サイバーセキュリティ業界は深刻な危機に直面しています。それは、有資格者の不足です。2022年6月、フォーチュン誌は企業がサイバーセキュリティ人材を切実に求めていると報じました。Cyber Seekには、71万4000件以上のサイバーセキュリティ関連の求人が掲載されています。そして、サイバーセキュリティの専門家の需要は今後増加すると予想されています。
米国労働統計局によると、サイバーセキュリティ関連の求人は2020年から2030年にかけて33%増加すると予想されており、これは全職業の平均を大きく上回る伸び率です。サイバーセキュリティ・ベンチャーズは、この状況は2013年に始まったトレンドの一環だと断言しています。それ以来、サイバーセキュリティ関連の未充足求人は350%増加しています。
サイバーセキュリティの専門家の採用を検討している企業向けに、TechRepublic Premium はサイバーセキュリティ エンジニア向けの採用キットを提供しています。
セキュリティ専門家の不足によって誰が影響を受けるでしょうか?
この危機はあらゆるセクターに影響を及ぼしています。米国政府は、国土安全保障省(DHS)を通じて、2021年11月にサイバーセキュリティ人材管理システム(CTMS)を導入しました。CTMSは、採用プロセスを合理化し、競争力のある報酬とキャリア開発の機会を提供することで、サイバーセキュリティ専門家の採用、育成、維持を目的としています。企業も人材不足の解消に取り組んでおり、Cyber Talent Institute、Sans Institute、Cybintといった企業がこの危機への対応に取り組んでいます。一方、Deloitteのような企業は、社内でサイバーセキュリティの研修やスキルアップを提供しています。
サイバーセキュリティ環境の厳しさの増大、従業員の燃え尽き症候群、サイバー攻撃の増加、多様性の欠如、そして専門家の育成に長期間を要することなどが、危機の原因として報告されています。しかし、これらの要因の一部は認識の問題である可能性があります。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
サイバーセキュリティの役職を埋めるのがなぜそれほど難しいのでしょうか?
課題を理解するために、TechRepublic は Offensive Security の CEO である Ning Wang 氏に話を聞いた。
「多くの分野と同様に、サイバーセキュリティの専門家になるには数年かかります。しかし、サイバーセキュリティの入門レベルや中級レベルには、2~4年のトレーニングを必要としない職種も数多くあります」とワン氏は述べた。例えば、チームと連携して脅威を監視・対処するセキュリティオペレーションセンター(SOC)アナリストや、セキュリティ計画、ポリシー、プロトコルを作成するインシデント対応者などがその例だ。一方、サイバー攻撃をシミュレーションし、脆弱性やバグを探すペネトレーションテスターのような職種は、スキル習得に長い時間がかかり、経験が求められる場合が多い。
ワン氏は、スキルは認識の問題であり、専門家になるまでの時間はケースバイケースだと述べています。「驚くほど熱意とモチベーションの高い人たちが、当社のOffensive Security Certified Professional(OSCP)認定を取得し、約1年でペネトレーションテスターの仕事に就いた例を数多く見てきました」とワン氏は付け加えました。
彼女のアドバイスは?何を学ぶべきか、どのように学ぶべきかを知り、熱意を持ち、メンターを見つけ、目標達成に必要な時に助けを得ることです。また、ワン氏は企業に対し、適切な人材を見つけてトレーニングを行い、それぞれの学習パスに合わせて設計された質の高い学習教材を提供することを勧めています。
「誰もが、ただ見て聞くだけでなく、実践し、実践することで学びます。そのため、サイバーセキュリティ研修では実践的な学習が不可欠です。これらの要素を認識し、取り入れた研修プログラムは、より迅速かつ優れた成果をもたらし、研修プロセスを加速させます」とワン氏は述べた。
優れたサイバーセキュリティの専門家は、仮説に基づいた問題解決能力を養い、行き詰まったときに何をすべきかを考え、限られた時間やリソースで物事を成し遂げる方法を学びます。
新世代:サイバーセキュリティ教育のギャップ
求人需要の危機を引き起こしているもう一つの要因として、新世代のサイバーセキュリティへの関心の欠如が挙げられます。2018年の報告書によると、ミレニアル世代のうちサイバーセキュリティ関連のキャリアに興味を持つのはわずか9%でした。ワン氏は、これも誤解だと考えています。新世代はサイバーセキュリティに興味を持っているものの、学習方法が異なると彼女は指摘します。
「この世代の学習方法は異なります。集中力の持続時間は短く、即時の満足感への欲求ははるかに強いのです」とワン氏は述べた。また、テキストよりも動画、長文よりも短文を好む新世代にとって効果的な学習方法には、学習方法を変える必要があると指摘した。
「新しい世代が好む媒体で、より短いトレーニングモジュールを作成し、即時のフィードバックを提供するアトミック学習ユニットを開発する必要があります」とワン氏は述べた。彼女は、ストリーミング技術によって学生がハッキングの方法を理解するのを助け、教育が不可逆的な新しい学習の嗜好に適応していくことを訴えている。
AIはサイバーセキュリティ専門家の不足を解決できるのか?
