日本は11万人不足｢セキュリティ人材｣確保の難題 人材は前年比23.8％増も需給ギャップ過去最大

なぜ需要が増加しているのか。1つの理由として、人材を必要とする業界が広がってきたことがあるのではないかと思う。

東洋経済Tech×サイバーセキュリティのトップページはこちら

私は2015年からISC2の仕事に携わっているが、当初、CISSP（Certified Information Systems Security Professional：ISC2が認定するサイバーセキュリティ専門家の資格）のトレーニングには、サイバーセキュリティやITの企業の社員しか参加していなかった。

それが、少しずつ銀行などの金融機関の社員が増え始め、最近ではいわゆる事業会社の社員も参加するようになってきた。リモートワークの普及やDXの推進、そして、ランサムウェアなどの脅威の増加が背景にあるのではないかと考えている。

求められる「クラウドコンピューティングスキル」

具体的には、日本ではどのようなスキルを持った人材が不足しているのだろうか。

同調査で人材が不足している領域としてトップに挙がったのは、「クラウドコンピューティングセキュリティ」（30％）である。これは、SaaSの安全な利用と、クラウドサービスを基盤とする新規システムの安全な構築といった両方のスキルが含まれていると考えてよいだろう。

オンプレミスのシステムとは異なり、SaaSは直接インターネットにつながっているため、設定の不備が即セキュリティインシデントになる可能性がある。また、近年の新規システムはほぼ例外なくクラウドサービスを利用しており、クラウドサービスプロバイダーが提供するサーバーレスのサービスを活用することも多い。

そこでは、サービスの内容を理解し、開発チームと正しくコミュニケーションできるスキルが必要とされる。そのほか、「リスク評価・分析・管理」（29％）、「脅威インテリジェンスの分析」（29％）、「デジタルフォレンジックとインシデントレスポンス」（29％）、「人工知能・機械学習」（28％）のスキルも上位に挙がった。

また、需給ギャップの拡大によってさまざまな問題が起きている。同調査によれば、日本では人材不足が与える影響を問う項目で「目の前の業務に追われ、新たなセキュリティ人材を育成する時間が取れない」という回答が最も多かった。これはまさに鶏と卵の状態であり、何らかのブレークスルーを起こさないと人材不足は解消しないと思わせるデータである。

次いで、「適切なリスク評価・管理を実施する時間が不足」「プロセスや手順が順守不全」「インシデント対応が不完全」「重要システムへのパッチ適用が遅延」、といった回答が上位を占めた。

組織がさまざまなクラウドサービスで個人情報を扱っているにもかかわらず、そのリスクが適切に把握できておらず、退職者のアカウント削除漏れが発生し、システムの脆弱性対応が後手に回り、仮に問題が起こっても正しく対応できない――。そんな様子が透けて見える。