜ起きたのか。ホワイトハッカーがダークWebを探索し、攻撃を主張するRaaS「Qilin」の実態や被害の要因をひもとく。
ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
ランサムウェア被害の深刻化を受け、バックアップの実効性が事業継続の要として再び注目されている。ガートナーは形式的な運用だけでなく、復旧力と連携を重視した戦略的見直しが不可欠と警鐘を鳴らしている。
復旧できない「7割の企業」で何が起きている? ランサムウェア被害からの“復旧力”を考える
ランサムウェアが猛威を振るっています。被害を受けた企業のシステム停止はなぜ長引くのでしょうか。侵入を前提とせざるを得ない時代に入った今、企業に求められる“復旧力”の構成要件とは。