熟練したサイバーセキュリティ専門家の不足は悪化するばかりで、2022年までに人材不足は180万人に達すると予測されています。
「明らかに売り手市場です」と、フォレスターのアナリスト、ジェフ・ポラード氏は述べた。「セキュリティスキルをお持ちであれば、多くのチャンスがあります。セキュリティに興味があり、非伝統的なバックグラウンドを持っていても学ぶ意欲があれば、その観点からもチャンスは確実に開かれています。」
しかし、人材不足により多くの企業が行き詰まっています。ISACAの最近の報告書によると、サイバーセキュリティ関連の求人の充足に3ヶ月以上かかると回答した企業は55%に上り、6ヶ月以上かかると回答した企業は32%に上りました。また、米国企業の27%は、サイバーセキュリティ関連の求人を全く充足できないと回答しています。
ここでは、企業がサイバーセキュリティ専門家の確保に苦労する 5 つの一般的な理由と、そうした専門家をより効果的に採用し、維持するためのソリューションを紹介します。
参照:「偶然の」サイバーセキュリティ専門家の台頭
1. 要求されるスキルが多すぎる
米国がサイバーセキュリティの人材不足に悩まされていることは周知の事実です。しかし、企業はサイバーセキュリティ関連の求職者に、プロジェクト管理やコミュニケーションといったソフトスキルに加え、高度な専門技術の習得を強く求めることで、人材不足を悪化させています。
「職務に必要なスキル、経験、そして無形資産をすべて備えた人材を見つけるのは難しい場合があります」と、Rook Securityの人材・文化担当マネージャー、ケリ・クリストマン氏は述べています。「このスキルギャップは、業界や脅威の状況が急速に変化・進化しているという事実によってさらに深刻化しており、優秀な人材でさえも新しいスキルや需要に対応するのが困難な場合があります。求職者にとって有利な市場であることは間違いありませんが、職務に対する要件が絶えず高まっているため、競争は依然として激しいのです。」
ポラード氏によると、最善の策は、どの専門スキルが最も重要かを優先順位付けし、それらのポジションに人材を採用することです。そして、セキュリティ体制のギャップを埋めるために、サービスプロバイダーやベンダーパートナーを雇用することができます。「彼らは、セキュリティチームのスキルギャップを補うのに役立ちます」とポラード氏は言います。「セキュリティは伝統的にあらゆる課題に取り組み、あらゆるスキルを持つ人材を採用しようとしてきました。チームへの人員配置方法、社内で確保するものと外部に委託するものの区別について、より賢明に考える必要があります。」
2. 補償が不十分
サイバーセキュリティの専門家は、一般的にIT業界で働く他の従業員よりも高い収入を得ています。しかし、一般のセキュリティ実務者の場合、給与は停滞したままだとポラード氏は述べています。「『セキュリティ人材の確保に苦労しています』と言う組織と話をするたびに、私はその文に省略記号を付けて、『…その人材に支払ってもよいと思う金額で』と付け加えるように言います」と彼は言います。
前述の通り、企業は高度な専門スキルを持ちながらも低コストで働く人材を求める傾向にあるが、これは現実的ではないとポラード氏は指摘する。「企業はインシデント対応、マルウェア分析、ファイアウォール管理、暗号アルゴリズム設計ができる人材を雇おうとしており、ファイアウォールエンジニアと同程度の給与を支払っている」とポラード氏は指摘する。「そんな人材は見つからないだろう」
「警備業界には多くの求人があるが、彼らが求める資格の理想リストは現実的ではないか、あるいは給与水準を考えると明らかに現実的ではない」とポラード氏は語った。
セキュリティは重要ですが、企業に無限の予算があるわけではありません、とCompTIAの製品担当シニアディレクター、ジェームズ・スタンガー氏は述べています。「人件費、ソフトウェア、ハードウェア、トレーニング、資格取得といったコストはすべて非常に慎重に検討されます」と彼は述べています。企業は、スタッフに本当に必要なスキルを厳選し、それらのスキルに対して競争力のある価格を支払う用意をする必要がある、とポラード氏は付け加えました。
参照:サイバーセキュリティの注目点:深刻な労働力不足(Tech Pro Research)
3. 才能を見落とす
ポラード氏は、現職社員、新卒者、退役軍人、そして女性はすべて、サイバーセキュリティの未活用の人材だと述べた。サイバーセキュリティ人材の確保に苦労している企業は、特にIT部門に既に所属する現職社員のクロストレーニングを検討すべきだと付け加えた。例えば、Webアプリ開発者はWebセキュリティ評価のリソースになる可能性がある。一定期間、セキュリティ関連の職務を経験させるジョブローテーションプログラムは、優秀な人材の発掘に役立つとポラード氏は述べた。
