ガートナー ジャパンは7月24日~26日、都内にて「セキュリティ&リスク・マネジメント サミット 2018」を開催した。3日目の講演には米ガートナー バイスプレジデント ジェフリー・ウィートマン氏が登壇。「セキュリティ人材の展望:2018年」と題し、セキュリティ人材不足の原因や、その解決方法などについて講演を行った。ここでは、その模様をレポートする。
応募者に膨大なスキルを求めていないか?
「米国では失業率が改善し、セキュリティ職に就く人が増え、欠員数も減少しています。ガートナーの調査では2014年以降、CISOの平均給与は20%もアップしています。こうした状況のなかで『セキュリティ人材は不足している』と言うと、作り話に聞こえるかもしれません。しかし、これは決して神話ではありません。欧州ではセキュリティ職の3分の1が空席で、重要なセキュリティ職の空席は6カ月以上も続いています」
ウィートマン氏はセキュリティ業界で大きな課題になっている「人材不足」について、そんな風に切り出した。セキュリティ人材が不足する大きな背景の1つには、需要と供給のミスマッチがある。ガートナーではこのミスマッチの要因には、リーダーシップと人材管理の問題があると考えているという。
 |
|
米ガートナー バイスプレジデント ジェフリー・ウィートマン氏 |
「ある有名なたとえ話をしましょう。NASAは1969年に月面着陸を成功させますが、そのときの宇宙飛行士は全員、2度の宇宙飛行を経験していました。しかし、月面着陸は初めてです。もしNASAが求めるスキルとして『ムーンウォーカー(月面歩行経験者)』を挙げていたらどうでしょうか。NASAの月面着陸は成功しなかったでしょう。このようなスキルの調達は不可能なのです」(同氏)
ジョークのように聞こえるが、セキュリティ人材の募集ではしばしば見られる現実だという。ウィートマン氏が「どうしてもふさわしい人材が獲得できない」として受けた相談者の1人は、職務記述書(Job Description)に延々6ページにわたって、必要なスキルを列挙していた。
「どんなセキュリティスペシャリストでも獲得できないような膨大なスキルです。1年前にリリースされたツールなのに、そのツールの使用実績は2年以上といった要求さえありました。一方、別の企業ですが、1人で3人分のスペシャリティを持ったような人材は獲得できないと考え、職務記述書にはたった1つのスキルしか求めなかったそうです。募集は3倍になり、本当に必要な人材を見つけることができました」(同氏)
もっとも、今まで募集できていたからといって引き続き同じスキルと能力を持った人材が獲得できるとも限らない。経済が成長し、物価が上昇すると、給与水準も上昇する。仮に2%の経済成長と物価上昇でも、エンジニアのスキルによっては2%増では足りず、10%以上の給与アップが求められる場合もある。
ガートナーの調査によると、技術のスペシャリスト職を募集しようと思ったら給与を12.5%割り増す必要がある。CISSPなどの資格を要件にするなら適した人材を見つけるまでの期間が10%伸びる。セキュリティ分野での7~9年の実務経験を持つ人材は、83%の職種と競合し、採用までに9カ月かかるという。
「アインシュタインやベンジャミン・フランクリンが好んだ言葉の1つに『同じことを繰り返し行って違う結果を期待することを狂気と言う』があります。去年とまったく同じことをしていながら、今よりも優れた人を採用しようというのは、決して簡単なことではないのです。外から見れば狂気にさえ映るのです」(ウィートマン氏)
