はじめに

社会全体がDXやIoT、クラウド化によって急速にデジタル化するなか、サイバー攻撃はより巧妙かつ多様化し、経済社会の存立基盤を揺るがすリスクとなっている。こうした状況に対応するためには、技術・組織・政策面での対策と並んで「人材」が不可欠だ。しかし日本では長年にわたり、サイバーセキュリティの専門人材が慢性的に不足しているとの指摘が続いている。経済産業省の2025年5月の報告書では、世界的な人材動向調査(ISC2 2023)を引用し、日本ではセキュリティ関連職に従事している人が約49万人いる一方で、需要に対して約11万人の不足があると推計している。この不足は高度人材から中核人材まで各レイヤーに共通しており、中小企業にとっては特に深刻だ。報告書は、トップ人材育成の規模が限られていること、登録情報安全確保支援士の活用やキャリアパスが十分示されていないこと、そして“ちょうどよい”レベルの人材が市場で極端に不足していることなどを課題として挙げている。

本稿では、日本のサイバーセキュリティ人材の現状を整理した上で、人材層別の育成施策や課題を紹介する。高度専門家を育成する「セキュリティ・キャンプ」や、実務家向けの登録情報安全確保支援士制度、中核人材を育成する産業制御システム向け研修(ICSCoE)とその短期講座、さらに裾野拡大を目指す“プラス・セキュリティ人材”や中小企業支援策などを取り上げ、行政が描く2030年までの人材戦略と課題を考察する。

人材不足の実態と層別課題

全体的な不足

前述のとおり、日本のサイバーセキュリティ人材は需要に対して約11万人不足しているとの推計がある。民間調査では、求人件数が2014年比で約24倍に増えているのに対し、転職による流動は3.6倍程度にとどまっているため、市場全体の供給量が需要増に追いついていない。需要側の拡大要因としては、ランサムウェアや標的型攻撃の増大、重要インフラ保護やサプライチェーン管理義務化などが挙げられる。特に2024~2025年には能動的サイバー防御法や関連法の制定に伴い、政府系組織や重要インフラ事業者が大幅な人員増を計画しており、公的セクターでも争奪が激化している。

人材レイヤーの分類

報告書では人材層を大きく四つに分けている

  1. トップガン層
    • 脆弱性研究やペネトレーションテストなど高度な専門知識を持ち、攻撃者視点で脅威を把握できる人材。
  2. アドバンスト層
    • 企業や組織のセキュリティ施策をリードする実務家で、登録情報安全確保支援士などの資格取得者が含まれる。
  3. ミッド層
    • 中小企業等でシステム運用やセキュリティ対策を兼務する実務者。IT担当者と情報セキュリティ担当者の中間に位置し、日常的な運用にセキュリティ視点を持ち込める人材。
  4. プラス・セキュリティ層
    • IT部門に限らず、経営・人事・総務・営業など幅広い部門でデジタル技術を活用しながら、最低限のセキュリティ知識を備えた人材。近年のテレワーク拡大やクラウドサービス利用で全従業員のリテラシー向上が必須となっている。

トップガン層とアドバンスト層については、一定数の高度専門家が育っているものの、育成規模が小さいため全体の不足感を解消できていない。ミッド層はほとんど育成機会が存在せず、企業が自社でゼロから育てるケースが多い。一方でプラス・セキュリティ層はDX推進の担い手として今後急増が見込まれ、デジタル人材育成政策と連携しながら基礎的なセキュリティ教育を組み込む必要がある。

トップ人材育成:セキュリティ・キャンプとエリート教育

セキュリティ・キャンプ全国大会

トップガン層の育成には、IPA(独立行政法人情報処理推進機構)が主催する「セキュリティ・キャンプ全国大会」が中心的な役割を果たしている。2024年大会は8月12日から17日にかけて実施され、全国から選抜された80名が参加した。参加費は無料で、学生や社会人など幅広い年齢層が対象となる。講師陣は現役の研究者やホワイトハッカーで構成され、攻撃技術と防御技術を体系的に学ぶとともに、倫理観やチームワークの重要性、責任ある技術利用についても徹底的に指導される。プログラムは演習中心で、参加者が互いに切磋琢磨しながら自らの限界を超えていく場となっている。また、異なる分野の参加者と交流することで人的ネットワークを構築し、将来的な情報共有や共同研究の土台となる。

一方で、同キャンプは年間80名程度という小規模な実施であり、人材不足の解消にはスケールアップが必須である。経産省の報告書でも「セキュリティ・キャンプは品質面で有効だが量が不足しており、卒業生コミュニティの活用や継続的なサポートが必要」と指摘している。このため、2025年度以降はプログラムの回数や参加枠拡大、新テーマ(AI安全性や量子暗号など)への対応が計画されている。

セキュリティ・キャンプ・コネクト(仮称)

