開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2018/12/05

“完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか

失業率は「ゼロ」、給与は高騰

高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。

画像
セキュリティ人材は完全に枯渇している
(©SFIO CRACHO - Fotolia)

失業率はゼロ、給与水準が高騰するセキュリティ人材

 市場の論理では、需要に対して供給が少なければ価格が上がるのは当然だ。その意味では、現在のサイバーセキュリティ人材市場は需要が加熱する一方であり、企業が支払わなければならない給与は非常に高水準になっている。

 セキュリティ人材に対して、従来型のIT人材と同程度の給与水準を提示する企業も少なくないが、ガートナーによれば、今やその給与水準は従来の10~20%高い相場になっており、従来の相場感で採用を目論んでも見向きもされなくなりつつある。それに伴って、CISO(最高情報セキュリティ責任者)の平均給与も20%アップしており、人材不足の解消は当面見込めない状況になっている。これは、特定の国や地域に限らない世界的な問題だ。

画像
高まるセキュリティ人材の給与水準
 ウィートマン氏によれば、「現在のセキュリティ人材については失業率ゼロ。市場に存在する人材よりもニーズのほうが圧倒的に多い状況だ」という。2017年に比べて空席は補充されたが、さらにこの先2022年までに欠員数は倍増すると予測されている。

 メディアでは『人材不足は作り話だ』という論調もよく見るが、ISACAの調査によると、4社のうち1社は組織の重要セキュリティ職の空席が6カ月以上続いている。「欧州ではセキュリティ職の3分の1が空席であり、作り話ではないことが分かる」とウィートマン氏は話す。

 また、同じポジションでも給与に幅があることは認識しておきたい。「東京の給与はおそらくそのレンジの中の一番高いほうの水準にある」とウィートマン氏は指摘する。

完璧なセキュリティ人材など存在しない

 ウィートマン氏は「ほとんどのリーダーは『紫のリス』を探している。一人ですべての要件を満たす完璧な人材など存在しないのに、そんな幻を追い求めている」と現状を表現する。

 それに対して、ガートナーは「リーダーシップと人材管理に問題がある。雇用することばかりではなく、セキュリティ機能の最適化へと考え方をシフトして、必要なスキルセットを獲得しなければならない」という見解を示している。

 市場から人材を獲得できないならば、社内でできる人を探し、的確な訓練を施すことが必要かもしれない。しかしそうすると、訓練してスキルを身につけたら他社へ移ってしまうかもしれない。そう考えて既存社員の教育訓練をためらうケースもあるという。

 もう1つの問題として、サイバーセキュリティ部門が他の管理部門・事業部門の問題を解決するという姿勢を持てず、ビジネス上の懸念を理解する可能性が低いことだ。ウィートマン氏は「それによって人事・財務に関連する問題が引き起こされる」と指摘する。

資格不要論も セキュリティ人材に求められている役割

 セキュリティ人材と一言でいうが、具体的に求められるのはどんな人材で、何ができる人材なのだろうか。ウィートマン氏は「役割(肩書)」「スキル」「認定資格」の観点でその役割を説明する。

 同氏は、今後求められる肩書として「情報セキュリティ/サイバーセキュリティ・アナリスト」「セキュリティ・エンジニア/アーキテクト」「脆弱性アナリスト/侵入テスター」「サイバー脅威アナリスト」「リスク保証アナリスト」「情報セキュリティ/サイバーセキュリティ・マネージャー」などを挙げた。

 また、多くの会社の求人要件を横断的に検索・分析すると「サイバー」「インフォセック(Infosec)」「リスク」「コミュニケーション」「アシュアランス」などのワードが最も頻度高く見られるという。つまりこれらが現在求められるスキルの中心ということだ。

 認定資格も同様に検索してみると、米国連邦政府の「シークレット・クリアランス」という役付けが重要なため頻出する。その他、CISM、CISA、CISSPなどさまざまなセキュリティ関連の認定資格が見られる。しかしウィートマン氏は「私もいくつかの資格を取得しているが、これらの資格は『テストを合格する手法を知っている』ことを証明しているに過ぎない。認定資格はそこまで重視しないことも1つの考え方だ」と注意を促した。

採用方法を変える必要がある

 今後、より優秀なセキュリティ人材を採用するためには、従来型の空席を埋めるやり方や採用手法・プロセスが機能しなくなっていることを認識する必要がある。企業は採用のやり方を改める時期に来ているのだ。

 1つ典型的な問題は「職務経歴書(ジョブ・ディスクリプション)」において、具体的かつ狭義の記述内容にとどまっていることが挙げられる。

 たとえば、多くの企業が「CISSPの資格を取得していること」を募集要件にしている。そうするとまず資格のプレミアム価格、つまり割り増しの給与水準が期待されてしまう。そして、CISSPの認定資格を持たないながらもセキュリティのプロとして手腕のある人は、その求人を「自分とは関係ないもの」と見なしてしまうだろう。それは、優秀なセキュリティ人材の採用可能性を企業自ら放棄することだ。

 認定資格の要件も「必須」としないことを検討すべきだとウィートマン氏は指摘する。認定資格と仕事を遂行する能力は一致しないからだ。資格取得に長けた人材に、無用に高給を支払わなければならない自体も起こりうる。

 もう1つの問題は、要求する「経験」が現実に即していないということだ。サイバーセキュリティ関連の技術は、まだ市場に出てきて4~5年の技術も少なくない。にもかかわらず、職務記述書では「XXの経験10年以上を有していること」などと書かれているわけだ。

 また、1つの職位には1つの職務を割り当てることが重要だ。1つの職位に複数の職務・役割を記述しても、一人でそれを担える理想的な候補者は存在しないからだ。そして、必要とする経験年数をしっかり検証し、妥当な年数を設定すること。たとえば、開発されて2年しか経っていないツールの必要経験年数を「5年」などと書くことがないようにしなければならない。

【次ページ】リソース不足に役立つ「アウトソーシング」と「自動化」

セキュリティ総論 ジャンルのセミナー

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!