今年、サイバーセキュリティ担当者を対象に行われた調査によると、サイバーセキュリティの人材は、世界的に290万人以上不足しているという。とくに215万人が不足するというアジア太平洋地域は他の地域より深刻だが(北米50万人)、これは、経済が発展している国が多く、サイバーセキュリティ関連法の施行が相次いだことが要因となっている。(※1)
また、同アンケート調査では、回答者の63%が勤務先で「サイバーセキュリティ専門のITスタッフが不足している」と答え、59%が「人材不足のため、勤務先がサイバー攻撃の危険にさらされている」と回答している。
サイバーセキュリティに関しては、一般的にIT人材供給国であるインドでも人材が不足しており、印業界団体では2020年までに100万人が必要となると予測している。このように、新興国からの人材でも、世界的な人材不足は埋められない状況で、各国で次世代の人材育成が急務とされている。
※1 (ISC)2 “(ISC)2 Cybersecurity Workforce Study, 2018”
アメリカ
サイバーセキュリティ人材マッチングツールのCyberSeek によると、アメリカでは、2017年4月から2018年3月の一年、77万人のサイバーセキュリティ人材が雇用されていたが、同時期、31万人以上のサイバーセキュリティ求人が埋まらないでいた。このうち、1万3000職以上が公共部門におけるものであった。
同時期、全職種を通して求人一件対し5.85人の就労者がいたのに対し、サイバーセキュリティ分野では、2.5人のみであったという。需給率を市場平均にするには、雇用を50%以上増やさなければならないとも言われている。
サイバーセキュリティ人材は、アメリカ全州で不足しており、連邦政府機関が集まるワシントンDCで最多である(4万4000人)。
<職種別>
職種別に見ると、求人がもっとも多いのは、純粋なサイバーセキュリティ分野ではなく、ITシステムの保守管理を含む運営保守分野である。
先のCyberSeek によると、一番需要が高い職種は、サイバーセキュリティ・エンジニアで(求人数3万7000以上)で、次にサイバーセキュリティ・アーキテクト、サイバーセキュリティ・マネジャー、サイバーセキュリティ・コンサルタント、ペネトレーション・脆弱性テスターであった。
なお、サイバーセキュリティ職の平均給与は7万5000ドル以上で、一番高いのが、サイバーセキュリティ・アーキテクトの13万ドルであった。
サイバーセキュリティスキルを備えたスペシャリストは、週に一度はヘッドハンティングを受けているという。限られた人材は、高給を要求することができるため、事業に不可欠なレベルのサイバーセキュリティも、大企業以外には手が届かない状態である。
人材側に目を向ければ、IT契約社員を対象としたアンケート調査では、回答者の31%が「新たな仕事を探す際、給与・日当が最大の決め手」、23%が「興味深い仕事内容」と答えており、人材獲得には報酬が重要であることがうかがえる。
また、人材不足のため、彼らの貴重な時間の多くが、サイバーセキュリティのスキルを磨くのではなく、緊急のIT案件やジュニア社員の研修に費やされており、そうした状況は企業にとってもマイナスであると答えている。
対策
人材不足への対処としては、基本的に、官民ともに人材育成が中心である。求人広告を出しても応募がないのは、そうした人材がいないからであり、また世界的に人材不足で特別なスキルを要するため、海外から雇用するにも限りがある。それならば育成するしかない、ということで、とくにIT業界外からの人材取り込みと教育に力が注がれている。(※2)
※2 ただし、アメリカの「セキュリティ人材育成ブーム」といえる現状に苦言を呈する専門家もいる。
官民学連携
2015年にニューヨークで発足したCybersecurity Workforce Alliance (CWA)は、民間企業が地元大学と組み、初級レベルのサイバーセキュリティ人材を育成するという業界初の試みであった。会員企業1000社にはウォール街の金融機関も含まれ、オンラインラーニング会社が、業界の具体的なニーズを反映した教育を提供している。バーチャルインターンシップや見習い制度などが盛り込まれ、受講生が実務経験を得られるようになっている。
これまでに1000人が、同プログラムを修了しているが、修了者400人を対象に行った調査では。修了後は62%が就職し、30%がサイバーセキュリティ関連職に就いているという結果であった。なお、受講生の99%が受講以前には「サイバーセキュリティ分野での就職の機会について知らなかった」、95%が「他の分野でも実務経験がなかった」といい、潜在的な人材の掘り起こしに一定の効果が得られているようである。
