分析セキュリティ業界では、業界全体に大きなスキルギャップがあるという声がよく聞かれます。確かに特定の分野で人材不足が起きているのは事実ですが、業界ウォッチャーの中には、ジェネラリストの供給過剰に陥りつつあるのではないかと懸念する声もあります。
セキュリティ人材の不足に関する警告は毎年出ているようだ。The Registerで最初に見つけた警告は 2009 年のものだ。しかし最近、この記者は、面接を受けることさえ難しいと語るセキュリティ業界の人々にますます多く遭遇している。
カリフォルニア大学バークレー校サイバーセキュリティ修士課程のキャリアアドバイザーを務めるメアリー・マクヘイル氏は、 The Reg紙の取材に対し、「私が始めた頃は、サイバーセキュリティの綴りさえできれば面接に行けると思っていたと学生たちに冗談で言うことがあります。今では多くのことが変わりました」と語った。
セキュリティ専門家を採用する人は、多くの経験を求めながら、あまり報酬を提示しない傾向があり、多くの応募者を遠ざけています。
「コロナ禍では大規模な採用が行われました。その後、企業は『大変だ、人員が多すぎる。人員削減が必要だ』と訴えました。そして何が起こったかというと、多くの優秀な技術者が解雇され、あらゆる分野の市場に溢れ出し、自らの立ち位置を変えようとし始めたのです。」
情報セキュリティ専門家の間では、レッドチームを支援するAIの可能性について意見が分かれている
続きを読む
マクヘイル氏は、市場に登場しつつある最新世代のAI製品によってもこの問題は悪化していると説明し、それはセキュリティ分野に限った話ではないと付け加えた。AIエージェントは今や履歴書の審査を日常的に行っており、多くの応募者はそのようなソフトウェアを巧みに操作して面接を勝ち取るスキルを欠いている。
求人サイトを悩ませているゴーストジョブの問題もあると彼女は付け加えた。複数の調査で調査対象となった人事担当者の大多数は、存在しないポジションに求人広告を出していると報告している。理由は様々で、社内外の人々に事業が成長しているという印象を与えようとするためや、「自分は代替可能だ」と思わせてスタッフにもっと頑張るよう動機付けようとするためなどがある。
アメリカ国立標準技術研究所、コンピューティング技術産業協会、人材紹介コンサルタントのライトスピードが共同で運営するサイバーシークの市場データによると、セキュリティ関連の求人数は2022年にピークを迎え、この分野で働く人の数は横ばい状態にあるという。
最も需要の高いスキルは監督とガバナンスであり、これらは主に経験豊富な実務家に向いています。フロリダ州、カリフォルニア州、テキサス州は依然として主要な雇用市場ですが、バージニア州、メリーランド州、ニューヨーク州も上位にランクインしています。
認証するかしないか、それが問題だ
マクヘイル氏によると、雇用主にとって最も魅力的なのは、その分野での経験です。しかし、資格は知識を証明するだけでなく、人事部門の自動フィルタリングシステムを回避する上でも役立ちます。
CompTIA Security+の資格は昨今必須であり、公認情報システムセキュリティ専門家(CISSP)も決して不利ではありません。これらの資格がないと、人事ソフトウェアはサイバーセキュリティ職への応募をほぼ確実に却下すると彼女は言います。しかし、実際に面接に進めば、資格よりも実務経験やより正式な教育の方が重要になります。
「当社の調査によると、サイバーセキュリティ専門家は、サイバーセキュリティの仕事に就く際に、他の教育や経験の機会の方が価値があると考えていることがわかった」と、国際情報システムセキュリティ認証コンソーシアム(ISC2)の企業担当執行副社長アンディ・ウールナフ氏は述べた。
2024年の調査では、初めてこの分野に参入する専門家の19%が、まずサイバーセキュリティまたはその他の関連分野の学士号または学士号取得を優先し、16%がサイバーセキュリティ認定を取得し、4%がサイバーインターンシップに参加したことがわかりました。驚くべきことに、7,000人以上の回答者のうち、サイバーセキュリティの仕事に就く前に見習い期間を経験した人はゼロでした。
ウールナフ氏はThe Regに対し、セキュリティ専門家の採用担当者は、多くの経験を求めながら報酬面では低水準を提示する傾向があり、それが多くの応募者を遠ざけていると語りました。彼は、新しいチームメンバーを採用する際には、人事部が既存のセキュリティスタッフと話し合い、現実的な要件を策定すべきだと提言しました。
- 募集中。低賃金でも英国を守れるトップの情報セキュリティ専門家
- 北米のCISOの平均給与は現在56万5千ドルだが、これは主に奇妙なトリックによるものだ。
- 人材不足に注意:情報セキュリティ関連の求人は豊富だが、採用は横ばい
- BOFH:AIコンサルタントが自動車表面コンサルタントという新たな役割に急速に移行
ウールノフ氏は、サイバーセキュリティ人材の需要は依然として高いと見ているものの、予算削減によって採用パターンが変化しており、多くの潜在的な雇用主は、ジェネラリストセキュリティ人材の不足を低コストで補う手段としてAIに期待を寄せている。ISC2の調査対象となった10社中9社は、セキュリティチームが不完全で、一部の分野でスキル不足があると回答した。
「AIの影響の全容はまだ不明だが、採用担当者は専門分野の人材の採用を急がず、むしろ将来の需要を満たすためにどのようなスキルが最も役立つかを見極めながら、幅広い分野をカバーできるジェネラリストを好んでいると聞いている」と同氏は述べた。
エントリーレベルの仕事に必要なスキルのほとんどが技術的なものではないことも注目すべき点です。問題解決能力、コミュニケーション能力、分析的思考力、批判的思考力などは、サイバーセキュリティ以外の分野でも活用できるスキルです。ジュニアレベルのスタッフにとって重要なのは、(非現実的な経験要件に重点を置くのではなく)サイバー分野で成功できる能力を持つ人材を見つけ出し、彼らに低レベルの業務を任せるように訓練し、上級スタッフを高度な業務に充てられるようにすることです。
彼は、業界セグメントごとに顕著なスキルギャップがいくつか存在しており、これは攻撃の傾向に一部起因していると指摘した。例えば、製造業や重要インフラ企業は、一連の攻撃を受けて、現在、運用技術(OT)の専門家不足に直面している。また、政府機関や教育機関では、ゼロトラストの専門家がさらに必要だと彼は述べた。
マクヘイル氏とウールナフ氏が明確に同意した点の一つは、セキュリティ分野ではネットワークが絶対的に重要だということです。就職市場で成功するには、何を知っているかだけでなく、誰を知っているかがますます重要になっています。®
