インテルセキュリティ、サイバーセキュリティの人材不足問題についてまとめた国際調査レポートを発表
- 2016/09/08 10:00
- SecurityInsight
インテルセキュリティ(日本での事業会社:マカフィー)は9月6日、米国のシンクタンクである戦略国際問題研究所(CSIS)と協力し、民間および国家組織で発生しているサイバーセキュリティ業界に大きな影響をもたらす危機的な人材不足問題についてまとめた国際調査レポート「Hacking the Skills Shortage(人材不足の解消)」(日本語)を発表した。その概要は以下のとおり。
この調査は、日本を含む世界8か国を対象に実施し、調査に参加した回答者の大多数(82%)がサイバーセキュリティにおける人材不足を認識しており、そして回答者の71%は、この人材不足により直接的かつ重大な損害が発生していると答えている。このことは、優秀なセキュリティ人材がいない組織が、ハッカーにとって格好の標的となっていることを示唆している。
2015年、アメリカだけで20万9,000人のサイバーセキュリティ職が空席のままだった。回答者全体の4人に1人(25%)、そして日本の回答者の23%がサイバーセキュリティ人材の不足が原因で特許に関連するデータを盗まれたことがあると回答しているにも関わらず、今後、この人材不足が改善される兆しはない。調査の回答者は、2020年までに自身が所属する企業のサイバーセキュリティ人員は平均で15%不足すると予測している。
サイバーセキュリティ人材への需要は、職務要件を満たす人材の供給のペースを上回っている。調査を行なったすべての国で、高度な技術スキルを持つ人材ほど高い需要があることが分かっている。実際、侵入検知、安全なソフトウェアの開発、サイバー攻撃の軽減などのスキルは、協調性、リーダーシップ、優れたコミュニケーション能力などのスキルよりも非常に価値が高いことが明らかになった。
このレポートでは、サイバーセキュリティ人材不足の原因となる以下の4つの要素について研究している。
1.サイバーセキュリティに対する投資:
国家や企業におけるサイバーセキュリティの優先度は、そのサイバーセキュリティ予算額や増加率を見れば明らか。予想されるとおり、サイバーセキュリティに多額の費用を投資している国や業界ほど、人材不足問題に上手く対処できている。アンケート回答者の71%が、人材不足が原因で、組織のセキュリティネットワークに直接的かつ大きな損害が発生した経験があると回答している。
2.教育とトレーニング:
教育プログラムを通してセキュリティ業界で通用する人材を輩出することができると答えた回答者はわずか23%だった。このレポートでは、実技トレーニング、ゲーム、技術トレーニング、ハッカソンなど、従来とは異なる実践的な学習方法のほうが、サイバーセキュリティスキルの獲得と育成に効果的な方法となりうる可能性を示している。回答者の半数以上が、継続的な教育とトレーニング機会の必要性を重要視している一方で、サイバーセキュリティのスキル不足問題は他のIT関連の職種における人材不足問題よりも深刻であると考えている。
3.雇用側の問題:
採用活動において、人材を集めるための第一要素は給料だが、優れた才能を獲得し維持するためには、トレーニングや成長機会の提供、雇用側のIT部門に対する評価など、その他の条件も重要になる。回答者のほぼ半数(46%)が、人材が流出する共通の理由として、トレーニングや資格取得への援助などがないことに言及している。
4.政府の方針:
回答者の4分の3以上(76%)が、政府はサイバーセキュリティの人材育成に十分な投資を行なっていないと回答している。この人材不足は、アメリカ、イギリス、イスラエル、オーストラリアの各国首脳が昨年、サイバーセキュリティ人材への支援増加を要請するなど、重要な政治課題にもなっている。
今回の調査で、組織幹部がサイバーセキュリティに関するスキルを重視しているか、という質問に対し、「非常に重視している」「重視している」と回答した割合は、調査対象となった8か国の平均76%に対して、日本の回答者は8か国で最も低い56%だった。これは、経済産業省が昨年発表した「サイバーセキュリティ経営ガイドライン」でも指摘されている“積極的にセキュリティ対策を推進する経営幹部が諸外国より大幅に少ない”という内容を裏付ける結果となっている。
インテルセキュリティでは、日本でもますます高度化する脅威に対し、サイバーセキュリティへの意識やそれを担う人材を育成・確保するために、官民一体となった取り組みがさらに重要になると考えている。
■将来に向けた提案:
・サイバーセキュリティ職への採用条件を再定義し、従来の形式に囚われない教育方法を受け入れる必要性
・女性やマイノリティ、ハッキング経験者など、多様な人材の確保
・外部でのトレーニング機会を増やす
・自動化に対応するためのスキルを育成する
・人材不足の原因を示すデータの収集とサイバーセキュリティ技能に関するメトリクスの改善