今秋、新たに発足した後述のCyberNYCの一環として、2019年春から3年間で1万人以上を育成する予定である。
さらに、ニューヨークでは、今秋、官民学による新たな試みが始まった。先月、ニューヨーク市経済開発公社が、ニューヨーク市を世界のサイバーセキュリティ革新・人材のリーダーにするための新たなイニシアチブとして、CyberNYCを発表した。
同市には、サイバーセキュリティが肝要な金融機関が集まっており、(※3)シリコンバレーをはじめとする西海岸、同じ東海岸のワシントンDCやボストンのITハブに対抗し、サイバーセキュリティのハブを目指そうというものだ。
オンラインラーニング会社と協力し、スタートアップ向けイノベーションハブとして、商業化や研究のためのイニシアチブ、未来のサイバーセキュリティ人材教育のための「グローバルサイバーセンター」を立ち上げるという。
ニューヨーク市が30万ドル、民間企業が70万ドルを供出する予定で、ゴールドマンサックスやプライスウォーターハウスクーパースなどの有名企業も参画している。
マンハッタンには、サイバーセキュリティでは先を行くイスラエルの企業と組んで、スタートアップ企業向けコワーキングスペースやサイバーレンジを備えた 新施設を開設するという。
また、有名VCと提携し、国際的なサイバーセキュリティ投資ハブも開設する予定である。サイバーセキュリティのスタートアップ企業を立ち上げ、イノベーションや商業化を加速させるために、コロンビア大学と協力し、特許所有のサイバーセキュリティ技術開発者をベテラン起業家とつなげる。
さらに、次世代のサイバーセキュリティスペシャリストを育成するために、ニューヨーク市立大学(CUNY)、ニューヨーク大学(NYU)、コロンビア大学、コーネル工科(Cornell Tech)(※4)、オンラインラーニング会社などと組み、資格や学位が取れるプログラムも提供する。グローバルなオンラインラーニングプログラムでのみ提供されるフェイスブックや複数の大学共通の資格プログラムとも提携する予定だ。
※3 ニューヨークのサイバーセキュリティ業界は、現在100社以上が6000人を雇用。95%以上が年収5マンドル以上(年収5万ドルではNYCでは生活できない)。なお、2017年だけでも、10億ドルのVC資金が投入された。
※4 コーネル大学とイスラエル工科大学が共同設立。
公的支援
先述のサイバーセキュリティ人材マッチングツール、CyberSeekも、商務省管轄のアメリカ国立標準技術研究所(NIST)による補助金でIT業界団体と民間企業が協力して開発されたが、国を挙げて人材を育成するため、公的支援が提供されている。
今秋、米議会では、超党派議員らによりCyber Ready Workforce Act(サイバー適任人材法)案が下院に提出された。これは、労働省がサイバーセキュリティ見習い制度を支援する仲介業者に補助金を支給するというもので、キャリアカウンセリング、メンターシップ、交通・住居・保育費支援などを見習い者に提供するというものだ。
同案は、今春、ネバダ州で認可されたサイバーセキュリティ人材見習い制度を模倣したものである。同州では、3年前からコミュニティカレッジが連邦政府より補助金を得て、授業とOJTを併用した実践的な人材育成に取り組んでいる。参加企業は、OJTを提供することで見習いを雇うことができる。
今年、ネバダの同制度には(コンピューター・サポートスペシャリストとともに)サイバーセキュリティサポート技術者育成プログラムが新たに加えられた。なお、民間の教育サービス会社が、スポンサーとなり、プログラムの運営やメンターの育成なども行っている。
なお、中高校生にサイバーセキュリティ分野に興味を持ってもらうために、オンラインサイバー防御コンテストや、アメリカ国家安全保障局(NSA)や全米科学財団 (NSF)などが資金を提供する幼稚園児から高校生を対象にしたサイバーキャンプなども開催されている。
文系学生の取り込み
これも産学連携の例だが、実世界のニーズに応じたカリキュラムを作成するため、企業と組んでサイバーセキュリティ関連のオンラインコースを提供する大学が増えている。
心理学専攻学生が工学部専攻学生の3倍いるというNYUでは、20年前からサイバーセキュリティセンターを開設しているが、今年、より手ごろな授業料で受講できるように、オンラインの修士課程を開始した。通常コースであれば、授業料が年間6万ドルかかるところが、オンラインコースであれば1万5000ドルですむ。9月には125人が入学し、今後3~4年で年間1000人の学生を輩出することを目指している。