デロイトのレポートによると、企業はAI、機械学習、そして自動化されたセキュリティソリューションを戦力増強策として活用し始めています。新たな自動化セキュリティ技術は、拡大し続けるデジタル攻撃対象領域に影響を及ぼす攻撃の監視、スキャン、そして対応に活用されています。これらの技術は、慢性的なサイバーセキュリティ人材不足の解決策として高く評価されています。しかし、組織が自動化セキュリティ技術を活用し、攻撃が進化・増加するにつれて、ワン氏は、このアプローチが完全に正しいとは言えなくなる可能性があると述べています。
「企業が脆弱性を特定し、疑わしい活動を警告するための自動ツールを開発しているのは素晴らしいことだと思います。しかし、これらの自動ツールは、セキュリティ専門家の不足による未解決のギャップを埋めることはできないと思います。なぜなら、アルゴリズムはハッカーや人間のように批判的に考えることができないからです」とワン氏は説明した。
機械学習モデルは不審なログインやアクティビティを検出できるかもしれませんが、これらのアプリケーションは既存のデータに基づいて構築されています。攻撃や脆弱性が進化するにつれて、AIアプリケーションに考慮されていない新しいデータが現れます。これは機械学習モデルにおけるドリフトとして知られています。「どのように自動化しても、これらのツールは既知の脆弱性の特定には役立ちますが、新しいタイプの脆弱性の特定には役立ちません」とワン氏は説明します。
さらに、攻撃の大多数は、高度なコーディングでシステムに侵入したり、厳重に保護されたセキュリティシステムを突破したりするものではありません。サイバー犯罪者は人間の本性に巧妙につけ込んでおり、従業員を騙してメールに返信させたり、リンクをクリックさせたり、マルウェアをダウンロードさせたりするための新たな方法を常に模索しています。専門家は、企業が業務の安全性を高めるためには、サイバーセキュリティにおける人的要素を強化する必要があると述べています。
「こうした新たなリスクを特定し、AIやMLツールを改善・訓練するには、サイバー犯罪者と同等の才能を持ち、ハッカーのように考えることができる本物の人間が必要だ」とワン氏は語った。
主要なサイバーセキュリティ組織は現実を受け入れ、多くの組織が対抗手段に転じています。倫理的なハッカー、報奨金プログラム、そしてハッカーのマインドセットに基づくアプローチは、現代の攻撃に対する実用的な攻撃戦略であることが証明されています。TechRepublicが最近報じたように、
「本質的に、防御の最善策は、どのように攻撃されるかをしっかりと理解することです。サイバーセキュリティ業界で成功するには、ハッカーのマインドセットを身につけることが不可欠です。単にToDoリストに従って一連のタスクをこなすだけでは、この仕事は達成できません」とワン氏は付け加えた。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
適性とストレス下での業務遂行能力を重視した採用
サイバーセキュリティソリューションへの多額の投資にもかかわらず、攻撃件数は減少していません。セキュリティチームを構築している組織は、サイバー犯罪者の柔軟性、適応力、回復力、そして執拗な攻撃手法に対応できる人材の確保に依然として苦労しています。では、企業はサイバーセキュリティ人材を採用する際に、どのような点に注目すべきでしょうか?
ワン氏は、セキュリティ専門家には批判的思考力と創造力、そして決して諦めない粘り強さが必要だと述べています。忍耐強く学び、観察し、試行錯誤を繰り返しながら物事を解決する覚悟が必要です。こうした生来の資質は、サイバーセキュリティに必要なITスキルよりも、はるかに教えにくいものです。
ワン氏によると、管理者は適性を採用する際に次の 6 つの属性に注目すべきです。
- 好奇心:「なぜ?」と質問することを好む候補者を見つけます。
- 創造性:ハッカーのように、革新的な方法で問題を解決し、既成概念にとらわれずに考えることを恐れない候補者を見つけます。
- グリット:新入社員に、これまで乗り越えてきた困難や失敗について尋ねてみましょう。困難を乗り越えて目標を達成できる人は、グリット(根性)のある人です。
- 努力する意欲:知性と才能は役立ちますが、サイバーセキュリティの専門家になるにはそれだけでは十分ではありません。努力は不可欠です。
- 細部への注意:特にコードを書くときに不注意なミスをすると、多くの時間が無駄になる可能性があります。
- スキルを開発し、知恵を深めたいという欲求:深い知識により、個人はサイバーセキュリティの最も基本的な側面の 1 つであるパターン認識スキルを鍛えることができます。
企業と採用担当者は、すべての条件を満たす候補者はほとんどいないことを忘れてはなりません。だからこそ、潜在能力を重視して採用することが重要なのです。「才能を見極め、研修を通して育成することには、大きなやりがいがあります。適性のある人はすぐに開花し、彼らを育成する企業は大きな報酬を得るでしょう」とワン氏は言います。
TechRepublic Premiumのサイバーセキュリティエンジニア採用キットは、採用プロセス開始時の推測作業を軽減します。職務内容、給与範囲、面接の質問など、様々な情報が含まれています。採用キットをダウンロードするには、こちらをクリックしてください。
