セキュリティ人材の育成や資格認定などを手掛ける非営利組織のInternational Information System Security Certification Consortium(ISC2)は11月1日、年次のグローバルセキュリティ人材調査「ISC2 Cybersecurity Workforce Study」2023年版を発表した。それによると、日本のセキュリティ人材は前年比23.8%増の48万1000人となったが、人材需要も33.0%増の59万1000人に上り、依然として11万人が不足している。
日本のセキュリティ人材の需給ギャップ状況
この調査は、Forrester Researchと共同で2023年4~5月に北米、欧州、アジア、中南米、中東、アフリカに居住する1万4865人のセキュリティ実務者を対象に実施したもの。日本では936人が回答した。対象のセキュリティ実務者の定義は、1日の業務時間の25%以上をセキュリティに充てている実務者という。
日本のメディア向けにオンラインで会見したISC2 最高経営責任者(CEO)のClar Rosso氏は、「世界のセキュリティ人材は前年比7.8%増の約545万人で、日本の増加率は世界平均を大きく上回った。しかし、人材不足は世界全体でも約400万人に上り、依然として大きな課題」と総括した。
ISC2 CEOののClar Rosso氏
日本のセキュリティ人材の充足度では、「大幅に不足」が32%、「やや不足」が48%、「十分にいる」が18%、「余剰がある」が2%だった。
人材不足がもたらす影響(複数回答)では、「セキュリティチームメンバーを十分にトレーニングする時間がない」が46%、「適切なリスク評価・管理を実施するための十分な時間がない」が44%、「セキュリティ要員を十分にトレーニングするためのリソースが不足」が37%、「適切なプロセスと手順の看過がある」が36%、「不完全なインシデント対応が発生している」が29%、「重要システムへのパッチ適用の遅れが発生している」が29%、「インシデント対応の遅延が発生している」が29%などだった。
※クリックすると拡大画像が見られます
調査から平時・非常時ともセキュリティ業務に広範な影響が起きている状況で、Rosso氏は、「人材育成ができないことでさまざまなスキルギャップが生じており、平時においては基本的なサイバーハイジーン(IT環境の安全な状態を維持すること)に取り組めず、情報漏えいなどのリスクが高まっている。日本の回答者の20%は『人材がいればデータ侵害などの問題が起きなかった』とも述べていた」と指摘する。
人材不足の原因(複数回答)には、「給与が安い」(39%)、「有能な人がいない」(38%)、「セキュリティ担当以外のIT人材のトレーニングが十分にできていない」(34%)、「成長や昇進の機会が与えられない」(32%)などが挙がっている。
人材不足の対策(複数回答)では、「トレーニングへの投資」(80%)、「資格取得への投資」(78%)、「柔軟な労働条件の提示」(72%)、「新規採用・募集・研修」(70%)、「態度や適正を重視して採用してから技術スキルを身に付ける」(65%)、「外部への委託やサービスの活用」(64%)、「人材の多様性への取り組み」(58%)などが上がり、既存人材の強化と採用の両面で試行錯誤している状況が分かった。
※クリックすると拡大画像が見られます
「最近セキュリティ業界で増えているのは、コミュニケーション力やプロジェクト管理能力、マインドセット、分析スキルなど、セキュリティのスキルがなくても、まずは候補人材の態度や適正を重視して採用し、後からセキュリティ技術のスキルを取得してもらう取り組みになる」(Rosso氏)