“完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか 失業率は「ゼロ」、給与は高騰|ビジネス+IT
ITと経営の融合でビジネスの課題を解決する
ビジネス+ITとは?
ログイン
メルマガ登録
事業拡大
米ミシガン大消費者信頼感、3月確報値は59.4 11年以来の低水準
2022/03/26
ロ、ルーブル決済対応で国営ガス会社に圧力 「4日以内に制度構築を」
2022/03/26
中国シノペック、ロシア投資協議打ち切り 西側制裁影響=関係筋
2022/03/26
営業戦略
さらば!「うざい」モバイル広告、事例でわかる消費者に“刺さる”タイミングとは
2022/03/10
東京電力が挑んだ「顧客体験向上」、“倍の効率”で満足度130%増を実現した方法とは
2022/03/09
『セールス・イズ』著者が語る、成果に直結する「営業DX」の進め方
2022/03/04
コスト削減
このままでは危険な「SAP 2027年問題」、移行期間とコストを“半減”させる方法とは?
スペシャル
2022/03/16
どうしても残る紙の書類、テレワークの足かせに……一気に電子化する方法はあるか?
2022/03/16
悩み付きまとう「タクシーの領収書」問題、関係者全員の煩わしさを解消する方法
2022/02/09
組織改革
「仕事ができる人」は何が違う?「明日から頑張ろう」タイプが行動できない3つの理由
2022/03/25
「法改正は急務」伝説の弁護士2人に聞く、「同性婚」議論進まぬ日本はどう見えるのか
2022/03/23
アクトグループが約20の口座情報を一元管理し、業務時間を「1/3」に短縮した方法
2022/03/18
生産・製造
沈みゆく「紙媒体」、残り続ける「非効率」…今こそ必要な“出版DX”の進め方
スペシャル
2022/03/23
ウォルマート・ZARA・ユニクロは何が凄い? 小売業の「物流」が超重要と言えるワケ
2022/02/21
なぜダイキン工業は世界トップシェアになれたのか? インバータエアコン開発の裏側
2022/02/15
危機管理
原油「1バレル=100ドル越え」が続くと日本はどれだけヤバいのか
2022/03/18
サイバー攻撃の変遷、あの頃どう対策してた?「WinMX時代の情報漏えい」「WannaCry」
2022/03/17
ロシア制裁手段「SWIFT排除」の影響力とは? なぜ金融の「核兵器」と呼ばれるのか
2022/03/09
コンプライアンス
専門家に聞く「サステナブル商品」ヒットの理由、背後にある消費者マインドの変化とは
2021/12/24
ロレアルが推進する「本気のSDGs」、すでにほぼ全設備でカーボンニュートラル達成
2021/09/28
アップルの「児童ポルノ検出技術」計画が延期、なぜ全米から批判されたのか
2021/09/07
省エネ・環境対応
ロシア産原油禁輸に踏み切った米国の勝算は? シェール採掘もすぐにはできない事情
2022/03/11
【独占掲載】110社へのサステナビリティ調査で見えた3つのポイント
2022/01/27
味の素も取り組む、人・環境・利益のトリプルボトムラインとパーパス経営の関係
2021/11/19
業種・規模別
ロシアが支援? ウクライナ襲ったマルウェア「HermeticWiper」の脅威
2022/03/24
「第5次産業革命」をわかりやすく解説、ドイツ・米国・中国・日本の最新動向とは
2022/03/24
【19のグラフ】自動車幹部1000名調査に見るEVシフトや自動運転、日本の課題とは?
2022/03/22
IT戦略
オードリー・タン氏も語る、デジタルによる「限界費用ゼロ」の超重要性
2022/03/23
オードリー・タン氏が日本人のために「デジタルとITはまったく別物」と語る理由
2022/03/09
なぜ「医療デジタル化」が遅れるのか? 1万2000人調査が示す日本の課題と解決策とは
2022/03/07
基幹系
つまずく企業続出。データ分析の「前段階」収集・加工はなぜ難しいのか? 解決策は?
スペシャル
2022/03/25
担当者の半数以上がストレス、データ分析“前”の業務はどうすれば効率化できる?
2022/03/09
2年の猶予が設けられた「改正電子帳簿保存法」に、なぜ“今すぐ対応”すべきなのか
2022/02/08
情報系
ハードルの上がった「顧客体験」に応えるため、なぜ「従業員体験」が重要なのか?
