サイバーセキュリティの人材不足を再考する

昨今、サイバーセキュリティの人材不足に関して活発に議論されておりますが、その成果は限定的です。ほぼ毎週のように、この危機を嘆く記事や調査結果が報告され、ソーシャル メディアのスレッドを賑わせています。新卒の求人票には相場以下の報酬で達成不可能、かつ、非現実的な要件が記載され、応募者は大学を卒業した1年目の仕事に法外な期待を持ち、技術職の市場拡大が働き手を転職に走らせ、燃え尽き症候群に陥らせています。一方、大学や人材エージェント、メンターシップ プログラムはこの市場に飛びつき、これまでにない数の「目的に適う」人材を市場に送り込み、その多くが、「面白く、儲かる」キャリアで磨いたスキルに対する需要は増加することを約束しています。このように、人材市場はここ何年も注目を集め、投資されてきたため、人材不足の解消の兆しが見えるはずですが、そうではありません。

これはセキュリティにおける存亡の危機です。なぜなら、斬新でより効率的な解決策をセキュリティ プログラムに導入する際、技術が重要な役割を果たしますが、その技術を評価して投資し、運用するセキュリティ プログラムの能力は、優秀な人材を適所に配置できるかどうかが重要になります。技術とセキュリティを提供するベンダーは、市場を上回るペースで毎年大きな進化を提供していますが、これには顧客からのより大きな投資が必要であり、その顧客は、人材の維持と技術の無秩序な拡大への対応に苦慮しています。この状況は、セキュリティ ベンダーがその製品と一緒にマネージド サービスを提供する傾向が続き、自社製品を顧客に代わって迅速かつコスト効率よく運用し、双方に利益をもたらしていることで緩和されています。しかし、企業はこれらの投資を正当化し、環境の進化とともに対象を継続的に見直すという課題を今も抱えており、小規模なセキュリティ チームがマネージド サービスだけで構成されたプログラムを管理しているとしても、専門的知識が必要です。

「不健康なストレスを抱えて夜も眠れないセキュリティ リーダー」という不気味なジョークには今も真実味がありますが、眠りを妨げているのが高度な攻撃者やハリウッド映画のような話であることは稀です。チームは大丈夫なのか、必要なものが揃っているか、適材適所で人材が配置されているか、新しく必要なのはどのような役割や人材か、同業者からチームは信頼されているか、幹部からリーダーは信頼されているかなど、このような懸念で眠りが妨げられているのです。これは、セキュリティ リーダーに限らず、リーダーには付き物の代償です。市場のシナリオには反していますが、セキュリティ リーダーたちは技術やセキュリティに関する本よりも、ビジネスや経営に関する本を互いに勧め合っているのをよく見ると私が話すと、人々は驚きます。確かに、最近話題になった情報漏洩や同業他社がどのように技術的な問題を解決しているかを議論することもありますが、新しいプロセスやチーム構成、うまくいったコミュニケーション方法などを共有することは、それと同じかそれ以上の興奮を呼び起こすのです。

私たちは、セキュリティのスキルと指導力が不足しているのであって、広範にセキュリティ人材が不足しているわけではありません。このために、従来のサイロ型の1%er のセキュリティ プログラムだけでなく、すべてのビジネスにおけるレジリエンスを高めるために必要な、幅広いセキュリティ人材市場のアップデートが遅れているのです。例えば次のようなことです。

• 急速に拡大しつつある新卒のセキュリティ人材のパイプラインを活用して成果を得るには、その人材を認めて育てるリーダーがいることが前提となります。類似した分野の新卒から中堅の専門職の人材の多くが、セキュリティ分野への転職に関心を持ち、広範な人材プールを形成して職場の成熟度を高めていることから、これは特に重要です。
• セキュリティ プログラムは、ビジネスの文脈に照らし合わせて正当化することができ、ビジネスの成功に貢献する場合にのみ拡張すべきであり、その分野を極めた固定観念的なリーダーに通常求められる以上の、ビジネスへの広範な理解とコミュニケーション スキルが必要です。これらの能力がなくては、プログラムとその有効性は限定的なものになります。
• 中堅やシニア レベルの優秀な人材の多くは、ビジネスで成功するためのビジョンを持ってプログラムを構築する共感力のあるリーダーに惹かれる傾向があり、主体性なく揺れ動いて「リスクを容認する集団」になることはありません。チームの業務を進めるには責任の多様性と年長者も必要ですが、若い才能を導いて育てる必要もあります。セキュリティ リーダーは、特にプログラムの規模が大きくなるほど、1人でこれらを抱え込むべきではありません。
• セキュリティ組織が、過剰な人事異動を繰り返すことなく、新卒、中堅、シニア レベルの人材を維持できれば、新しいチャンスが生まれます。持続可能な組織は、成熟して「1%er」に近づくにつれて、高度な専門スキルを持った人材を、機を見て獲得できるようになります。アプリケーションやクラウド セキュリティ、脅威ハンティングやモデリングなどのスキルを持つ経験豊富な人材は、広範な人材育成によりこうした人材が育つまでは供給不足が続くでしょう。

ここ5年以上にわたり、法規制、オープン ソースやクラウド、私物端末の業務利用などの技術動向に対する企業支出の急増、ランサムウェア ビジネスの拡大、さらには企業のデータ管理者によるデータの誤操作や安全を脅かす慣行などが注目を集めたことで、企業のセキュリティ リーダーの幹部としての役割が高まっています。このことから思い出されるのが、有名企業や金融機関の不祥事を受けてサーベンス・オクスリー法（SOX）が施行された後、企業がその財務リーダーとともに進んだ道のりであり、彼らの独自の視点がCレベルの幹部や役員会で重視されたことです。セキュリティ分野で制定された対策は、いまだSOX法のような厳格なものになっていません。セキュリティやプライバシーに関する規制が継続的かつ世界的に拡大し、役員会が注目する中で、セキュリティ リーダーは前進し続けていくのか、それとも、マクロ経済情勢により企業が技術とセキュリティへの投資を見直す中で、セキュリティ リーダーの前進は減速、あるいは後退するのかは、今後2年のうちに明らかになるでしょう。

歴史は繰り返すものであるなら、減速、あるいは後退するかもしれません。なぜなら、企業のセキュリティと安全性への投資は、通常はその影響が相関関係にないにもかかわらず、市況と相関関係にあるためです。この非対称性の一例として、防御側の予算は会社の売上または純利益と連動して縮小します。これは妥当かもしれませんが（受託者責任）、攻撃側の財源と動機はこれとは異なります。誰もが認識しているが口にしない問題は、セキュリティ リーダーの役割の定義、企業の説明責任、そして個人の責任は公的に精査される一方で、このようなことが起きるということです。これらの質問に対する回答が望ましくないものであれば減速や後退が起こり、セキュリティ リーダーの何割かは会社や職務から手を引くと考えるのが妥当であり、セキュリティ リーダー不足は悪化し、広範なセキュリティ人材プールに影響するでしょう。セキュリティ リーダーとその会社は、強い逆風が吹いてからではなく今すぐこれらの課題について議論し、セキュリティ リーダーの役割と組織がどのように進化し、プログラムと人材の持続可能性にどのような意味を持つのかを理解しなければなりません。