日本のサイバーセキュリティ人材が48万人強に増加した一方、未だ11万人に及ぶ記録的な人材不足
世界的なサイバーセキュリティ人材不足の解消には400万人の追加人材が必要 経済の不確実性、スキルギャップ、次世代AIの台頭などの影響で、サイバーセキュリティ人材が直面する課題をISC2の調査が紐解く
世界有数のサイバーセキュリティ専門家資格の非営利の会員制組織であるISC2(URL:https://www.isc2.org/ )は、ISC2の年次グローバルサイバーセキュリティ人材調査「ISC2 Cybersecurity Workforce Study」の2023年版を公開した。本調査によると、日本のサイバーセキュリティ人材は48万659人(前年比23.8%増)に達し、2022年から9万2000人以上が新たに雇用されたことが明らかになった。これは、ISC2がこれまでに同地域で記録した中で最多となっている。一方で、本調査の結果では、依然として需要が供給を上回っていることも浮き彫りになった。日本のサイバーセキュリティ人材の需給ギャップは過去最大に達しており、デジタル資産を適切に保護するためには、さらに11万254人(前年比97.6%増)の専門家が必要であると試算されている。
【世界のサイバーセキュリティ労働力の需給ギャップ】
下図の通り、ISC2は現在の世界のサイバーセキュリティ人材の数を約550万人と推定している。これは、前年比8.7%増、約44万人の新規雇用に相当する。一方で、世界的なサイバーセキュリティ労働人口が増加し続けているにもかかわらず、ISC2が実施した調査では、依然として需要が供給を上回っていることが明らかになった。労働力の需給ギャップは、今年さらに12.6%増加し、過去最大の約400万人に迫っている。中東・アフリカやラテンアメリカのような供給が特に急増した地域ではギャップの解消が進んでいるものの、特にアジア太平洋地域(特に日本とインド)と北米で需給ギャップの格差は広がった。
【調査結果詳細と日本市場】
本調査の結果、経済の不確実性、人工知能(AI)、細分化された規制、スキルギャップなど、サイバーセキュリティ分野の専門家に影響を与える新たな課題も見つかった。さらに、日本のサイバーセキュリティ専門家の66%が、現在のサイバー脅威情勢は、過去5年間で最も厳しいと回答している。今後2~3年間、サイバーインシデントに対応するための十分なツールと人材を自組織が有していると回答したのは、わずか44%(グローバル52%)。
日本のサイバーセキュリティ専門家が直面している課題には、以下のようなものが挙げられる。
<労働力とスキル格差>
- 日本のサイバーセキュリティ専門家の94%が、自組織においてスキルギャップ(企業に求められる能力と実際に従業員の持つスキルの差)があると回答
- 組織におけるスキルギャップが存在する分野の上位5つには、クラウドコンピューティングセキュリティ(30%)、リスク評価・分析・管理(29%)、脅威インテリジェンス分析(29%)、デジタル・フォレンジック、インシデントレスポンス(29%)、AI(28%)が挙がっている
- 世界全体では、サイバーセキュリティ労働力のレイオフを実施した組織の51%が、1つ以上の重大なスキルギャップにより影響を受けていると回答しており、レイオフを実施していない企業では39%となった
<経済の不確実性>
- 予算縮小、レイオフ、採用凍結や昇進停止を含むカットバックを経験したと答えた回答者は、世界全体では47%であったのに対し、日本では32%だった
- 回答者の49%が、サイバーセキュリティの最新トレンドに対応するために不可欠な技術の購入/導入の遅れに直面している
- 回答者の72%が、カットバック(人件費削減)によって仕事量が増え、チームの士気(63%)や生産性(64%)に悪影響が出たと回答している
- 61%の回答者が、カットバックにより脅威への対応が阻害されていると回答し、48%が内部不正や脅威に関わるインシデントが増加していると回答している
- 回答者の29%が、カットバックは2024年まで続くと考えており、64%がカットバックにはレイオフも含まれると予想している
