(ISC)²、サイバーセキュリティ人材採用責任者を対象とした調査結果を発表
・調査結果は、サイバーセキュリティ人材の不足を解消するための課題と解決策、及びサイバーセキュリティ人材の採用におけるベストプラクティスを示唆
・日本はAPAC諸国の中で最もIT実務経験を重視し、学歴のみで採用するケースが最も低いことが判明
世界最大のサイバーセキュリティ専門家資格の非営利団体である(ISC)²は、本日、アジア太平洋地域のサイバーセキュリティ人材の採用責任者を対象とした調査レポート、2022年版「Cybersecurity Hiring Managers Guide – Asia-Pacific Edition(英語)」を発表した。本調査は、サイバーセキュリティ専門家のチームを管理する採用責任者を対象に実施され、未経験者、及びジュニアレベルのサイバーセキュリティ人材の募集、採用、新人研修におけるベストプラクティスのヒントを多く提供している。日本、香港、シンガポール、韓国のサイバーセキュリティ人材採用責任者787名の意見を反映した本調査によって、効果的な職務記述書の作成とIT業界を超えて人材を求める必要性、非技術的なスキルやキャリア開発への投資の重要性が浮き彫りになった。
(ISC)²の最高経営責任者(CEO)のクレア・ロッソは、以下のように述べている。
「世界的なサイバーセキュリティ人材不足が340万人に達しており、企業や組織は、サイバーセキュリティ人材の採用において創造性を駆使する必要があります。しかし、この事実は必ずしも採用リスクの増大を意味しません。優秀な採用責任者は、未経験者、及びジュニアレベルの社員を採用し、彼らの専門能力開発に投資します。それが、レジリエンスが高く、持続可能なサイバーセキュリティチームを組織することに繋がると理解しているからです。採用責任者が、サイバーセキュリティのキャリアで成功を収めるために必要な属性やスキルを持つ候補者を見極める知識を備えていれば、ジュニアレベルの社員を採用することは『運を天に任せる決断』ではなくなります。(ISC)²の最新の調査は、その道しるべとなるものです」。
主なレポートの内容は以下の通り。
【人材探し・募集について】
| ・採用責任者は、組織の内外を問わず、IT業界以外からサイバーセキュリティ担当となる候補者を調達する傾向が強まっている。回答者の49%が、実務経験がなく、コンピューターサイエンス、IT、サイバーセキュリティ以外の分野の教育を受けた候補者を検討すると回答 ・39%(日本は33%)が人材紹介会社を利用して人材を発掘・採用した経験があると回答 ・回答者の62%が実務経験はないがITやサイバーセキュリティを独学で学んだ候補者を採用し、64%がITやサイバーセキュリティの分野以外で実務経験を持つ人材を採用すると回答 ・日本の回答者は、学歴があっても実務経験のない候補者を検討する傾向が最も低く、専門知識以外の能力においてはコミュニケーション能力を重要視する傾向が明らかに ・シンガポールと韓国の回答者は、日本の回答者に比べ、大学院等の教育機関とパートナーシップを結んで採用する傾向が強い |
【採用時に重視する属性およびスキルについて】
| ・採用責任者の64%が未経験者、及びジュニアレベルの人材の採用における最も重要な要素として、過去の職務経験を挙げた。次いで技術スキル(56%)、認定資格(51%)となった ・日本の回答者の71%が、採用時の優先事項に過去の実務経験を挙げており、これはアジア太平洋諸国の中でも最も高い割合となった。一方で、日本の回答者は他国と比較してIT認定資格の保有をそれほど重要視していない ・採用責任者の32%は、サイバーセキュリティの認定資格がこれまでのIT実務経験と並んで最も重要な要素であると回答 ・採用責任者は非技術スキルの必要性も強調しており、チームで働く力、自主的に働く力、プロジェクト管理の経験、言語コミュニケーション、文書コミュニケーションを最も重要なスキルとして上位5位に挙げた ・他国と比較して、日本では言語、文書コミュニケーションが重要視されている ・シンガポールと日本では、主体性が非技術系スキルとして高い評価を得ている |
【専門能力開発について】
| ・調査対象となった採用責任者の97%が、未経験者、及びジュニアレベルの社員に対し、何らかの形で専門能力開発の機会を提供していると回答 ・専門能力開発として提供しているものとしては、認定資格トレーニング・コースが50%でトップ、書籍などの認定資格用の教材の提供(44%)、認定試験費用の支援(44%)も支持されている ・日本は、他国と比較して、キャリアパスを提供していると回答した割合は僅か25%(香港58%、韓国52%、シンガポール57%) ・日本は、資格取得のための研修機会を提供していると回答した割合も最も低い(日本42%、香港59%、韓国49%、シンガポール52%) ・日本では、就業時間中に専門知識を高めるための時間を確保できると回答した人は72%で、86%のシンガポール、85%の香港、79%の韓国よりも低い数値だった ・多様なトレーニング手法がある中で、最も効果的だと思う方法について聞いたところ、社内研修コースが最も効果的な手段として60%の回答者に評価された ・日本と香港は、シンガポールと韓国よりも外部研修コースを高く評価している ・シンガポールと日本では、先輩社員に同行するシャドウイング研修がよく行われている |
また、採用責任者は、エントリー、ジュニアレベルのサイバーセキュリティスタッフが理解しておくべき技術的概念のトップ5を明らかにした。
| ・データセキュリティ ・セキュリティ管理 ・リスク評価および管理 ・バックアップ、リカバリ、事業継続 ・コンプライアンスおよびセキュリティ基準 |
回答者は、未経験者、及びジュニアレベルの社員がどのように組織に貢献しているかという質問に対して、新しい視点、アイデア、創造性、新しい技術に関する重要なスキル、熱意、そして活力をもたらしてくれること、と回答している。ある回答者は、「彼らは、その好奇心を下支えするスキルに乏しい一方で、定評のあるシニアコントリビューター以上に最新のイノベーションに精通していることがよくあります。それにより素晴らしい相乗効果が生まれています」と述べている。
2022年版の「Cybersecurity Hiring Managers Guide – Asia-Pacific Edition」(英語)の詳細は、こちらからダウンロード
