日本は11万人不足｢セキュリティ人材｣確保の難題 人材は前年比23.8％増も需給ギャップ過去最大

組織も少しずつ採用の考え方を変えつつある。

同調査では、60％が「実務経験がない技術者に対する募集を増やしている」と回答。また、社内公募などで内部人材を登用するほか、社内外を問わずサイバーセキュリティに携わりたいという熱意と適性がある人に対してトレーニングを実施し、サイバーセキュリティ人材になってもらうというアプローチを取り始めている傾向が見られた。

世界的な人材不足の状況を受け、ISC2では、新たにCC（Certified in Cybersecurity）という資格の提供を開始した。これは、サイバーセキュリティに対する基本的な考え方を備えていることを認定する資格で、高度なトレーニングを受ける適性を判断する材料として使える。

ISC2では、このCC資格のオンライントレーニングと試験費用を世界中で100万人に無償提供するプログラムも始めている。日本語でも提供されているので、ぜひ活用していただきたい。

では、確保した人材をどのようにして育成していけばよいか。同調査で、社員教育の方法として日本で最も多かった回答は「社内研修」（46％）だった。ただし、これはサイバーセキュリティ専業の会社など、社内研修の内容が整っている環境でないと実施は困難だろう。

実際には、次点で回答が多かった「外部の資格認定コース費用の負担/補助」（45％）が現実的な解になってくる。幸いにして、世の中には多くのサイバーセキュリティトレーニングがあるので、それらを活用するとよいだろう。

日本（およびアジア圏）で特徴的だったのは、「勤務時間に能力開発の時間を提供」という回答が多かったことだ。実際に私も、社内勉強会のような仕組みを持っている企業は、CISSP合格者の輩出数が多いことを実感している。企業は人材育成に当たり、組織として社内勉強会の時間を業務時間として認めるといった施策を考えてもよいのではないだろうか。

アメリカにとって人材維持は国レベルの課題

せっかく立派なサイバーセキュリティ人材を育成しても、その人がすぐに会社を辞めてしまったら元も子もない。現在、サイバーセキュリティ人材は引く手あまたの状況だ。

この件について、さまざまな組織の人と話す機会があるが、皆口をそろえて「今、セキュリティ業界では高給のオファーがいくらでもある。うちではそんな高い給料は払えないので、引き留めることはできない」と言う。

ただ、転職者によれば、問題は給料だけではないようだ。「本当は前の組織でサイバーセキュリティの仕事をもっとしたかったのに、違う仕事ばかりさせられたので、サイバーセキュリティ専業の会社に移った」と話す転職者に少なからず出会う。