まずは、サイバーセキュリティ未経験の学生でも入学できるよう、ブリッジプログラムとして4ヵ月の集中オンライン講座(1500ドル)を提供している。これを無事修了できれば、正式な修士課程に入学できるという仕組みだ。初年度の今年、230人(うち女性22%)がブリッジプログラムに入学した。
女性の活用
サイバーセキュリティ分野において、世界的に女性が占める割合は24%であり、5年前の11%に比べれば増えているものの、まだまだ開拓可能であるため、女性の参入を促す努力も、民間を中心に行われている。
IBMでは、以前から、育児などで仕事を離れた女性がIT職に戻るの支援する12週間のインターンシップから成るTech Reentry Program(IT復職プログラム)を設けているが、サイバーセキュリティ部門でも職場復帰を希望する女性のリクルートを積極的に行っている。
先のCAWでも、先月、専攻にかかわらず、女子学生にメンタリングなどを提供して、会員企業に人材候補として紹介し、女性の採用を促進するため、企業に助言する立場の女性専門家から成る団体との提携を発表している。
・対大学生
IBMでは、サイバーセキュリティ分野でのキャリアについて学んでもらうために、女子大生や卒業を控えた高校生を半日招待する「IBM Cyber Day for Collegiate Women」を開催している。当日は、ネットワーキングやメンタリング、履歴書に関するアドバイス、サイバーレンジ訪問なども行われる。
また、同社では、女子学生向けに、業界カンファレンス(Hacking Halted)への参加費の支給も行っている。
・小中高校生教育
さらにIBMでは、サイバーセキュリティについて学んでもらうために、5年生から高校生の女子を一日職場に招待する「IBMCyberDay4Girls」も開催している。ネットいじめからの身の守り方やサイバーセキュリティの分野でどういったキャリアがあるかなどをグループ活動を通して学ぶものだ。今年、計1000人の女児を招待することを目標としており、4月までにすでに700人近くが参加していた。
このプログラムは、アメリカ国内だけでなく、カナダやオーストラリア、アフリカ、南米のIBMでも行われている。
ハッカー大会やゲーム大会は、参加者の性別は不問でも、どうしても男子が多くなるため、今年初めて、女子を対象にしたチャレンジゲーム大会(Girls Go CyberStart)が開催された。日本にも支部のあるセキュリティ教育団体のSans Instituteが、全米の知事に参加を呼びかけ、16州の6000人以上の女子生徒(5年生~高校生)が参加した。優勝チームには、賞金としてギフト券やサイバーセキュリティ分野の女性会議への無料招待、優勝チームの学校には賞金が送られた。
なお、参加前に サイバーセキュリティ分野のキャリアに興味があった生徒は36%のみだったが、参加後は70%に増えたという。
・低学年教育(幼稚園児~)
中高レベルでは、男子に比べ理数の成績は悪くないにもかかわらず「女子は数学が苦手」という刷り込みがすでに行われているため、その前に、女子が理数系に興味を持つような取り組みも民間で行われている。
ガールスカウトアメリカ連盟では、今年、セキュリティベンダーのパロアルトネットワークスと提携し、サイバーセキュリティやコンピューターネットワークについて学べるカリキュラムを開発した。そのひとつが、サイバーセキュリティに関するトピックを学んだり、新たなスキルを習得したりするともらえる新たなバッジである。いずれは、全米のガールスカウトで、18のサイバーセキュリティバッジを設ける予定だという。
サイバーセキュリティ以外にも、コンピューター科学、ロボット工学、機械工学、宇宙科学のバッジも、バッジプログラムに新たに加えられている。
CISO (Chief Information Security Officer 最高情報セキュリティ責任者)職の設置
日本でも、CISO(またはCSO)を置く企業が増えつつあり、セキュリティ責任者のキャリアパス構築が叫ばれているが、アメリカでもCISO職を設けているのは、大企業の65%にとどまっている。しかし、米サイバーセキュリティ調査会社では、2021年までに、世界の大手企業は全社、CISOを設置するだろうと予測している。
自動化
セキュリティ人材不足の中、サイバー攻撃のスピードが速すぎ、人材を再教育するというのは現実的な解決策とはならないという声も高く、自動化が鍵とも言われる。
世界の上級セキュリティ責任者を対象に行ったアンケート調査では、管理やファイヤーウォールルール、セキュリティポリシーのプロセスの自動化という点では、アジア太平洋地域が一番進んでおり、ヨーロッパ中近東がもっとも遅れているという結果であった。
掲載内容は、作者からの提供であり、当社にて情報の信頼性および正確性は保証いたしません。