#974 「人員不足」から「スキル不足」に ～ ISC2 が 2025 年版「サイバーセキュリティ人材調査」発表

今回は、サイバーセキュリティの最前線で今何が起きているのか、ISC2が発表した最新の調査レポートを基に掘り下げていきます。これまでセキュリティの世界では人が足りないという人員不足が叫ばれてきましたが、今回の調査ではその質が変化し、必要なスキルを持つ人がいないというスキル不足が深刻な課題として浮上しています。この変化が企業のセキュリティ対策にどのようなリスクをもたらすのか、そして私たちが今後どのような視点を持つべきなのか、具体的に解説します。技術の進化に追いつくためのヒントが詰まった内容ですので、ぜひ最後までお聞きください。

今回のレポートは、世界中のサイバーセキュリティ実務者1万6千人以上を対象にした大規模な調査結果です。最も注目すべきは、企業の最大のリスクが単なる頭数不足から、高度な専門性を欠くスキル不足へと移行した点です。実際に回答者の95パーセントがスキル不足を感じており、その半数以上が深刻な状況にあると答えています。さらに、スキル不足を抱える組織の88パーセントが、それが原因で重大なインシデントを経験しているという衝撃的なデータも示されました。日本では世界に比べて雇用環境は安定しているものの、スキルのミスマッチという課題は共通しており、今後の人材育成や採用の在り方に一石を投じる内容となっています。

ISC2はサイバーセキュリティのプロフェッショナルを育成し、認定することを目的とした世界最大級の非営利団体です。特にCISSPという資格は、セキュリティの専門家として国際的に非常に高い信頼を得ており、業界の標準を作っている組織と言っても過言ではありません。そのため、彼らが毎年発表するこの人材調査レポートは、世界中の企業の経営層やIT担当者が今後の戦略を立てる際の重要な指針として注目されています。今回の調査も、北米や欧州だけでなく日本を含むアジア地域の実態を正確に反映しており、業界全体の現在地を知るための貴重な資料となっています。

その背景にはサイバー攻撃の手口が極めて高度化し、複雑になっている現状があります。かつては定型的な対策で防げた攻撃も、現在ではAIを悪用したものや、クラウド環境、サプライチェーンを狙った巧妙な手法へと進化しています。そのため、単にセキュリティ担当という肩書きを持つ人を配置するだけでは不十分で、最新の脅威を分析し、適切にシステムを設計・運用できる高度な専門知識が不可欠になったのです。また、デジタルトランスフォーメーションの推進によって守るべき範囲が急拡大したことも、求められるスキルの多様化と、それに伴う不足感を加速させる大きな要因となっています。

スキルが不足していると、システムのわずかな設定ミスを見逃したり、異常なログを検知してもそれが攻撃の兆候であると判断できなかったりするリスクが高まります。例えば、クラウドサービスの公開設定を誤ってしまい、機密情報が外部から丸見えの状態になるケースなどは、典型的なスキル不足によるヒューマンエラーです。また、脆弱性が見つかった際に、その危険度を正しく評価して優先順位をつけた対策が打てないことも被害を広げる原因となります。組織の中に正しい判断ができる専門家がいないことで、本来防げたはずの攻撃を許してしまうという、非常に危うい状況が数字として現れているのです。

数字の上では日本の雇用環境は比較的安定していると言えます。海外では経済不安から大規模な人員削減が行われるケースもありますが、日本では長期的な視点で人材を確保しようとする傾向が強く、これは大きな強みです。しかし、これが必ずしもセキュリティレベルの向上を意味するわけではありません。むしろ、解雇が少ない分、古いスキルのままアップデートされていない人材が滞留してしまうリスクも孕んでいます。雇用が守られている今だからこそ、現状に甘んじることなく、最新の技術や法規制に対応するためのリスキリングや教育プログラムに、企業として、また個人として積極的に投資していく姿勢が求められています。

まずはクラウドセキュリティやAIの活用に関する知識が、今後の最優先事項になるでしょう。しかし、技術的なスキルと同じくらい重要なのが、ビジネスの文脈でセキュリティリスクを説明できるコミュニケーション能力です。レポートでも指摘されている通り、予算不足で必要な人材を雇えないという課題を解決するには、経営層に対してセキュリティ投資の必要性を論理的に訴える力が不可欠です。技術一辺倒ではなく、組織全体のレジリエンスを高めるための戦略的思考を兼ね備えた人材こそが、これからの時代に真に必要とされます。専門家としての誇りを持ちつつ、常に学び続ける姿勢が、自分自身の市場価値を高める近道となります。