報告書では、トップガン層にさらなる高みを提供するための新企画「セキュリティ・キャンプ・コネクト」構想も示された。これは高度なAI技術や次世代暗号など特定テーマに特化した集中キャンプを設け、国際的な競技会や研究機関と連携して最先端の課題に挑戦する場とするものである。卒業生コミュニティや産官学の枠を超えたプロジェクト参加を促し、トップ人材が国内外のフィールドで経験を積めるような仕組み作りが求められる。

アドバンスト層:登録情報安全確保支援士制度と産業向け中核研修

登録情報安全確保支援士(登録セキスペ)

アドバンスト層の中心は「登録情報安全確保支援士」(通称:登録セキスペ)である。サイバー攻撃の増加とIT依存度の高まりを背景に、企業や自治体が安心してITを利用できるよう支援する専門家を確保する必要が高まったため、2016年10月に「情報処理の促進に関する法律」が改正され、この国家資格が創設された。資格取得者はIPAへの登録後、3年間の有効期間中に研修を受ける義務があり、最新の脅威動向や対策を継続的に学習する。2025年4月時点で登録者は約2.4万人であり、政府は2030年までに5万人へ増加させる目標を掲げている。

しかし課題も多い。第一に、資格の存在は一般企業に十分認知されておらず、登録者を活用する仕組みも整備途上である。第二に、中小企業向けの支援と資格保持者のスキルセットが十分マッチしていないため、実務での活躍機会が限られている。第三に、登録更新のための研修が多忙な実務者にとって負担となり、離脱者が出やすいことが指摘される。このため報告書では、実務経験が豊富な者は研修の一部を「みなし受講」と認める制度を検討するとともに、登録者と企業のマッチングを支援する「アクティブ・リスト」を創設して就業機会を増やすなど、制度の魅力向上が提言されている。

産業向け中核人材育成:ICSCoE 中核育成プログラム

産業制御システム分野の中核人材を育成するのが、IPAの産業サイバーセキュリティセンター(ICSCoE)が運営する「中核人材育成プログラム」である。対象は経営層と現場をつなぐ人材であり、社会インフラや工場のOT(制御技術)とITの両面を理解し、経営判断と現場のセキュリティ施策を橋渡しできる人材を育てることを目的としている。プログラムは1年間(7月から翌年6月)の長期コースで、OT/IT技術、マネジメント、ビジネス分野を総合的に学ぶ。学習には産業分野ごとの模擬システムを用いた実習や、災害シナリオを想定した演習が含まれ、修了生は卒業後もコミュニティとして継続的に交流し、最新情報やベストプラクティスを共有する。

短期プログラム

ICSCoEでは忙しい実務者や管理職向けに短期研修も提供している。概ね数日から数週間で、経営者・管理職向けの責任者プログラムと技術者向けの実務者プログラムに分かれている。責任者プログラムでは経営者やCISO候補が組織全体のリスクマネジメントや投資判断を学び、実務者プログラムでは制御系システムの脅威分析や侵入検知、インシデント対応などを演習形式で学習する。こうした短期プログラムは即戦力を持つ専門家の裾野拡大に効果的だが、参加人数に限りがあるためより多くの企業や自治体への普及が課題となっている。

ミッド層・プラス・セキュリティ層:現場力と全社リテラシーの向上

中小企業や地方自治体では、専任のセキュリティ担当者を置けないことが多く、既存のIT担当者が運用や企画業務の一環としてセキュリティ施策を担っている。前述の報告書ではこの層を「ミッド層」と呼び、需要は大きいが供給がほとんどないと指摘している。ミッド層育成に有効な研修や資格制度が少なく、社会的評価も低いため、経験者が他業界に転職したり、そもそも職に就かないケースが目立つ。人材を確保するには、

  • 現場のニーズに合った実務者向け研修の新設(たとえばクラウド設定やゼロトラスト運用など)、
  • 中堅技術者に対するキャリアパスと給与体系の整備、
  • 安定した需要を生み出すための公的補助やベンチャー支援、

といった多角的な施策が求められる。報告書はこの層の育成策として、企業間横断のコミュニティ形成や地方自治体との連携を提案している。

さらに、DX推進でデジタル技術を扱う非IT部門の従業員にも最低限のセキュリティ理解が必要だ。IPAはこれらを「プラス・セキュリティ人材」と呼び、デジタル人材育成施策と一体的にセキュリティ教育を組み込むことを目指している。たとえばDXリテラシー標準に情報セキュリティ学習項目を組み込み、資格取得者(基本情報技術者など)の再教育を支援することが検討されている。また、経営層に対する「サイバーリスク理解と投資の意思決定」研修や、総務・人事担当向けのインシデント対応ワークショップなど、全社的なリテラシー向上を図る取り組みが広がりつつある。

