サイバーセキュリティ人材の不足は、いまや世界的な課題です。ISC2の調査によると、世界中で約400万人の人材が不足しており、その需給ギャップの溝は拡大を続けています。日本でも、同分野の人材が特に不足しており、既に11万人分の労働力ギャップが生じています。

マッキンゼーによるサイバー犯罪の調査によると、2021年から2022年にかけての1年間でサイバー脅威は2倍に増加したと推定されています。高度化するサイバー犯罪から組織を保護するには、適切な能力、スキル、経験、資格を持つ人材が不可欠です。

しかし、現職に満足していないサイバーセキュリティ人材は多く、新たなキャリアパスを求めて転職を考えることも少なくありません。実際、約60%の企業が他社からサイバーセキュリティ人材を引き抜いたことがあると回答しており、企業間での人材獲得競争は激化しています。有能なサイバー人材の需要が供給を大きく上回り、多くの企業が、人材維持に課題を抱えています。

では、このギャップを生み出している原因は何でしょうか?

サイバーセキュリティの「最前線」は孤独な場所

サイバーセキュリティは組織にとって極めて重要な役割を果たしていますが、経営層は、セキュリティに対し、日々の売り上げや製品開発と同程度の優先度や緊急性を与えていない可能性があります。

なぜなら、サイバーセキュリティの役割は本質的に「評価されにくい」からです。組織が安全で健全な時、セキュリティチームが評価されることは滅多にありませんが、ひとたびインシデントが発生すると、顧客、従業員、経営陣、株主の不満が一気に高まり、ブランドの失墜や多額の経済的損失を招くことは避けられません。

ガートナーの報告によると、サイバーインシデントは、サプライチェーンの問題、法律や規制の変更、自然災害、政治的リスクや紛争を上回り、3年連続でビジネスにとって最大のリスクとなっています。

さまざまな調査で示されているように、この分野の労働者の多くがストレスや燃え尽き症候群を経験しています。ガートナーの報告によると、サイバーセキュリティ・リーダーの25%が職場でのストレスが原因で、全く異なる役割を求めています。

トップ主導でセキュリティに対する意識変革を

さらに、ビジネスにおけるAI活用は、まだ初期段階であるため、サイバーセキュリティ・チームは、組織を適切に保護し、コンプライアンスを維持し、イノベーションを促進するための時間とリソースが不足しているだけでなく、経営層に情報を提供し、意思決定を主導するための発言力も欠いています。

適切な予算、サポート、そして仕事に対する適切な評価がなければ、サイバーセキュリティの人材はサポートや育成を受けていないと感じ、すぐに離職してしまうでしょう。そして、この分野の人材流出が続けば、必然的に攻撃者に悪用されるセキュリティの空白が生じます。

これらの問題を防ぐためには、トップ主導の組織の変革が必要です。組織のトップは、サイバーセキュリティ・チームの役割に対する認識を変え、彼らにより広範な責任を与えるとともに、彼らの仕事がビジネスのあらゆる分野に与える影響を強調する必要があるのです。

セキュリティ意識の高いデジタル市民への進化に向け教育を

企業にとって、サイバーセキュリティは、組織横断の取り組みです。サイバーセキュリティの専門家だけに依存することなく、職場と家庭のデジタル生活の境界線を認識し、全体のセキュリティ体制を強化することが求められます。私たちは、攻撃の標的となる可能性を減らし、セキュリティ意識の高いデジタル市民へ進化する必要があります。

この実現に向け、セキュリティに対するトレーニングの充実と意識向上は重要な第一歩となります。

これは特に重要です。なぜなら、サイバーセキュリティ侵害の大半は人為的ミスに起因しており、IBM の調査によるとその割合は約90%以上に達しているからです。これは業界で確立された事実です。

組織の上級管理職は、サイバーセキュリティを自社の存在を左右する重要な問題として認識し、トレーニング推進の先頭に立ち、その重要性を従業員に定着させる必要があります。

組織内のサイバーセキュリティ・ヒーローを支援する

しかし、これだけでは不十分です。増加するサイバー脅威に対処するには、新しいスキルとテクノロジーが必要です。脅威インテリジェンス、検出、対応、アプリケーションセキュリティまでをカバーする、プロアクティブな保護への多層的なアプローチが必要です。

そして、組織がサイバーセキュリティの地位を真に向上させるには、サイバーセキュリティ・チームのリーダーが取締役会で発言権を持つことが必要です。これによって初めて、適切なレベルで戦略的焦点を当てながら、ビジネスのあらゆる領域を保護することができるのです。

セキュリティ・エキスパートの役割は重要で価値があり、評価されるべきものであることを示せば、より多くの人材がキャリアパスとしてサイバーセキュリティを選択するようになるでしょう。

これからの組織は、サイバーセキュリティを戦略的優先事項として位置づけ、その価値を過小評価せず、メンバーにふさわしい評価を与えることで、キャリアパスとしての魅力を高める必要があります。これにより、組織は必要な人材を維持し、将来の脅威に対抗するための力を持ち続けることができるのです。

著者プロフィール


三浦デニース(オープンテキスト株式会社 代表取締役社長)

最先端のテクノロジー企業に33年以上勤務し、エンタープライズデータ管理、デジタルトランスフォーメーション、アナリティクス、カスタマーエクスペリエンスを中心に、日本およびアジアパシフィック全域における企業の成長と拡大を支援するためのGo-to-Market戦略の陣頭指揮において豊富な経験を持つ。現在はオープンテキスト株式会社代表取締役社長として、日本におけるビジネスを牽引し、AI導入に不可欠なデータ管理やセキュリティの重要性などを訴求している。