世界中で「約399万人」のITセキュリティ人材が不足。「本当に必要な人材」「人材育成に大切なこと」とは？【専門家が解説】

（※写真はイメージです／PIXTA）

昨今サイバー攻撃によって生じるセキュリティを脅かす事件・事故は増加傾向にあり、ITセキュリティ対策の現場は世界的に深刻な人手不足に陥っています。セキュリティに関係する業務・システムが複雑に増大するなか「本当に必要な人材」「人材育成に必要なアプローチ」とは？サイバーセキュリティの第一人者である淵上 真一氏が解説します。

世界中で叫ばれるセキュリティ人材の不足

よく「セキュリティ人材が足りない」と耳にしますが、実際に人材はどの程度不足しているのでしょうか。ISC2という団体のレポートによると、世界では約399万人、APACでは約267万人が不足しています［図表1］。

一方で、供給される人材は2022年に約39万人だったのが、2023年には約48万人です。約9万人増えていても人材不足とのギャップが広がっているわけですから、需要に対して供給のペースが追いついていないと言えるでしょう。

これとは別の国内で発表されたレポートをいくつか確認してみると、日本の人材不足は約18万人～19万人と、より深刻な数字が導き出されていました［図表2］。セキュリティ人材の不足は明らかです。

セキュリティ人材を育成しよう

セキュリティ人材不足の状況を前に、もちろん手をこまねいているわけではなく、人材を育成する、さまざまな取り組みが行われています。しかし、ただ漠然と「セキュリティ人材」で一括りに捉えていたのでは、本当に人材が足りないのか、頭数はそろっているのに必要なスキルが足りないのかも判然としません。

人材育成は、以下に紹介する情報を参考にして必要な人材像を明らかにすることから始めましょう。

〈サイバーセキュリティ・ポータルサイト〉

内閣サイバーセキュリティセンター（NISC）では「サイバーセキュリティ・ポータルサイト」を通じて人材育成施策を発信しています［図表3］。対象者や獲得したいスキルごとに整理されているため、わかりやすく有用です。

〈統合セキュリティ人材モデル〉

セキュリティ人材の中でも、特にサイバーセキュリティに従事する専門人材について、必要な役割と能力を定義しているのが「統合セキュリティ人材モデル」です［図表4］）。「NIST『Cybersecurity Framework』」が定めるセキュリティ対策への対応を前提に、NEC、富士通、日立が共同で策定しました。

それぞれの能力を身につけるために必要かつ適切な教育プログラムを突き合わせることができるようになっています。

〈ITSS＋17分野とセキュリティ関連タスク等との対応表〉

組織の中で求められるセキュリティに関わる役割をまとめたのが、経済産業省と独立行政法人情報処理推進機構（IPA）による資料です［図表5］。

各組織や役割に求められる17のセキュリティ関連タスクと、実際に対応する部署（セキュリティ専門組織以外）を一覧で整理しています。ベースであるITSS+（セキュリティ領域）をIPAが次のように説明しています。

セキュリティを生業とする「セキュリティ人材」のみではなく、デジタル部門、事業部門、管理部門等でセキュリティ以外の業務を生業とする人材がセキュリティ知識・スキルを学び、「プラス・セキュリティ」人材として活躍できるための“学び直し”の指針として活用できます。

たとえば、法務部門の担当者であってもセキュリティと無縁ではなく、デジタル関連の法令やコンプライアンス対応、契約管理などの観点でセキュリティを意識して活動する必要があることを、この対応表では示しています。

セキュリティ人材不足の現場が直面している課題

行政や民間企業が人材の需給ギャップを縮めようとしているにもかかわらず、むしろ広がっている状況のなか、どのようなアプローチで対応すればよいのでしょうか。

まずは、現場で発生している課題を挙げてみましょう。IT部門への要求、セキュリティに関わる人が直面する課題には、次のようなものがあります。

－新たに発生するリスクは何があるか？　

－新たに要求されるセキュリティは何か？　

－もしもに備える体制の構築はどうすればいいのか？　（体制を作るのも「人」）

－社内のさまざまな関係組織にセキュリティを理解してもらうにはどうすればいいのか？　（技術だけで語っても通じない）

－インシデントが発生してしまった（どのように対処すればいいのか？　回復作業の予算は確保しておらず保険に入っていなかったが、高額な費用が発生しそうだ）

これらを眺めていると、「課題への対処ができず、組織にはノウハウが蓄積されていない」、あるいは「セキュリティの知識や技術を持っていても解決が難しい」といった現場の感覚が人材の不足感を強めているように思えてきます。

セキュリティ人材の育成に有効なアプローチとは？

先ほど挙げた課題に対する各論は各方面の議論に委ねることにして、ここでは人材育成の観点で4つのアプローチを提案します。

1.「あ、なんかまずいかも？」……セキュリティアウェアネス

2.「具体的になにをすればいいのか？」……プラス・セキュリティ

3.「いつやればいいの？」……セキュリティ・バイ・デザイン

4.「どうやればいいの？」……社会情勢の変化などから必要なセキュリティ実装は何かを考えて実践する力

セキュリティ人材の育成に有効な＜4つのアプローチ＞

1．セキュリティアウェアネス

アウェアネスとよく対比されるリテラシーは、ある分野における知識や理解力であり、網羅的・体系的で、技術的要素を含むことがあります。

一方で、アウェアネスはある事象に関する気づきや意識で、事象にフォーカスしており、技術的要素は薄いと言えます。言い換えると、「あ、なんかまずいかも？」と気づくことだと思います。

