日本は11万人不足｢セキュリティ人材｣確保の難題 人材は前年比23.8％増も需給ギャップ過去最大

オンプレミスのシステムとは異なり、SaaSは直接インターネットにつながっているため、設定の不備が即セキュリティインシデントになる可能性がある。また、近年の新規システムはほぼ例外なくクラウドサービスを利用しており、クラウドサービスプロバイダーが提供するサーバーレスのサービスを活用することも多い。

そこでは、サービスの内容を理解し、開発チームと正しくコミュニケーションできるスキルが必要とされる。そのほか、「リスク評価・分析・管理」（29％）、「脅威インテリジェンスの分析」（29％）、「デジタルフォレンジックとインシデントレスポンス」（29％）、「人工知能・機械学習」（28％）のスキルも上位に挙がった。

また、需給ギャップの拡大によってさまざまな問題が起きている。同調査によれば、日本では人材不足が与える影響を問う項目で「目の前の業務に追われ、新たなセキュリティ人材を育成する時間が取れない」という回答が最も多かった。これはまさに鶏と卵の状態であり、何らかのブレークスルーを起こさないと人材不足は解消しないと思わせるデータである。

次いで、「適切なリスク評価・管理を実施する時間が不足」「プロセスや手順が順守不全」「インシデント対応が不完全」「重要システムへのパッチ適用が遅延」、といった回答が上位を占めた。

組織がさまざまなクラウドサービスで個人情報を扱っているにもかかわらず、そのリスクが適切に把握できておらず、退職者のアカウント削除漏れが発生し、システムの脆弱性対応が後手に回り、仮に問題が起こっても正しく対応できない――。そんな様子が透けて見える。

サイバーセキュリティ人材を増やす方法としては、外部からの採用が手っ取り早いが、昨今においてはそう簡単ではない。

例えば、前述の認定資格のCISSPを有する者は、グローバルで15万人以上いる。そのうち10万人はアメリカにいるが、それでも企業が人材募集時に「CISSP必須」とすると、まったく応募が来ないという。

ちなみに、先日参加したアメリカのセキュリティイベントでは、「CISSPを必須にせずに、よいサイバーセキュリティ人材を採用するための募集要項の書き方」というプレゼンテーションが行われていた。

日本にいるCISSP保有者は4000人強、情報処理安全確保支援士は2万人強だが、両方保有している人も多いことを考えると、資格保有者に限定しての採用はアメリカ以上に難しいと推測される。

「社内研修」より「社内勉強会」が有効？