2024/08/21ガバナンス

セキュリティ人材のいま、 そして未来へ

twitter

Linkedin

セキュリティ人材のいま、そして未来へ


執筆:CISO事業部 寺田 茉莉子
監修:CISO事業部 吉田 卓史

情報セキュリティの専門知識やスキルを持ち、企業や組織の情報セキュリティを守る重要な役割を担うセキュリティ人材。
業界からの需要な拡大からの人材不足やAIの発展性から、セキュリティ人材の現在と未来の展望をみてみます。

最近、"セキュリティ人材が不足している"とネットやニュースなどで良く目にしますが、そもそも

"セキュリティ人材"とは何なのか?

なぜ、セキュリティ人材が不足しているのか?

セキュリティ人材の現状と未来の展望について

などの疑問について、まとめてみました。

 

・セキュリティ人材とは?

経済産業省が定義としている「セキュリティ人材」とは、"セキュリティ体制を担う人材のうちセキュリティ対策を主たる目的とする業務や役割を担う人材"と明記されており、更に細かく分類するとITSS+(セキュリティ領域)において、「セキュリティ経営(CISO)」、「セキュリティ統括」、「セキュリティ監査」、「脆弱性診断・ ペネトレーションテスト」、「セキュリティ監視・運用」、「セキュリティ調査分析・研究開発」の 各分野を担う人材に相当します。

 

 *経済産業省 商務情報政策局 サイバーセキュリティ課 サイバーセキュリティ体制構築・人材確保の手引きより抜粋

・なぜ、セキュリティ人材が不足しているのか?


【セキュリティ人材の必要性】     *GMO INTERNET GROUP関連記事より抜粋

・サイバー攻撃から企業の情報資産を守るため

・ビジネスの継続性を確保し、経済的損失を防ぐため

・企業の信頼性と安全性を保持するため

・法規制やコンプライアンスへの対応が求められるため

昨今、リモートワークの普及やDXの推進、ランサムウェアなどのサイバー攻撃といった要因から企業のセキュリティ対策はもちろん、専門性に特化したセキュリティ人材を確保する環境は現代社会においてもはや必要不可欠といえます。

しかし、増加している需要に相反し、対応人材や教育時間の投資が不十分といった要因から必要とされるセキュリティ人材の不足が課題として浮き彫りになっている現状があるのが見受けられました。

特に日本では、需要に対して11万人不足というデータが出ています。(2024年1月現在)

これは下記ISC2の資料の通り、国際的にみても需給ギャップが97.6%とかなり高い数字になります。

・セキュリティ人材の現状と未来の展望について

非営利組織ISC(International Information Systems Security Certification Consortium)2023年版グローバルセキュリティ人材調査によると、人材不足の主な原因のTOP3は、「給与の安さ」39%、「有能な人材がいない」38%、「セキュリティ担当以外のIT人材のトレーニングが十分にできていない」34%でした。
企業がセキュリティ対策を講じるにはソフトやシステムの導入も一つですが、それらを適切に取り扱い、対応するために「常に最新のセキュリティ技術やシステムに精通し、これらを活用する能力」、「セキュリティリスクの認識能力が不可欠」、「セキュリティ脅威に対抗するための効果的な防御戦略の企画と実行力」がセキュリティ人材には求められています。
しかし上記に述べたように実際の組織や企業における環境とのギャップが人材不足を生み出しています。
そんななか今や我々の生活にも欠かせなくなってきたと言っても過言ではないAIの存在が興味深いです。
つい先日アメリカで行われた、サイバーセキュリティ業界における最大規模のイベントの一つであるRSAカンファレンスでは、AIがサイバーセキュリティ業界に革命を起こすような製品やサービスがあったのが特徴的だったようです。
AI自体はそもそも特に目新しいものではなかったとは思いますが、今回は特に顕著に存在感を表しています。
Splunk発行のセキュリティ調査レポート「2024年セキュリティの現状」によるとAIとのセキュリティチームとの関係性は下記のように記されています。

セキュリティサイドから見た生成AIが防御側にメリットをもたらすと考える見方は、8か月前に行われた調査では17%にとどまっていたのに対して現在は43%まで増加と、好転しています。
そしてこの生成AIがセキュリティ人材不足の課題を軽減するかもしれないといったデータ結果もでています。

一方でAIが人間の仕事を奪うのではないかという懸念点もありますが、それ以上に負担軽減に役立つといったプラス面での評価が上回っているといえます。
上記よりAIの活用で人材不足はある程度解消されるかもしれません。しかし、3つのポイントから、セキュリティ人材の必要性はあると言えます。

サイバーセキュリティ市場が拡大している

「いたちごっこ状態」が続いている

不正利用者の駆除に苦戦している

①については、前述の通りDXIoT製品を使用した家電製品等の普及から我々の日常生活にITツールが欠かせない存在です。それと共にAI開発も積極的に進化している為、サイバーセキュリティ市場が拡大し、セキュリティ人材の必要性が高まるなか人材不足状態が続いていると言えます。

②については、セキュリティ人材の攻防技術が上がるに従いハッカーの攻撃もありとあらゆる手で仕掛けてくるので常に「いたちごっこ」状態です。我々のセキュリティ対応のスキルアップが欠かせません。

③については、SNS等インターネットからの不正アクセスや乗っ取りに対して不正利用者の対処が不可欠となり、AI技術を用いればその対処もしやすくなる可能性があります。そのAI技術の管理や制御がセキュリティ人材には必要となり、やはり日々の研鑽が大事でしょう。

あとがき

サイバー攻撃や日々複雑化していくITリスクからITセキュリティ環境を守り、成長していくことがセキュリティ人材としての大切な役割となります。技術革新に伴い本領域もAIの活用が増加していくと思われますが、そのAIを含め最終的には、ヒトが作るものは、やはりヒトの手で守られ、対策が講じられるべきであるでしょう。
技術や脅威の終わりのない世界で難しくも奥深くもある情報セキュリティ業界の一員として、日々これらのケーススタディや進化について研鑽し、この場を借りて少しでも皆様のお役に立てるよう情報を連携させていただければと思います。

【プロフィール】

寺田 茉莉子(てらだ まりこ)
2024年4月アイディルートコンサルティング株式会社入社

アイスフィギュアスケーター(オリンピックメダリスト)のエージェント、外資系生命保険会社、国内外資系IT企業等数社を経てサイバーセキュリティコンサルタントとして活動。

現在は国内大手通信系企業のサイバーセキュリティグループにて海外支社とのManagement OfficePartner Alliance業務に従事。

監修:吉田 卓史(よしだ たくし)

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

[1]:経済産業省商務情報政策局サイバーセキュリティ課. "サイバーセキュリティ体制構築・人材確保の手引き," March 2021.

https://www.meti.go.jp/policy/netsecurity/downloadfiles/tekibihontai1.1r.pdf

[2]:GMO. "セキュリティ人材とは?人材不足の原因や育成方法を詳しく解説" February 20, 2022.
https://www.gmo.jp/security/cybersecurity/soc/blog/security-personnel/

[3]:ISC2. "How the Economy, Skills Gap and Artificial Intelligence are Challenging the Global Cybersecurity Workforce," November 2023.

https://media.isc2.org//media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf?rev=28b46de71ce24e6ab7705f6e3da8637e

[4]:Splunk. "2024年セキュリティの現状:競争が激化するAIの活用,"n.d.

https://www.splunk.com/ja_jp/pdfs/gated/ebooks/state-of-security-2024.pdf

twitter

Linkedin

コラム一覧に戻る