ページの先頭です

社会動向レポート

サイバーセキュリティ対策に携わる人材をめぐる需給ギャップの実態と今後の展望(1/2)

デジタルコンサルティング部 上席主任コンサルタント 冨田 高樹


独立行政法人情報処理推進機構(IPA)が2012年に「国内で情報セキュリティ人材が8万人不足」という報告書を公表*1して以来、「サイバーセキュリティに詳しい人材は常に不足しており引く手あまた」というイメージがある。しかし厚生労働省が求職者向けに職業の内容や必要となるスキルに関する情報提供を行っている職業情報提供サイト“jobtag”で「セキュリティエキスパート」を調べてみると、「年収」と「求人倍率」のいずれにしても、情報系の他の職業と比較してそれほど優遇されているわけでもなく、求人が突出して多いわけでもないことがわかる*2。本稿では、このようなギャップが生じる背景について分析するとともに、社会におけるサイバーセキュリティ対策をさらに進めていく観点から、これらの対策に携わる人材についてどのように捉え、その育成ならびに能力発揮を促していくべきか、最新の状況をもとに論じる。

1. セキュリティに携わる人材への注目の始まり

本稿の議論を始めるにあたり、「情報セキュリティ」と「サイバーセキュリティ」という2つの用語について説明しておきたい。かつて、「セキュリティ」に関する業務といえば警備や防犯に関するものであったが、およそ1980年代以降、情報化社会における「情報」を守ることは物理的な侵入を防ぐ警備等の活動とは別の概念であるとして、「情報セキュリティ」という表現が用いられるようになった。それが現在「サイバーセキュリティ」と言われるようになったのは、そのほうが格好良いからではなく、それなりの理由がある。すなわち、社会のデジタル化が進んだ結果、情報のみならず「情報をやりとりするサイバー空間そのもの」を保護する必要が生じたことで、「情報(のみ)を守る」という印象が強い情報セキュリティよりも、サイバーセキュリティのほうが用語として適切な場合が出てきた。一方で、サイバーセキュリティでは紙媒体に記録された情報は保護の対象とならないので、紙か電子かを問わず「情報」を保護しなければならない場合等において、情報セキュリティの概念は依然として重要である。このように両者が混在する状況の中、警備などのセキュリティとの区別が容易な文脈においては、「情報」も「サイバー」もつけずに単にセキュリティと呼ぶことも多く、本稿でも同様とする。

日本でセキュリティに携わる人材に社会的な注目が高まったのは、概ね2000年前後からである。ただしそれまでセキュリティ対策を担う人材がいなかったわけではない。1980年代前半から暗号理論分野の研究者コミュニティが存在し、ウイルス対策ソフトウェア等の研究開発も、コンピュータウイルスによる被害が生じ始めた頃から、国内の専門人材により継続的に行われている。そのような中で、2001年に情報処理技術者試験においてセキュリティ対策に携わる人材に求められる知識を問うものとして、初めて試験名に「セキュリティ」という言葉を含む「情報セキュリティアドミニストレータ試験」が追加された。これに象徴されるように、それまで情報システムやネットワークの構築や運用に関する業務の一部として捉えられていたセキュリティ対策が、ひとつの産業分野として注目され始めたのがこの時代である。2000年には日本ネットワークセキュリティ協会(JNSA)が設立されるなど、セキュリティの専門家によるコミュニティ活動を通じた社会への情報発信も積極的に行われるようになった。2003年には個人情報保護法が公布・施行され、一定規模の個人情報を扱う組織に対し保護すべき情報の漏えい防止対策実施が義務づけられた。これにより、多くの企業において個人情報保護責任者又はそれに相当する役割が規定されたことも、情報を保護するための対策を担う人材の確保・育成を促すきっかけとなった。

2. セキュリティに携わる人材に求められる要件の明確化と育成に関する取り組み

セキュリティ対策を担うことのできる人材をその他の人材から識別するには、まずそれがどのような人材なのかを明らかにする必要がある。そこで人材の雇用側(おもに産業界)と育成側(おもに教育界)の双方から、セキュリティに携わる人材が備えるべき知識やスキルがどのようなものかを定義する取り組みが実施されてきた。その主な事例を表に示す。このうち、試験制度や教育プログラムは、そのシラバスやカリキュラム等を通じて身につけるべき知識やスキルを明らかにする効果ももたらしている。

これらの取り組みを通じて人材像がより明確になっていく中で、セキュリティに携わる人材の多様さ、すなわちそれぞれの属性に応じた境遇や、求められるものの違いが浮き彫りになっていった。例えば、表に示したITSS+(セキュリティ領域)*3では全部で17種類の分野が定義されている。具体的にどのような属性があるのか理解してもらうため、ここでは次の3点の属性に関する区分を紹介する。


表 セキュリティに携わる人材に求められる知識・スキルを定義する取り組み事例
図表1

  1. (資料)各公表資料をもとにみずほリサーチ&テクノロジーズ作成

【属性区分1】所属企業の業態:ベンダー企業かユーザー企業か

人材がセキュリティ関連の製品やサービスを提供する事業を営むベンダー企業で活躍するのか、いわゆるユーザー企業で活躍するのかの相違である。ベンダー企業におけるセキュリティ関連業務は自社の営利活動の一部であって、優秀な人材が活躍するほど自社の事業に好影響を及ぼすので処遇との連動が生じやすい。実際、ベンダー企業では高度なセキュリティの専門能力を有する人材を年収3000万円レベルで優遇する例*4もみられ、冒頭で紹介したセキュリティに携わる人材の高給イメージを生じさせる要因となっている。