<新興テクノロジー>
- 世界全体の47%に対し、日本の回答者の59%がAIについて「全く知らない」または「最低限の知識しかない」と回答
- 42%の回答者が、デジタル・フォレンジックとインシデントレスポンスが、キャリアアップのために最も必要なスキルであると回答している
ISC2のCEOであるクレア・ロッソは、次のように述べている。
「調査対象国の範囲が広がった今回の調査で、日本の人材及び人材ギャップの増加率が対象国中で最も高い結果となったことは、日本においてサイバーセキュリティに対する注目度と重要性が高まっていることを示唆しています。日本をはじめ、世界的にも過去最多のサイバーセキュリティ専門家が本分野に参入していることを嬉しく思います。一方で、企業・組織とそれらの重要な資産を適切に保護するためには、専門家の数を倍増させなければならないという差し迫った現実があります。かつてないほど複雑で巧妙な現在の脅威の状況の中で、サイバーセキュリティの専門家が直面する課題の深刻化は、ISC2が業界へ伝えるメッセージの緊急性を強調しています:企業・組織は、新たな人材と既存のスタッフの両面からチームに投資し、絶えず進化する脅威の状況を切り抜けるために不可欠なスキルを身につけさせなければなりません。それこそが、私たちの集団安全保障を強化することができる、レジリエンスのある専門家を確保する唯一の方法です」。
<将来のサイバーセキュリティ人材の強化>
企業・組織はサイバーセキュリティチームを強化するための戦略を積極的に採用している。日本の回答者は、人材不足の解消、または緩和のために、柔軟な労働条件の提供(72%)、スタッフ研修への投資(80%)、多様性・公平性・包括性(DEI)プログラムへの拠出(58%)、資格取得支援(78%)、新規スタッフの募集・採用・研修によるチーム拡大(70%)を行っている、と回答している。
<非技術的スキルを備えた人材の採用>
日本のサイバーセキュリティ専門家は、各種スキルの技術的熟練度に加え、非技術的な側面の重要性を強調している。その中でも、強力なコミュニケーション能力(41%)、好奇心や学習意欲(40%)、高い問題解決能力(40%)が上位を占めている。日本の回答者の65%は、応募者の態度や適性を重視して採用し、技術的スキルを身に着けさせるために新入社員にトレーニングを提供していると回答している。
<サイバーセキュリティにおけるグローバルな多様性と包括性の育成>
サイバーセキュリティ人材の多様性を促進するために、世界中の企業・組織がDEIイニシアチブを導入し、スキルベースの雇用を採用、DEI目標を重視して職務内容を改訂している。調査対象地域の中で、DEIに投資している企業・組織が最も少なかったのは、中東・アフリカの51%で、次点がアジア太平洋とラテンアメリカ(56%)であった。アジア太平洋でDEIに投資している企業・組織が最も少ないのは、香港(56%)で、次に少ないのが日本(58%)。スキルベースの雇用を採用している企業・組織では、世界平均で25.5%の女性がサイバーセキュリティ担当として働いているのに対し、このイニシアチブを採用していない組織では22.2%に留まっている。しかし、30歳未満の世界のサイバーセキュリティ専門家に占める女性の割合はわずか26%に過ぎず、まだ対策すべき点が残っている。
DEIへの取り組みは、多様性を促進するだけでなく、サイバーセキュリティ人材の有効性を高める。DEI採用を実施している企業・組織は、今後2~3年のサイバー脅威に対処するために、サイバーセキュリティ専門家たちがより強い準備意識を持っていると報告している。
世界的なサイバーセキュリティ人材不足を解消するために組織が取れる追加措置の詳細については、https://www.isc2.org/Research から、2023年版の「ISC2 Cybersecurity Workforce Study」(英語)でご確認いただきたい。
出典:PRTimes ISC2、サイバーセキュリティ人材の需給ギャップに関する調査結果を発表:日本のサイバーセキュリティ人材が48万人強に増加した一方、未だ11万人に及ぶ記録的な人材不足に陥っていることが明らかに
