日本のサイバーセキュリティ労働力の底上げを‐ISC2 Jones氏

日本のサイバーセキュリティ労働力の底上げに向けて

明けましておめでとうございます。

2023年を振り返って

2023年は、サイバーセキュリティに対する組織の取り組み方に進歩や課題、シフトが見られた年でした。サイバーセキュリティの専門家たちは、コロナ禍より続く新たな課題に取り組み続けた他、生成AI等の新興テクノロジーの登場による創造的破壊も起こりました。ハイブリッドワーク環境への適応、IoTソリューションの業務への統合、サプライチェーンリスクの増大、社会インフラへのサイバー攻撃の発生等の新たな脅威の出現は、サイバーセキュリティ・リスクに対する理解と管理のあり方を大きく変え続けています。

現在、サイバーセキュリティの専門家は、かつてないほどのプレッシャーに直面し、世界中で増え続ける脅威から組織を守るべく努力を続けています。ISC2の実施したサイバーセキュリティ労働力に関する調査では、経済の不確実性、急速に台頭する新興テクノロジー、細分化された規制、そして広がり続ける労働力とスキルの格差というパーフェクト・ストーム ―すなわち、複数の同時進行中の業界を揺るがす課題― が、サイバーセキュリティの専門職に大きな不確実性をもたらしていることが示されました。

日本市場を見ても、11万人を超えるサイバー専門職の労働力の需給ギャップがあり、供給が大幅に増加したにもかかわらず、需給ギャップは前年比で97.6％増加しました。特に日本では労働力の供給が組織の需要に追いついていないことが浮き彫りになっています。

ISC2においては、2023年はリブランディングを伴った継続的な変革の年となりました。メンバー、準会員、Candidatesの数が60万人を上回り、エントリーレベルのサイバーセキュリティ認定試験である「Certified in Cybersecurity」(以下、CC認定資格)の認定資格取得者も世界で4万人を超え、日本では、メンバー、準会員、Candidatesが5,767名（2022年は4,359名）となり、コミュニティの規模が32%増加しました。また、当組織のCEOであるクレア・ロッソが昨年来日し、ISC2メンバーや主要パートナーと会談をした他、東京で報道関係者と情報交換を行いました。

世界市場における会員数の増加やサイバーセキュリティ専門家の影響力、多様性、活力を向上するという当組織の進化を反映し、組織名を(ISC)²からISC2（読み：アイエスシーツー）へと変更するなど、ブランド刷新を行い、グローバルなアクセシビリティを向上させました。ISC2は世界にてIBMやLinux Foundationなど、さまざまな地域の大手企業との提携を通じ、サイバーセキュリティ人材の拡大と、安全でセキュアなサイバー世界の実現に向けて活動を続けています。11月には、東京海上ディーアールとのパートナーシップを締結しました。東京海上ディーアールは、サイバーリスク管理のベストプラクティスを強化し、日本の企業全体のサイバーセキュリティ教育を強化する戦略の一環として、ISC2のCCトレーニングを顧客や代理店に提供します。

2024年に予測される業界トレンド

2024年は、AIの進化によって、企業のビジネスモデルが大きく変化を遂げていく一年になるのではと予測しています。

サイバーセキュリティ業界において、グローバルで予測される主なトレンドは、以下の4つです。

標的型攻撃の増加
企業が提供するデジタルサービスの範囲を急速に拡大させるについて、サイバー犯罪者が容易に利用できる攻撃対象領域が拡大してしまいます。特に、銀行や金融サービス、医療、通信など、日々の業務に直接影響を与える重要なインフラやシステムに対する攻撃がエスカレートすることが予想されます。2023年も欧米に加えて、APAC地域でのランサムウェア等による攻撃の報告が増加し、オーストラリアの大手通信事業会社や、シンガポールや日本の港や医療機関等が攻撃を受けました。

特に日本では、ランサムウェア攻撃による被害を公表した組織数は過去最高を記録し、なかでも注目されたのは名古屋港で、ランサムウェア攻撃によりコンテナターミナルの管理システムが停止し、経済活動に大きな影響を与えました。サイバー攻撃は、必要不可欠なサービスの中断だけでなく、機密データの損失や金銭的な損害をもたらすことも多く、組織も政府機関も、今後一層、重要インフラの安全を確保することを優先し、これらの脅威にうまく対処するための対策を講じる必要があります。

