日本ではセキュリティ人材が大幅に不足した状態が続いているが、この背景には日本企業の危機意識の薄い人材育成の現実があった。なぜ、そうした状況に陥るのか。国立研究開発法人 情報通信研究機構(NICT)の執行役 サイバーセキュリティ研究所 研究所長の盛合志帆氏にセキュリティ人材を巡る現状について聞いた。
セキュリティのエンジニアのキャリアパスが確立されていない
――日本企業のセキュリティ人材の現状をどう捉えていますか。
盛合志帆氏(以下敬称略) セキュリティ人材が足りていないと認識しています。大企業など人件費を増やせる組織は、給与を高くして限られた人材の獲得に取り組んでいます。しかし、日本のセキュリティ人材が必ずしも日本の企業に入るとは限りません。サイバーの世界はグローバルでつながっているので、外資系企業から高い給与で引き抜かれることも多いのです。
NICTでは昨年、サイバーセキュリティ人材に関する国際状況などを調査しました。その中で興味深かったのは、米国の2022年の「100 Best Jobs」という職種の人気ランキングで情報セキュリティアナリストが1位を獲得したことでした。その理由は「給与が高い」「失業率が低い」「今後の需要が見込まれる」ことでした。こうした状況を見ると、今後、日本の情報セキュリティアナリストが海外の企業に動いていく流れが出てくると思います。
今後、日本企業はセキュリティ人材の確保に今以上に苦労することになると思います。日本企業ではセキュリティエンジニアのキャリアパスが確立されておらず、そもそもエンジニアに対するリスペクトも低い傾向があります。日本企業のセキュリティ人材にとって今後のキャリアアップが見えず、不安になる状況にあるのです。
――日本企業ではなぜ、セキュリティのエンジニアのキャリアパスが確立されないのでしょうか。
盛合 それはセキュリティに関する業務を外部に業務委託したり、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)を社内で育成せずに業界の有名人を外部から連れてくる企業が多いからです。
そうした状況を変えるためには、社内でセキュリティ人材を育成することが必要です。具体的な人数は、企業規模やビジネス形態などによって変わりますが、組織の大小にかかわらず組織の上から下まで全てのレイヤーでセキュリティ人材づくりが必要になります。その人材の中からCISOを決め、そのCISOが司令塔として社内にセキュリティ対策の重要性を伝えていきます。そうすることで、社員のセキュリティへの意識を変えていくことが重要です。