スペシャル
2022/03/25
花王「データ活用戦略」の秘密、“単なる分析”を超えて顧客理解を深めるOMO基盤
2022/03/23
時間を「30分の1」に、パーソルテンプスタッフの問い合わせ業務が“劇的改善”した理由
2022/03/22
運用管理
現場はもう限界…求められる“運用管理DX”に「データのKPI化」が効果的な理由
スペシャル
2022/03/25
エヌビディア×IDCフロンティア対談、「AI」「GPU」「データセンター」の親和性
2022/03/25
Windows 11にアップグレードする前に備えるべき、たった1つのこと
2022/03/17
セキュリティ
300事例を手掛けたBCPのプロが伝授、本当に役立つ「IT-BCP」はこう作る
スペシャル
2022/03/25
担当者はうんざり…面倒すぎる「IDの棚卸」を「工数1/4」に短縮できた理由
2022/03/25
脱・10年前のセキュリティ、専門家が解説「自社を守るための5つの強化ステップ」
2022/03/24
ネットワーク
IoT投資の世界市場調査(後編)、気になる1位は? 投資基準は結局「コスト」?
2022/01/26
IoT投資の世界市場調査(前編)、用途別トップ10は?成功事例と併せて解説
2022/01/25
2022年のIoT市場で注目の6大トレンド、42%が積極投資に意欲も企業間格差拡大のワケ
2021/12/23
モバイル
テレワークで負荷増のデバイスセキュリティ、もっと柔軟で効率的な方法はないのか
スペシャル
2021/04/02
テレワーク最大の懸念…“セキュリティ確保”がそう簡単ではない理由
2020/08/28
IEEE802.11ax(Wi-Fi 6)とは何か? 5つのメリットで理解する最新無線LAN規格の詳細
2020/06/03
ハードウェア
パナやホンダら8社で協会も発足、配送ロボットの普及本格化と今後の課題
2022/03/03
ストレージの第一人者が語るデータシェアの可能性、東北で芽吹くスーパーシティとは?
2022/02/09
「知能化ロボット」と「データドリブン」が倉庫と工場を変える
2022/02/03
開発
RPAを導入したのに「成果が出ない」? 失敗企業の共通点
スペシャル
2022/03/04
CI/CDとは何かをわかりやすく図解、具体的なツールや取り組み方とともに紹介する
2022/03/01
ローコード/ノーコード開発市場が24.3%の大幅増、2023年度には1,000億円規模に
2022/02/18
メルマガ登録
ビジネス+ITとは?
関連ジャンル
“完璧なセキュリティ人材”などいない――企業のリーダーはなぜ幻を追い求めるのか
失業率は「ゼロ」、給与は高騰
高度化・巧妙化するサイバー攻撃の脅威が、多くの企業や組織を悩ませている。また、それに対応するセキュリティエンジニアの不足が叫ばれて久しいが、その解消には至っていないのが現実だ。ガートナーの調査によると、デジタル・セキュリティはIoT(モノのインターネット)、AIなどと比べても遜色なく需要が高いという。一方で、デジタル・セキュリティを長年経験した人は市場にいないにも関わらず、企業は「何でもできる」セキュリティ人材を求めがちだ。どうすれば有能なセキュリティ人材を確保できるのか。あるいは、セキュリティを有効な機能として自社に持つことができるのか。ガートナーのバイスプレジデント ジェフリー・ウィートマン氏が、そのノウハウを解説した。
<目次>市場の論理では、需要に対して供給が少なければ価格が上がるのは当然だ。その意味では、現在のサイバーセキュリティ人材市場は需要が加熱する一方であり、企業が支払わなければならない給与は非常に高水準になっている。セキュリティ人材に対して、従来型のIT人材と同程度の給与水準を提示する企業も少なくないが、ガートナーによれば、今やその給与水準は従来の10~20%高い相場になっており、従来の相場感で採用を目論んでも見向きもされなくなりつつある。それに伴って、CISO(最高情報セキュリティ責任者)の平均給与も20%アップしており、人材不足の解消は当面見込めない状況になっている。これは、特定の国や地域に限らない世界的な問題だ。ウィートマン氏によれば、「現在のセキュリティ人材については失業率ゼロ。市場に存在する人材よりもニーズのほうが圧倒的に多い状況だ」という。2017年に比べて空席は補充されたが、さらにこの先2022年までに欠員数は倍増すると予測されている。メディアでは『人材不足は作り話だ』という論調もよく見るが、ISACAの調査によると、4社のうち1社は組織の重要セキュリティ職の空席が6カ月以上続いている。