サイバーセーフティ教育センターと(ISC)²による最近の調査によると、サイバーセキュリティ分野の労働力に占める女性の割合はわずか11%です。プライスウォーターハウスクーパースのサイバーセキュリティ部門マネージングディレクター、スザンヌ・ホール氏は、「企業はサイバー分野の採用慣行を見直し、面接プロセスに女性を積極的に参加させるべきです。入社後は、新入社員を組織内の優れた女性ロールモデルやメンターとペアにして、関係を構築し、個人的および職業的なサポートを提供することが重要です」と述べています。
地元の大学と協力して学生や新卒者向けのインターンシップや雇用機会を創出することも、人材プールを構築する一つの方法だと、ISACA理事会メンバーのロブ・クライド氏は述べています。「多くの場合、企業は経験者しか採用したがりませんが、新卒の人材を組織や業界に迎え入れ、必要な経験を積ませて優秀な人材に育てる方法を検討する価値はあります」とクライド氏は言います。
4. 仕事と生活のバランスが悪い
サイバーセキュリティ業界で真のワークライフバランスを実現するのは難しいと専門家は指摘する。その理由は2つある。1つ目は、業界の多くの人にとって、セキュリティは仕事であるだけでなく、情熱や趣味でもあることだ。「そのため、ワークライフバランスはそれほど重要ではなくなる」とポラード氏は述べた。しかし、より多様な、非技術系のバックグラウンドを持つ人材がこの分野に参入するにつれて、企業はワークライフバランスに関するポリシーに加え、従業員の年齢や価値観も考慮する必要があると、同氏は付け加えた。
厳密には24時間365日ではないかもしれませんが、サイバープロフェッショナルは、いつ発生してもアラートに対応する責任を負っています。「彼らは侵害の可能性に備えて待機しています」と、CyberSNと#brainbabeの創設者兼CEOであるデイドラ・ダイアモンド氏は述べています。「インシデント対応モードに入ると、24時間体制で作業するため、何日も家にいられないこともあります。」ダイアモンド氏によると、これはフォーチュン500企業や政府機関など、攻撃対象領域が広い環境では特に当てはまります。
サイバーセキュリティ業界の人々にとって、「ワークライフ・インテグレーション」という言葉がより的確なものになるとクライド氏は述べた。「この分野は、間違いなく好きだからこそ進むべき道です」と彼は言った。「9時から5時までの仕事で、それ以降は邪魔されることなく働きたいタイプの人には、おそらく向いていません」とクライド氏は付け加えた。「柔軟性が高く、リモートワークができる仕事を探しているなら、きっと楽しめるでしょう」
専門家らは、こうした仕事に就くよう人々に動機付けるために、企業は通常の勤務時間外の労働時間を補うためにリモートワークやフレックスタイムなどの福利厚生を提供することを検討できると指摘する。
参照:求人募集:大学は100万人の求人を埋めるためにセキュリティを強化
5. 非効率的な採用プロセス
多くの組織の採用プロセスは非効率で時間がかかり、それが候補者を失う原因になっているとダイアモンド氏は述べた。また、サイバーセキュリティ関連の求人をオンラインで掲載し、応募書類がメールボックスに届くのを待つだけではもはや十分ではないと付け加えた。
「採用活動は絶え間なく続くものです」とクリストマン氏は述べた。「組織は地域社会に積極的に参加し、働きがいのある職場であるという確固たる評判を築く必要があります。カンファレンスやイベントに出席し、ランチ・アンド・ラーンズを主催することで、私たちが何者であるか、私たちの使命やビジョン、そして私たちと共にどのように成長できるかを人々に知ってもらう必要があります。」
eGlobalTechの情報保証およびサイバーセキュリティ担当バイスプレジデント、ベロニカ・クエロ氏は、企業は従業員と同じようにネットワークを構築する必要があると述べ、LinkedInやISACAのようなサイバーセキュリティ専門家の会合を頻繁に開催するグループを通じてネットワークを構築するべきだと指摘する。サイバーの世界は狭いため、優秀な人材を見つける最良の方法の一つは、既にネットワーク内にいる人々を通して、紹介ボーナスを提供することだ。
「需要の高い人材を探すなら、鉄は熱いうちに打たなければなりません」とクエロ氏は言います。「気に入った人材を見つけたら、その人に合った条件を用意しましょう。報酬やテレワークなど、彼らが何を求めているのかを徹底的に理解し、採用につなげましょう。」