交差点のたとえ話でもう少し噛み砕くなら、「青信号の交差点を渡っていても、右折してくる車はあるかもしれないということを知っていて、“気をつけなきゃ”と思えること」であり、そのセンスをトレーニングするのがアウェアネストレーニングです。

セキュリティを生業にしていない人たちが、「あ、なんかまずいかも？」と思うセンスを高めると、必然的にセキュリティのリスクは下がっていくと考えられます。次々と攻撃手法が編み出される昨今、それに対処できるマニュアルの整備やシステム面の対応を待っている余裕はなく、「あ、なんかまずいかも？」と気づくセンスを養うことが必要です。

2．プラス・セキュリティ

アウェアネスを高めて異常に気づいた後、次は具体的な行動をとれるようになることが求められます。ここでのキーワードは「プラス・セキュリティ」です［図表7］。

企業・組織内でDXを推進するマネジメントに関わる人材層をはじめとして、ITやセキュリティに関する専門知識や業務経験を必ずしも有していない人材に対してセキュリティ知識をプラスするという概念です。

DXの進展によって事業部門でデジタルとの関わりが広がっていくと、おのずと事業部門の人材もセキュリティ関連業務との関わりが深くなっていくため、その点において、セキュリティやITの専門人材との協働が求められるようになります。

その際には、事業部門の人材と専門人材との相互理解が欠かせないため、事業部門の人材が専門人材の役割と自身の役割を理解し、自身の役割を実践できる人材に育成するのです。

3．セキュリティ・バイ・デザイン

「いつやればいいの？」に対応するセキュリティ・バイ・デザインの実践は、システムを構築するビジネスの現場に当てはめてイメージしてみてください。

まず構想があり、それから予算編成を行い、システムの企画をして、調達へとフェーズが進んでいきます。このビジネスプロセスが進めば進むほど制約条件は多くなるため、ビジネスの早期から適切にセキュリティを組み込むことが不可欠です。まだ制約が少ない企画段階からセキュリティも意識して、システムに組み込んでいくべきなのです。

これは数多くのお客様から調達仕様書を受け取ってきた経験に基づいた発想です。この段階でセキュリティ要件がきちんと考慮されていないケースが多く、後から組み込もうとすれば予算に収まらず、システムのコンセプトにまで影響してしまうことも珍しくありませんでした。

このセキュリティ・バイ・デザインの考え方は、重要な考え方としてIPAやデジタル庁からもガイドラインが発行されています。

^{IPAセキュリティ・バイ・デザイン導入指南書}

_{政府情報システムにおけるセキュリティ・バイ・デザインガイドライン}

4．社会情勢の変化などから必要なセキュリティ実装は何かを考えて実践する力

システムが完成するまでには場合によっては数年かかることもありますので、つくっている時点でのリスクではなく、数年後のリスクまで見通しておくことも必要なスキルです。

そこで、さまざまな情勢の変化から「次は何が起こるのか」を感じ取り、「何をすればよいのか」を考えて実践できる能力を養っていく必要があります。

セキュリティ専門人材としてキャリアを積むリスク

一部のトップ・オブ・トップのセキュリティエンジニアは別としても、現在のセキュリティ専門人材は現在自分が関わる領域で生き残っていけるとは限らないように思われます。

特定スキルに偏重したキャリアでは、供給過多になったり時代遅れになったりする恐れがあり、生き残るためには、常に変化する状況へ対応するスキルを獲得し続けなければなりません。幼少期からデジタルに慣れ親しんだ世代との考え方のギャップも、セキュリティ専門人材の寿命に影響するでしょう。

また、脳の情報処理は18～19歳、短期記憶は25歳、他人の感情を予測する能力は40～50代、結晶性知能は60～70代がピークとも言われており、年齢とともに発揮できる能力は異なります。このような理由から、専門人材が関わる領域は変化していくはずです。

キャリアの積み上げではなく場合によってはキャリアチェンジを

では、どのようなキャリアパスが考えられるでしょうか。プラス・セキュリティの説明で使用した［図表7］では、セキュリティ専門人材は実務者・技術者層に位置づけられていますが、領域を広げてマネジメントに関わったり事業部門と関わったりすることが必要になってくるでしょう。

セキュリティ専門人材は、従来の「IT」と「セキュリティ」の関係以外に、DXに関わるさまざまな組織や人材との結びつきができるため、「コミュニケーション対象が変化」するとも言えます。

たとえば、ソフトウェアエンジニアだけでなく、デザイナー、ビジネスアーキテクト、データサイエンティスト、AIエンジニアなどとのコミュニケーションが発生します。そうなると、今までの知識、スキル、経験の積み上げは通用しにくくなります。

これは著者自身や業界の知人を見ていても、積み上げの連続だけではつまずいてしまっている感覚があるからこその指摘です。場合によってはキャリアチェンジが選択肢に入るかもしれません。既存の仕事の信念やルーティンをいったん棄却し、新しいスタイルを取り入れる「アンラーニング」を人材育成に適用がすることが効果的だと思われます。

また、関係者が増えることで衝突の機会も増えるため、組織内での対立をポジティブに捉えて問題解決を図る「コンフリクトマネジメント」の能力を育成することも効果的でしょう。

淵上 真一

日本電気株式会社（NEC）

Corporate Executive CISO兼サイバーセキュリティ戦略統括部長

NECセキュリティ取締役