「欧州ではセキュリティ職の3分の1が空席であり、作り話ではないことが分かる」とウィートマン氏は話す。また、同じポジションでも給与に幅があることは認識しておきたい。「東京の給与はおそらくそのレンジの中の一番高いほうの水準にある」とウィートマン氏は指摘する。ウィートマン氏は「ほとんどのリーダーは『紫のリス』を探している。一人ですべての要件を満たす完璧な人材など存在しないのに、そんな幻を追い求めている」と現状を表現する。それに対して、ガートナーは「リーダーシップと人材管理に問題がある。雇用することばかりではなく、セキュリティ機能の最適化へと考え方をシフトして、必要なスキルセットを獲得しなければならない」という見解を示している。市場から人材を獲得できないならば、社内でできる人を探し、的確な訓練を施すことが必要かもしれない。しかしそうすると、訓練してスキルを身につけたら他社へ移ってしまうかもしれない。そう考えて既存社員の教育訓練をためらうケースもあるという。もう1つの問題として、サイバーセキュリティ部門が他の管理部門・事業部門の問題を解決するという姿勢を持てず、ビジネス上の懸念を理解する可能性が低いことだ。ウィートマン氏は「それによって人事・財務に関連する問題が引き起こされる」と指摘する。セキュリティ人材と一言でいうが、具体的に求められるのはどんな人材で、何ができる人材なのだろうか。ウィートマン氏は「役割(肩書)」「スキル」「認定資格」の観点でその役割を説明する。同氏は、今後求められる肩書として「情報セキュリティ/サイバーセキュリティ・アナリスト」「セキュリティ・エンジニア/アーキテクト」「脆弱性アナリスト/侵入テスター」「サイバー脅威アナリスト」「リスク保証アナリスト」「情報セキュリティ/サイバーセキュリティ・マネージャー」などを挙げた。また、多くの会社の求人要件を横断的に検索・分析すると「サイバー」「インフォセック(Infosec)」「リスク」「コミュニケーション」「アシュアランス」などのワードが最も頻度高く見られるという。つまりこれらが現在求められるスキルの中心ということだ。認定資格も同様に検索してみると、米国連邦政府の「シークレット・クリアランス」という役付けが重要なため頻出する。その他、CISM、CISA、CISSPなどさまざまなセキュリティ関連の認定資格が見られる。しかしウィートマン氏は「私もいくつかの資格を取得しているが、これらの資格は『テストを合格する手法を知っている』ことを証明しているに過ぎない。認定資格はそこまで重視しないことも1つの考え方だ」と注意を促した。今後、より優秀なセキュリティ人材を採用するためには、従来型の空席を埋めるやり方や採用手法・プロセスが機能しなくなっていることを認識する必要がある。企業は採用のやり方を改める時期に来ているのだ。1つ典型的な問題は「職務経歴書(ジョブ・ディスクリプション)」において、具体的かつ狭義の記述内容にとどまっていることが挙げられる。たとえば、多くの企業が「CISSPの資格を取得していること」を募集要件にしている。そうするとまず資格のプレミアム価格、つまり割り増しの給与水準が期待されてしまう。そして、CISSPの認定資格を持たないながらもセキュリティのプロとして手腕のある人は、その求人を「自分とは関係ないもの」と見なしてしまうだろう。それは、優秀なセキュリティ人材の採用可能性を企業自ら放棄することだ。認定資格の要件も「必須」としないことを検討すべきだとウィートマン氏は指摘する。認定資格と仕事を遂行する能力は一致しないからだ。資格取得に長けた人材に、無用に高給を支払わなければならない自体も起こりうる。もう1つの問題は、要求する「経験」が現実に即していないということだ。サイバーセキュリティ関連の技術は、まだ市場に出てきて4~5年の技術も少なくない。にもかかわらず、職務記述書では「XXの経験10年以上を有していること」などと書かれているわけだ。また、1つの職位には1つの職務を割り当てることが重要だ。1つの職位に複数の職務・役割を記述しても、一人でそれを担える理想的な候補者は存在しないからだ。そして、必要とする経験年数をしっかり検証し、妥当な年数を設定すること。たとえば、開発されて2年しか経っていないツールの必要経験年数を「5年」などと書くことがないようにしなければならない。【次ページ】リソース不足に役立つ「アウトソーシング」と「自動化」一覧へ
一覧へ
PR
SBクリエイティブ株式会社
ビジネス+ITはソフトバンクグループのSBクリエイティブ株式会社によって運営されています。
ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!