はじめに

世界的にサイバーセキュリティ人材の不足が深刻化しています。最新の調査では、全世界で約400万人のセキュリティ専門家が不足し、日本でも約11万人が足りないと試算されています。高度化するサイバー脅威に対処するには人材は不可欠ですが、多くの企業で「人がいない」「採用できない」という悩みが尽きません。経営層にとって、セキュリティ人材不足は単なる人事課題ではなく経営リスクとなっています。本記事では、人材不足の現状と原因を概観し、企業が取るべき克服策を解説します。

人材不足の現状と影響

サイバーセキュリティの需要増に対し、供給が追いつかない状況は年々顕著です。国際認証団体(ISC)²の2023年調査によれば、世界のセキュリティ人材需給ギャップは過去最大の約400万人に達しました。日本でもセキュリティ従事者は前年比23.8%増の約48万人に増えたものの、需要はさらに上回り約59万人と推計され、約11万人の不足が生じています。特に日本は高齢化や若手IT人材流出などの要因が重なり、人材不足の増加率が世界でも最も高い水準です。

この人材不足が企業にもたらす影響は深刻です。まず、現場の数少ないセキュリティ担当者に過大な負荷がかかり、バーンアウトや離職を招くケースが増えています。また、専門知識を持つ人がいないために最新の脅威に対応できず、常に後手に回ることでインシデントリスクが高まる懸念もあります。さらに経営層視点では、適切なセキュリティ人材がいないとリスクへの目利きや適切な投資判断ができず、組織全体のサイバー耐性が脆弱になりかねません。

セキュリティ人材不足の主な原因

  • 需要急増
    • DX推進やクラウド移行、IoT活用などで企業のデジタル化が進み、それに比例してセキュリティ人材の需要が爆発的に増えました。一方、専門教育や育成が追いついていません。
  • 育成の難しさ
    • セキュリティ技術は幅広く高度で、即戦力人材の育成には時間と経験が必要です。新人を一人前にするまで年単位を要し、多くの企業が十分な育成投資を行えていません。
  • 競争的人材市場
    • 限られた有資格者・経験者を巡って各社が採用競争を繰り広げており、特に中小企業は高待遇を提示する大企業や外資系に人材を奪われがちです。
  • 社内での理解不足
    • 経営層や他部署にセキュリティの重要性が十分共有されておらず、人材採用や育成の優先度が低かったという背景もあります。

日本特有の事情として、かつて経済産業省は「2020年に20万人不足」という予測を立てましたが、実際にはそれを上回る需要増となり、現状では大企業でさえ約1割しかサイバー保安人材を確保できていないとの報告もあります。このため、国レベルでもセキュリティ人材育成(「情報処理安全確保支援士」の制度など)が推進されています。

克服法1:既存社員の全社教育

人材不足への即効策の一つは、既存社員全員のセキュリティリテラシー向上です。セキュリティは専門部門だけの責任ではなく全社で取り組む課題であり、一部の限られた人材に依存する体制では限界があります。そのため、まずは全従業員を対象に基本的なセキュリティ知識や意識を涵養する教育体制を構築します。

具体的には、新入社員研修や定期研修で情報セキュリティポリシーや標的型メール訓練を取り入れたり、eラーニング等で最新脅威事例を学ばせるなどです。これにより、現場一人ひとりが日常業務でセキュリティを意識し、人的ミスを減らす効果が期待できます。また、潜在的にセキュリティ適性のある社員を発掘し、専門キャリアに転向させることも可能でしょう。

克服法2:アウトソーシングと自社強化の両立

すぐに高度人材を十分確保するのは難しいため、外部リソースの活用も現実的な解決策です。MSSP(マネージドセキュリティサービス)やセキュリティコンサル企業と契約し、一部の監視業務や脆弱性診断を委託する方法があります。専門会社との協力により、自社では対応困難な高度なセキュリティ対策を実現できるのが利点です。

ただし丸投げは禁物で、自社内にも核となる人材を育てる視点を忘れてはいけません。アウトソーシングで一息つつ、並行して社内で若手IT社員を選抜し、外部研修や資格取得支援などでセキュリティスペシャリストに育成していきます。「守りは外部任せ、戦略判断は自社」という形で役割分担するのも一法です。

克服法3:効果的な採用と定着策

採用面では、従来の中途採用だけでなく多様なパスから人材を確保する工夫が必要です。例えば、

  • 未経験者採用+育成
    • ポテンシャルのあるITエンジニアや理系出身者を採用し、社内外の研修で半年~1年かけて育成する。「セキュリティ人材の卵」を作る施策です。
  • 女性・外国人・シニア活用
    • 人材プールを広げる観点から、女性や海外の専門人材、退職したOBなど多様な層に目を向けます。海外人材は言語や文化の壁もありますが、特定プロジェクトで力を借りるのも有効です。
  • 魅力ある職場づくり
    • CISO(最高情報セキュリティ責任者)を経営陣に置く、セキュリティ専門チームを新設するなど、プロが力を発揮しやすい環境を整えます。また研究会やカンファレンス参加を奨励し、社外コミュニティと交流させるなど成長支援も重視します。報酬面でも市場水準を意識し、優秀な人を引き留める工夫が必要です。

克服法4:自動化・AIの活用

人の不足を技術で補うアプローチとして、セキュリティ運用の自動化があります。SIEMやSOARツールを導入し、アラート分析や定型レスポンスを自動化することで担当者の負荷を軽減できます。また近年はAI活用も進んでおり、脅威インテリジェンスの分析やログ監視に機械学習を適用する例も出てきました。限られた人的リソースを「ここぞ」で使うために、ツールによる省力化は積極的に検討すべきです。

まとめ

セキュリティ人材不足は長期化が予想される経営課題ですが、複合的な対策で「ないなら創る・補う」姿勢が重要です。全社員の底上げによって一人ひとりが人間の防波堤となり、さらに外部専門家の力も借りつつコア人材を育成していく。幸い、政府や団体も認定制度の整備や支援策を打ち出しており、これらを活用して社内人材の育成に取り組む絶好の機会です。経営層は「人材がいない」嘆きに留まらず、戦略的人材マネジメントでこの困難を克服する覚悟を持たねばなりません。「人」こそ最大の防御壁──その言葉を現実のものとするため、今こそ企業文化と仕組みを変革し、人材の確保・育成に舵を切る時です。