「年収1.5倍で引き抜かれました」 せっかく育てたセキュリティ人材を失う企業の盲点:ジレンマから見るサイバーセキュリティの要点
AIの台頭や世間の関心の高まりによってサイバーセキュリティ現場の負担が増している。しかし、真の危機は深刻な人材枯渇にある。育てた人材が年収1.5倍で引き抜かれるという過酷な現実を前に、経営者が見落としがちなリスクを現役CISOが示す。
この連載について
ランサムウェアによるシステム全停止の真因は、セキュリティ投資の妥協や事業部門との対立など、平時に放置された「ジレンマ」にある。本連載は、現役CISOの視点から「予算配分」「組織のすれ違い」「認知バイアス」「AIや人材枯渇」といった実務の壁となるジレンマを解き明かす。
サイバーセキュリティの世界では、技術の進化に伴い「現場の負担」が右肩上がりに増え続けている。しかし本当に恐ろしい危機は、増大する業務そのものではなく、それを支える「人」の限界にある。
手塩にかけて育てた若手が、他社から「年収1.5倍」のオファーを受けて突如去っていく――。サイバーセキュリティ求人の倍率は42倍とも言われる人材枯渇の状況において、良質な育成すらも新たなジレンマに変わる過酷な現実と、経営者が見落としがちな「現場崩壊のリスク」を現役CISOの視点から解き明かす。
新たな技術によるジレンマ
サイバーセキュリティの現場では、新たな技術や脅威、トレンドなどの出現と共に日々やらなければならないことが増えている。それと同時に新たなジレンマも増えていく。特にAIに関連する領域では、私たちはどうしようもない構造的な板挟みの中にいる。
A.AIはセキュリティ担当者に恩恵を与えてくれる
B.AIはセキュリティ担当者の新たな管理対象(心配の種)を増やす
C.AIは攻撃者に利用されることでセキュリティ担当者とって多大な脅威となる
すなわち、これが今AIを前にセキュリティ担当者が抱えるジレンマならぬトリレンマだ。
なお上記Cについては、AIによって攻撃の量と速度が指数関数的に増えていくことが予想されるが、それを止めることもできない。ただ救いと言えるのは、防御や検知をするセキュリティ製品にとってAIは新しいものではなく、既に20年以上前から研究や実装が進められてきた点だ。AIによる脅威を前提に、セキュリティの勘所はより洗練されていく必要があるが、今さら慌てても仕方のないことだ。
むしろ私たちが考えなければならないことは、以下の2点だ。
1.セキュリティのためのAIをどうするか
2.AIのためのセキュリティをどうするか
まず「1」については、まさに上記Aに述べるAIの恩恵をどのようにセキュリティに生かしていくかという観点だ。真っ先に挙がるのが運用の自動化や効率化、そして人間には不可能な量の処理能力と気付き(インサイト)の提供などだ。なお、「2」の文脈でAIの防御に集中すべき時に、セキュリティ担当者は「1」の文脈におけるAIの活用も同時に求められている。慎重に進めなければ、私たち自身が脆弱(ぜいじゃく)ポイントとなりかねない。
ただし、「1」については、先ほど述べたように、製品ベンダーが相当に検討してきたことなので、個々の企業があまり心配しなくてもよいと考えている。慌てずに、製品が進化するのを待つのも経営判断として悪くない。一方の「2」については、ざっと思い付くだけでも相当な観点で対処しなければならないことがある。
・自社のAIモデルを汚染するような攻撃への対策
・社内で乱立するAIエージェントの把握と管理
・AIエージェントが持つIDやアクセス権限の管理
・AIと周辺システムの通信の保護と監視
・AIに機密情報・個人情報がインプットされることへの対策
・自社のAIを悪用されることへの対策
AIの活用が進めば進むほどセキュリティ担当者の仕事もますます増える。私たちにとって「2」の「Security for AI」は一つの巨大な専門領域となりつつある。
新たなトレンドによるジレンマ:サイバーセキュリティ意識の急速な高まり
新たなトレンドは新たなジレンマをもたらす。2025年はアサヒグループホールディングスやアスクルのランサムウェア被害をはじめ、さまざまなインシデントがあった。そして、世の中のサイバーセキュリティに対する関心は明らかに深まった。
セキュリティの専門家は、インシデント自体については身が引き締まる思いで捉えているだろうが、その一方で、自分達の仕事に対する世の認知が高まることに対しては、ささやかなうれしさも感じているのではなかろうか。また、日頃、予算やリソースに苦心している者としては、経営リソースがより得られやすくなるという期待において、トレンドの変化に喜びも感じていることだろう。