産業分野における特化型教育:OT・制御システムの重要性

工場やエネルギー設備、交通インフラなどの制御システムはサイバー攻撃による物理的影響が大きく、特有の専門知識が求められる。ICSCoEの中核育成プログラム以外にも、産業向けの研修がいくつか提供されている。IPAが運営する産業サイバーセキュリティセンターのサイトには、「中核人材育成プログラム」のほかに短期研修や国際協力プログラムが掲載されている。短期研修では、経営層を対象とする責任者プログラムや技術者向けの実務者プログラムがあり、短期間で組織防衛に必要な知識を習得できる。

国際協力プログラムも特色で、IPAは米国国土安全保障省や欧州委員会との協力のもと、「産業制御システム・インド太平洋サイバーセキュリティウィーク」を開催している。これはインド太平洋地域の政府関係者や企業エンジニアを招き、共同演習や講義を行うもので、日本のOTセキュリティ能力を国際水準に引き上げることが狙いだ。

若年層の育成と裾野拡大

セキュリティ・キャンプに代表される若年層向け施策は、トップガンのみならず広く裾野を広げる役割もある。IPAは2020年代後半から小中高生を対象としたハンズオンイベントやコンテストを強化し、地方開催やオンライン講座を増やしている。例えば2024年には全国大会以外に「地域セキュリティ・キャンプ」が10都市以上で開催され、教員研修や保護者セミナーも併催された。また、内閣官房や文部科学省と連携し、高校情報科の教科書に実践的なサイバー演習を取り入れる検討が進んでいる。これにより、セキュリティ人材の素養を早期に培い、大学や企業の人材プールを拡大することが期待される。

中小企業と地域支援の取り組み

日本の企業の約9割を占める中小企業は、セキュリティ投資余力が限られているが、サプライチェーンの一部として大企業と同等の安全性が求められる。そのため、経産省報告書では中小企業パイロットプログラムの創設を提言している。これは登録セキスペ等の専門家が中小企業に一定期間派遣され、現場の課題を解決しながら育成・改善計画を策定するモデルである。また、IPAや地方自治体が開催する無料相談会やオンライン診断サービスも増えており、資金面では中小企業向けのサイバー保険や助成金制度が整備されつつある。

地域レベルでは、地方銀行や自治体が中心となってサイバーセキュリティ地域連携ネットワークが形成されている。情報共有や人材交流を通じて、地域企業全体の防御力を底上げするとともに、移住や地域プロジェクトに参加するセキュリティ人材を呼び込む効果も狙う。政府は2025年度から地方版「サイバーセキュリティハイスクール」の設置や、自治体職員向けの標準研修プログラムも拡充する計画である。

今後の方向性と課題

日本のサイバーセキュリティ人材政策は、トップ層から裾野まで多面的な施策が進みつつあるものの、規模とスピードの両面でまだ不足が目立つ。主な課題としては以下が挙げられる:

  1. 量的拡大と質の確保
    • セキュリティ・キャンプの参加枠増加やオンライン化、登録セキスペの取得促進などで量を増やすと同時に、企業がその能力を最大限活用できる仕組みづくりが必要。教育内容もAI安全性や量子暗号など新しい分野に対応する必要がある。
  2. キャリアパスと待遇の整備
    • セキュリティ職はキャリアが見えにくく、待遇も必ずしも高くない。企業や産業界が職務記述書や評価制度を整備し、専門性に見合った処遇を提示することが、人材流出防止と新規参入促進につながる。
  3. 中間層への投資
    • ミッド層に対する研修プログラムや資格制度の整備が急務である。例えばクラウドセキュリティ実務者認定や中小企業向けセキュリティ管理者資格など、実践的で横断的なプログラムの開発が必要だ。
  4. セキュリティ文化の浸透
    • プラス・セキュリティ層を含めた全従業員への啓発が欠かせない。セキュリティをコストではなく“価値創造の基盤”と位置付け、経営陣が率先して取り組む姿勢を示すことが重要である。
  5. クロスセクターの流動性
    • 報告書は、政府機関(NISC再編後の新組織含む)と民間企業間で人材が行き来する「タレントモビリティ」の推進が不可欠と指摘する。任期付公務員制度や出向などを活用し、経験豊富な専門家が公私を横断して活躍できる環境を整備する必要がある。

おわりに

サイバー空間の脅威は今後も増大し続ける一方、解決策の中心にいるのは人材である。日本では今、国家資格の整備や産業向けの専門研修、若年層への教育、企業内リスキリングなど多様な施策が展開されている。とはいえ、需要の急増に比べれば供給はまだ不足しており、質・量両面での拡大と制度改革が求められる。政府と民間、教育機関が連携し、セキュリティ人材の魅力とキャリアパスを明確に示すことで、国内外の有能な人材を惹きつけるとともに、既存の人材が長期的に活躍できるエコシステムを構築していかなければならない。