AIと規制
政府やサイバーセキュリティ機関が、特に人工知能（AI）の出現に対処するために、組織が遵守すべき包括的なサイバーセキュリティ方針を策定しようとすることが想定されます。今後1年間はAIに対するガバナンス、倫理、セキュリティに関するガイドラインや規制の確立・強化が進むでしょう。AIがワークフローや業務にますます組み込まれるようになるにつれ、データの収集、訓練、保管を管理するための明確な規制が必要になります。

AIはデータを動力源としており、データのプライバシーと保護が最重要課題となっているため、企業はさまざまな規制を遵守し、そのような変化がサイバーセキュリティの実践に及ぼす影響に取り組む必要も出てくるでしょう。

労働力の需給ギャップのさらなる拡大とHR戦略の変化
サイバーセキュリティ業界は2023年に顕著な成長を遂げたものの、労働力の需給ギャップの解消には程遠く、必要な労働力に対し、供給が追い付いていない状況が続いています。

このような状況の中、企業や組織において、採用、トレーニング、従業員満足度の向上、スキルアップの取り組みにおける戦略を見直す必要性が高まっています。デジタル化とAIの普及が進む中、サイバーセキュリティ、セキュリティ運用の専門知識、クラウド・コンピューティング、AI・機械学習（ML）に関するスキルは、引き続き高い需要が見込まれています。

組織や企業の採用担当者においては、高い問題解決能力や分析能力などの技術的な経歴にとどまらず、迅速な適応能力やコミュニケーション能力、チームワークなど、他の重要なスキルにも目を向け、専門能力や技術力だけではなく、人材の適正を見極め、専門家を育てていく傾向がより強まっていくでしょう。

AI、IoT等、新興テクノロジーを使った（または狙った）攻撃の増加とサイバーセキュリティの変化
2023年には、AIアルゴリズムが人間の言語、文体、口調を模倣したリアルな出力を生成するため、フィッシング攻撃の洗練度が顕著に高まりました。この傾向は2024年も続き、AIを利用した脅威の拡大と同時に、AIがサイバーセキュリティの専門家の業務をサポートする上でより重要な役割を果たすことが予想されます。加えて、EVの進化やIoTソリューションの普及により、対応すべき脅威の範囲は拡大しています。

日本では、経済産業省がEV補助金の9要件のひとつにサイバー攻撃対策を盛り込むなど、政府もサイバーセキュリティ対策を重要視しています。AIの良い面に目を向けると、現在、AIは人間の作業負担を軽減し、攻撃を阻止し、セキュリティ業務と全体的な事業運営の両方の効率を高める態勢を整えている段階にあります。

一方で、ISC2の実施した調査によると、まだサイバーセキュリティの専門家がAIや新興テクノロジーについて限られた知識しか持っていないことも明らかになっています。2024年以降、新興テクノロジーに対する理解・対策は、より必須のものとなるでしょう。

2024年、ISC2が目指すこと

2024年、ISC2は、「安全で安心なサイバー世界の実現」というビジョンの達成へ向け、これまで以上にサイバーセキュリティ労働力の需給ギャップの解消へ向け、国内外にてエントリーレベルの認定試験であるCC認定資格の普及活動に加え、サイバーセキュリティの分野で新しくキャリアを踏み出そうとしている未来の専門家100万人を対象に、CC認定試験と自己学習コースを無料で提供する「One Million Certified in Cybersecurity」のイニシアチブを一層推進するべく、認知度向上活動に注力します。

また、その他の最高水準のプロフェッショナル認定資格の普及と育成を継続するとともに、継続的にSkill-Builderコースや認定資格などの教育リソースの拡充も図っていきます。加えて、ISC2の慈善団体であるサイバーセーフティ教育センター（The Center for Cyber Safety and Education）の奨学金提供やサイバーセキュリティ啓蒙活動への支援を継続し、主要地域におけるパートナー戦略を強化してまいります。

最後に、今年の重要な収穫の1つは、サイバーセキュリティ・コミュニティとして、私たちは協力することでより強固になれるという学びです。パートナーシップは、私たちの業界に変化をもたらします。官民の協力は、サイバー人材育成の一助となり、また、他の非営利組織との団結した取り組みは、現在サイバーセキュリティの分野で十分なキャリアを積んでいない人々のキャリアを支援します。

私たちは、日本において生涯学習を支援する新たなサービスを提供することで、キャリアを通じて会員を一層支援するとともに、専門職の継続的な成長、倫理的ベストプラクティス、健全性を提唱することに重点を置いてまりいります。

本年も皆様の一層のご指導・ご支援を賜りますよう、よろしくお願い申し上げます。