一方で、関心が高まると「うちの会社は大丈夫か」といった問い合わせも急増し、セキュリティ担当者の仕事と責任はますます増える。残念ながらセキュリティはやればやるほど収益や手柄が増えるわけでもないので、そこには悲喜交交ともいえるジレンマが存在する。
セキュリティの必要性が理解されることはうれしい vs. 責任や負担が増えるのはつらい
新たなトレンドによるジレンマ:セキュリティ人材の深刻な枯渇
DX推進やAIの普及が進む中、それによって仕事を失う人も各所で出はじめているが、サイバーセキュリティ市場では専門人材不足が顕著だ。今あらゆる企業でセキュリティ人材の確保が困難になっており、ジレンマであふれている。
本連載も終盤に差し掛かってきた。ここで再度、セキュリティ担当坂本さん(仮)にご登場いただくことにする。
セキュリティ担当坂本さん(仮)の憂鬱
現場のリーダーである坂本さんは、今から5年前、会社にセキュリティ管理部が設置された時に中途入社してきた。技術の要でもあり、社内では数少ないCISSP保有者の1人だ。セキュリティ管理部の仕事は継続的に増えており、当初3人だったメンバーもあっという間に10人を超えた。しかし、この1年ほどで大きなジレンマに陥っている。
仕事はどんどん増える vs. 人は増えない
採用活動は継続しており、他の部門と比較すると破格の条件を出している。それでも応募がこない。市場全体で人材が枯渇しているのだ。一部のニュースではサイバーセキュリティの求人倍率が42倍を超え、直近3年で正社員求人数は2.5倍にもなっているとも聞く(※)。
既に採用エージェントに対してもキャンペーンを打っており、これ以上コストをかけることもできない。また、人事からも「このままではセキュリティ人材だけは社内で特別な給与テーブルを用意しなければならなくなる」といった相談も受けている。
もう一つの大きな悩みは人の育成だ。サイバーセキュリティは応用分野であるが故に育てることも容易ではない。それでも次世代のリーダーを育てていかないといけない。数は少ないが3年前から新卒採用も開始し、日々手塩にかけてITの基礎から教え込んでいる。しかしながら、先月現場の若手2人から、連続して転職の意向を伝えられてしまった。
応用分野だから育成が難しい vs. 育成してもすぐに他社に引き抜かれてしまう
何がいけなかったのか。坂本さんにとっても非常にショックであり、すぐに引き留めに走った。しかし、既に他社から現在の1.5倍の年収でオファーをもらっているとのこと。諦めるしかなかった。
そのような状況の中、会社はランサムウェアによる深刻なインシデントを引き起こしてしまう。連日徹夜作業が続く中、役員からの理不尽な叱責。とうとう坂本さん自身の心も折れてしまった。
そして本日、ふと大学時代の同級生にそんな悩みをこぼしたところ、「うちにこないか」という誘いを受けた。
※レバテック株式会社「IT人材の正社員転職市場動向」(2026年1月29日)より
上記事例に上げたジレンマは決してサイバーセキュリティに限った話ではない。だが、人材の枯渇状況、ならびに担当者のストレス水準の高さなどを考慮した場合、サイバーセキュリティにおける人的リソースのリスクは突出していると言える。人的リソースの観点において、「ちょっとしたことをきっかけに現場のオペレーションが崩壊しかねない」というリスクを経営者は常に理解しておかなければならない。
さて、セキュリティ人材にまつわるジレンマを整理するとつくづく思い知らされることがある。結局のところ、AIをはじめ技術を使いこなすには、その安全を確保するために高い投資が必要となってくる。それが、DX推進やAI導入を前に私たちが支払わなければならない代償なのだ。急加速する利便性のその裏側で、重たい代償が積みあがってきている。それもまた社会が抱えるジレンマであろうか。
本連載の結びとして
これまでさまざまなジレンマについて述べてきた。構造的なもの、立場の違いによるもの、認知バイアスがもたらすもの、そして新たに増えてくるもの。改めて挙げていくと、読者さまはこの状況を見て、もはやサイバーセキュリティは“無理ゲーなのでは?”と感じるのではなかろうか。そして、実際当事者として現場に立つと、この状況は言葉で伝えるよりもはるかに難しい。
多忙を極める日々の中で、自分の周り、そして自分の中で複雑に絡み合うジレンマの存在。故に、いったい自分たちが何に本当に悩んでいるのか分からなくなってしまう。だからこそ、自らが抱えるジレンマの性質を適切に整理することで、少しでも皆さまの悩みの解決に役立ててもらいたい。また、周囲の皆さまには、セキュリティ担当者が抱える苦悩を少しでも理解してもらえると、現場も救われるのではと思う。現場を代表してお願いしたい。
Copyright © ITmedia, Inc. All Rights Reserved.