これに対して、ユーザー企業におけるセキュリティ関連業務はあくまで自社の本来業務を成立させるための手段であり、セキュリティ対策が一定水準まで整備されるとそれ以降の取り組みが経営上の収益に結び付きにくくなるため、人材が活躍することによる効果が必ずしも可視化されなくなってしまう。それならばベンダー企業で活躍する人材のほうが給与に恵まれているかといえば必ずしもそうではなく、給与水準の高い業種のユーザー企業でセキュリティ対策を担う人材のほうが待遇に恵まれている場合もある。ベンダーの売上がユーザー企業による調達に依存し、「利益を産まないセキュリティに過大な投資は避けたい」とどうしても考えがちなユーザー企業が多数を占める限り、いくら人材不足下での採用のために処遇改善が求められても無い袖は振れないという面がある。

【属性区分2】セキュリティ関連業務の専任か兼務か

セキュリティに関する業務のみを専任で担当するか、他業務との兼務でセキュリティに関する業務を行うかの相違である。実は、本稿の執筆に際して「セキュリティ人材」という表現を意図的に避けているが、これがこの論点に関係している。「セキュリティ人材」と言うと、どうしても「セキュリティに専念している人材」という印象を強く与えてしまうが、実際にはセキュリティ対策を他業務との兼務で担当している人材が圧倒的に多い。したがって、セキュリティに携わる人材すべてについて論じたいときに、「セキュリティ人材」という表現は使いにくいのである。

このように、人数的には多数を占めるセキュリティを兼務で担当する人材であるが、その育成は簡単ではない。他業務との兼務である以上、セキュリティに関する教育に費やすことのできる時間やリソースは専任者に比べると少なくなってしまうため、体系的に専門性を身につけるのに時間がかかる。これが人材不足にもつながっているが、その解決は容易ではない。サイバーセキュリティに関するインシデント対応を例にとると、実際のところ一部の事業者等を除けば深刻なセキュリティインシデントがそれほど頻繁に発生するわけではないため、インシデント対応に備えた担当者を専任で確保すると一見暇に見えてしまうようなこともある。かといって、兼務であれば担当者は他業務を遂行する傍らでセキュリティインシデントにも対応せざるをえず、報われない状況に陥ることになりがちである。

【属性区分3】マネジメント系か技術系か

サイバーセキュリティに関するリスクは自然災害や部外者の侵入等、企業活動を取り巻く他のリスクと比較すると、暗号理論や通信方式等、いわゆる情報通信技術により密接に結びついている。そのため、セキュリティに携わるすべての人材は情報通信技術に関して一定の知見を備えることが望ましい。しかしながら、我が国の高等教育体系ではこれまで「文系」と「理系」が明確に区分されがちであったこともあって、米国等と比較するとマネジメント系の業務を担っている人材のうち、情報通信技術を理解するための背景的な知識を習得している人材が少ない傾向がみられる。セキュリティ対策においてマネジメント系の業務は対策方針(ポリシー)の策定や対策実施状況の管理、監査等多岐にわたることもあり、これらの役割を担うために必要な知識やスキルを備えた人材の不足が多くの業種で指摘されるようになった。このような状況を打開するため、現実には技術系の人材がマネジメント系の業務まで担当したり、マネジメント系の担当者と共同で対応したりといった対応がなされている。ただし、前者では担当者が「セキュリティ何でも係」のようになって疲弊する、後者ではそれぞれのバックグラウンドが異なることで言葉が通じず、うまくコミュニケーションできないといった問題も生じており、問題の解決は決して容易ではない。米国等と比較して我が国のセキュリティ分野で長年にわたって人材不足が示されているのは、このような背景も影響していると考えられている。



以上で示したような状況から、セキュリティに携わる人材をめぐる現在の状況は、言ってみれば「対策に必要な幅広い知識や能力を身につけていて、程々の処遇で活躍してくれる人材が足りない」に近く、限られた高度な専門性を備えた人材を除くとイメージほどは恵まれていないという状況が浮かび上がってくる。最近は人工知能(AI)やデータサイエンス関連分野に従事する人材の不足感も指摘されているが、今後セキュリティ分野と同様の経過をたどるかどうかは、当該業務に従事する人材への投資が企業活動に必須であることを経営層にどこまで認識してもらえるかに依ることになろう*5

これだけを読むとセキュリティ分野のキャリアは努力に見合わないようにも思えるが、その一方で専門性獲得のハードルが高いことは、いったん専門的な知識やスキルを習得し現場経験を積んでしまえば以後のキャリアは競争も少なく伸ばしやすいことを意味する。サイバー攻撃は全世界にあまねく繰り広げられている関係でその対策が企業によって異なるようなことはあまりなく、いったん習得したスキルを別の組織でも発揮しやすい。さらに、セキュリティ分野は国内においてスキル向上を目的とするコミュニティ活動が盛んな業種のひとつであり、コミュニティ活動で注目されることが転職のきっかけにもつながりやすい。かくして、よりよい仕事環境や処遇を求める人材の流動性が高いのもセキュリティ分野の特徴である。企業のセキュリティ責任者の方と話をしていると、「若手が育つのは喜ばしいが、育ちすぎると出て行ってしまう」という嘆きを聞くことがある。転職先は本人のキャリア志向によって様々であるが、いずれにしても「育ちすぎる」とはすなわち、当人の能力に見合う報酬を出せていない状況であるから、残念ながら諦めざるを得ないところであろう。


  • 本レポートは当部の取引先配布資料として作成しております。本稿におけるありうる誤りはすべて筆者個人に属します。
  • レポートに掲載されているあらゆる内容の無断転載・複製を禁じます。全ての内容は日本の著作権法及び国際条約により保護されています。

関連情報

この執筆者はこちらも執筆しています

ページの先頭へ