サイバーセキュリティに関する人材不足が深刻化している。これは何も米国内に限ったことではない。世界的な傾向となっており、すでに課題も打開策もある程度は議論されている。単位や資格を取得済みかどうかにかかわらず、これから技能を磨く熱意のある人材を採用することが求められている。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
当ブログをお読みの方ならば、情報セキュリティとは、きわめて日常的かつ現実的なことと受け止められていると思う。しかし、セキュリティの実務に携わっている人であれば、終わりのない仕事をこなし続けるためにはもう一人自分が必要だ、と思わざるを得ないところがある。
情報セキュリティの日常はまるで、適切に訓練された情報セキュリティ専門家の不足をリポートし続けているかのようだ。人材分布が深刻にアンバランスな状態となっている中で、情報セキュリティ人材の不足を埋めるためには、どうすればよいだろうか。
就業機会の不足
情報通信技術専門家の国際的団体である「ISACA」(Information Systems Audit and Control Association、情報システムコントロール協会)が2017年早々に、「人材開発の傾向」についてのリポートを公表した。そこでは、企業が「オープンポジション」(=求職する人の適性で部署などを決めること)でスタッフを採用している問題に光が当てられている。その結果、4分の1以上の企業が必要な人材を採用できていない状態にあり、求める人材が採用できた企業も、職務に対して適切な人材を見つけるのに半年以上かかったと報告している。
調査に回答した企業のほぼ半数が、職務リストの希望数に満たない候補者しか採用できず、回答者の64%が、職務に対して応募してきた候補者の半分以下しか適切な条件を備えていなかったという。
報告書には幾つかのキーポイントがあるが、中でも特に不思議なのは、今働いている人たちが雇用機会を失いつつある、というものだ。しかし、このビジネスで成功した多くの人々が公式のコンピューターサイエンスに特化した教育や専門化としての認証を受けてきたわけではない、ということに注意しなければならない。
他の産業では、特定の学位が必須となる場合があるかもしれない。しかし今働いている高く評価されているセキュリティ専門家の多くは、大学や研究機関というよりも、仕事で学んできた人たちである。他の大半の産業においては何よりも実務家を優先して雇用するという実態があるわけだが、セキュリティ産業ではこのことが、空いたポジションに専門家が応募することを阻んでいるかもしれない。
また、採用プロセスをクリアしたとしても、別の課題もある。現在のセキュリティ実務者は、全く別の産業でキャリアをスタートさせている場合が多い。筆者自身ももともとはコンピューターの専門家ではなく、花屋を経営していた。花屋の仕事は自然に、夏の期間が閑散となるため、セキュリティ企業の顧客対応窓口の仕事をしていたのである。その後、マルウェア研究所の責任者が自分の部門での業務に役立ち得ると認識し、かつ、熱心に学ぶ意欲があることを理解すると、幾つかの仕事が与えられた。もしもこれがうまくできれば、フルタイムで研究所に雇ってもらえる、というものだった。
書類の上では筆者(ESETセキュリティ研究員リサ・マイヤーズ(Lysa Myers))自身も、最終的に得た職位についてのいかなる職務内容についても資格を持っていない。しかしそのとき自分が持っていた技能は、セキュリティに対しても十分に対応可能なものだった。いや、筆者だけが特別というわけではない。事実、私が昇進した後、空いたポジションのために雇った人も、コンピューターサイエンスの学位や免状を持っていなかった。たった数週間のプログラミングの授業を受けただけだった。彼は明らかにコンピューターについて学びたいと思っており、しかも、教えるのも非常に難しい技術であるコミュニケーションスキルを持っていたのである。
最大の手付かずのリソース
2015年には、10人のセキュリティ職務従事者のうち、たった1人しか女性がいなかった。人口の半数以上を女性が占めていることを考えれば、あるいは、現在の労働者の半数が女性であることを考えれば、この業界は、コンピューターセキュリテイにおけるキャリアの可能性に気付いておらず、技能を持った専門家を採用することに失敗しつつあるのかもしれない。
異業種での経験しか持たない応募者は、今は深い技術的な知識がないかもしれない。他方、多くは、法学の学位やプロジェクトマネジメントの経験、創造的な問題解決能力や、優れたコミュニケーションスキルのように訓練のために多くの時間を要する他の分野での専門性を持っているのである。
未来へと動き出す
明らかに、スキルの不足に対して最も求められる方法は、応募者の量と質の双方を高めることである。そしてこれは、社員全員の助けを必要とする。子供たちにサイバーセキュリティにおけるキャリアの可能性に触れさせなければならないし、情報セキュリティ産業で優れたメンターシップや訓練を生かさなければならない。採用の現場においては幅広い人材を取り込むことがとても大切だ。
ボランティア
専門家の助けを必要とする地域の「STEM(=科学、技術、工学、数学)イベント」や「ハッカソン」「ブートキャンプ」とともに、「TEALS」や「Girls Who Code」「Women's Society of Cyberjutsu」「CoderDojo」といった多くの全国的なグループがある。毎年、ESET所属の研究者は、サンディエゴ地域で行われる「Securing Our eCity」のサイバーブートキャンプのメンターチームに参加している。専門家のコミュニティから大きな助力を受けられる楽しいイベントである。
奨学金
この産業に入るのに必要なスキルを得るための正規教育の費用が劇的に上昇している。その結果、新たにこの分野に参入しようとする人々が少なくなっている。そこで、セキュリティに関する教育制度で意欲的に学ぶ人々を支援するために設けられた多くの奨学金制度がある。「(ISC)²」や「CyberWatchWest」あるいは「WiCYS」といった幾つかの基金があり、奨学金やインターンシップの機会を探そうとする生徒のために役立っている。ESETでも奨学金を拠出しており、特に今年は女性には奨学金を倍増し、対象も全国の学生へと広げた。
見落としていた人々を集める組織
サイバーセキュリティやテクノロジーのキャリアにより幅広い分野の人々を取り込むことに焦点を当てるグループは増加している。「Code2040」と「Black Girls Code」のような全国的な組織が次世代の開発者の育成を促進している。各地域のグループは、特に「MeetUp」のようなサイトを通じて見つけることができる。
今こそ、大きな変化を起こす時である。そうすることが、2022年には180万人規模になるセキュリティ人材の不足を回避し、マルウェアやセキュリティについての今後の課題を克服するのに役立つことだろう。
