世界的なサイバーセキュリティ専門家組織 (ISC)² による新しいレポートによると、サイバーセキュリティのスキル不足は世界全体で 270 万人、米国では 40 万人を超えており、採用担当者は欠員を補充するためにエントリーレベルおよびジュニアレベルの候補者を探しているという。
別の指標として、採用マネージャーの 91% が勤務時間中に専門能力開発を提供しています。
(ISC)²の過去の調査では、組織はあらゆるレベルで強靭なチームを構築するために、従来のサイバーセキュリティ人材プールの外側に目を向けることが推奨されています。この分野の新人を見つけ、育成するには、採用戦略の転換と、新入社員が学び成長できるようトレーニングへの投資が必要だと、(ISC)²は述べています。
しかし、サイバーセキュリティ業界で若手や初心者の専門家を雇うことにはさまざまな障害も伴うと、(ISC)²のアドボカシー、グローバル市場、会員エンゲージメント担当エグゼクティブバイスプレジデント、タラ・ウィズニエフスキー氏は語る。
最大の課題の一つは、「採用担当者が非現実的な職務記述書や採用慣行に頼り、経験の有無を過度に重視していることにあります。これは、事前の経験を積むことが不可能なエントリーレベルの職種においてさえも同様です」とウィズニエフスキ氏は述べた。「この『鶏が先か卵が先か』という状況は、サイバーセキュリティ業界、特にキャリアラダーのエントリーレベルにおいて、長らく悩まされてきました。」
参照: 採用キット: データサイエンティスト ( TechRepublic Premium)
その結果、サイバー分野の労働力の平均年齢が上がり、多様性が低下し、知識やベストプラクティスを伝承できる新規採用者の数が減っていると彼女は付け加えた。
しかし、若手や初心者の専門家を採用する際の課題は、問題の一部にすぎません。
「例えば、サイバーセキュリティ業界では職務満足度が非常に高いため、他の企業から経験豊富な人材を引き抜くことは困難です」とウィズニエフスキー氏は述べた。「これは多くの場合、金銭的な報酬につながり、企業が経験豊富な人材の期待に応えられるかどうかを左右する要因となります。」
採用担当者がこれらの役職を埋めるためにできること
有望なチームメンバーを採用するための最初のステップとして、調査参加者の52%が人材派遣会社や人材紹介会社との連携を挙げました。次に多かったのは、資格取得機関(46%)と大学(46%)でした。
回答者のマネージャーは、標準的な求人広告(45%)、自社内での見習いやインターンシップ(43%)、政府の労働力プログラムとのパートナーシップ(33%)にも頼っています。
ウィスニエフスキ氏は、採用担当者は、初心者やジュニアレベルの従業員に対しても寛容な心を持つ必要があると述べた。
「このレベルの採用は、目先の解決策ではなく、将来への投資と捉える必要があります」と彼女は述べた。「新しいエネルギー、視点、そして組織の中で学び、成長していく意欲は、企業がもっと必要としている貴重な資産です。採用マネージャーは人事部と緊密に連携し、職務内容や最低限の要件について再考し、より現実的な視点を持つ必要があります。」
採用担当者は、従来のIT・サイバーセキュリティ人材プールの枠にとらわれず、幅広い人材に目を向けるべきです。若い専門家を最初の仕事として迎え入れることは重要ですが、より幅広いスキルを持つ人材市場を活用して転職希望者を獲得することも同様に重要だとウィズニエフスキー氏は述べています。軍人や、技術系以外の様々な職務に就いている人々も、サイバーセキュリティ分野への転身とスキル活用に適しています。
「最終的には、採用担当者は、サイバーセキュリティ人材のすでに高度な経験を持つ人材に頼るのではなく、人材に投資し、採用した人たちの長期的なキャリアパスを構築する必要がある」とウィズニエフスキ氏は述べた。
社内から採用するマネージャーはほとんどいない
あまり利用されていない選択肢(18%)は、社内から人材を採用することです。調査によると、従業員数100人未満の組織では46%、従業員数5,000人以上の組織では34%が、エントリーレベルおよびジュニアレベルのスタッフを社内の他部門から採用していると回答しました。
エントリーレベルおよびジュニアレベルのサイバーセキュリティ人材は、IT (89%)、テクニカルサポート/ヘルプデスク (29%)、人事 (29%)、カスタマーサービス (22%)、コミュニケーション (20%) 部門にいます。
調査では、エントリーレベルの職務記述書の作成にはチームの努力が必要であり、「採用マネージャーと人事部門の連携を強化することが解決策である」と指摘している。
エントリーレベルおよびジュニアスタッフの主なタスク
調査によると、エントリーレベルのスタッフの主な業務は次の 5 つです。
- アラートとイベントの監視(35%)
- プロセスと手順の文書化(35%)
- スクリプト言語の使用(29%)
- インシデント対応(28%)
- レポートの開発と作成(26%)
ジュニアスタッフの主なタスクは次の 5 つです。
- 情報保証(認証、プライバシー)
- バックアップ、リカバリ、ビジネス継続性
- 侵入検知
- 暗号化
- 侵入テスト
エントリーレベルおよびジュニアレベルのチームメンバーに求められる主な特性
(ISC)² のレポートによると、採用担当者がエントリーレベルの求職者に対して考慮すべき特性は、技術スキル、非技術スキル、個人特性の 3 つのカテゴリに分類されます。
参照:COVID-19による男女格差:女性が仕事を辞める理由と復職させる方法(無料PDF)(TechRepublic)
上位 5 つの技術スキルは、データ セキュリティ、クラウド セキュリティ、安全なソフトウェア開発、データ分析、セキュリティ管理です。
非技術系スキルの上位 5 つは、チームで働く能力、独立して働く能力、プロジェクト管理経験、顧客サービス経験、プレゼンテーション スキルです。
上位 5 つの性格特性は、問題解決能力、創造性、分析的思考力、学習意欲、批判的思考力です。
(ISC)² は、エントリーレベルのサイバーセキュリティ認定資格の開発などの取り組みを通じて、人材不足とスキルギャップの解消に取り組んでいます。
「次世代のサイバーセキュリティ専門家に基礎的な資格を与えることで、採用担当者は過去の経験以外に頼れる、認知された実用的な能力の証を得ることができる」とウィスニエフスキ氏は述べた。
(ISC)²は、米国、カナダ、英国、インドの小規模、中規模、大規模組織の採用担当マネージャー1,250人を対象に、採用慣行と好みに関するアンケート調査を実施したと発表した。
