企業が採用したい熟練したセキュリティ運用担当者の市場価値が、多くの場合、割り振りたい予算を超えてしまうことは、人事担当者の間で広く知られている事実である。このような状況の中、人事部門は手探り状態での採用活動を強いられており、高額な給与を提示して採用した人材が、次のいずれかの問題を引き起こすリスクを抱えている。
A. 複雑化し続ける社内のセキュリティソリューションを適切に管理できるスキルを有していない可能性がある
B. 試用期間終了後に離職してしまう可能性がある
C. セキュリティチームの膨大な仕事量によって疲弊させてしまう可能性がある

ただ、解決すべきことは明らかで、経験に裏打ちされたスキルを持つ人材に投資することによってのみ、この採用問題は解決できる。あるいは、セキュリティパートナーから専門性の高い人材を外部委託で雇うといった方法も考えられるだろう。

対応の難しい情報セキュリティの人材市場

情報セキュリティの人材市場は、雇用主よりも候補者の影響を受けやすい状況にある。そのため、CISO（最高情報セキュリティ責任者）やセキュリティ部門長、または技術者たちは、高騰する採用コストを社内で納得させられるか、あるいは社内で人材を一から育成した方がよいのか、というジレンマに直面している。

例えば、インシデント対応チームの担当者を採用する際には、日常的に使用する主要なソリューションであるEDR（Endpoint Detection and Response）やXDR（Extended Detection and Response）製品に関して十分な実務経験を有しているかどうかを確認する必要がある。

また、次の点についても確認が必要だ。
脅威を検知し、インシデントの優先順位を適切に判断できるか？
初期設定による多くの誤検出や「ノイズ」が多発する状況に対応できるリスク評価スキルを有しているか？自社のネットワークやシステム構成に合わせてカスタマイズしたルールを設定できるか？
アラート疲れに対してどのように対処するか？
企業を標的にした攻撃への対策、技術、プロセス (TTPs：Tactics、Techniques、Procedures) について精通しているか？

こうした確認事項は採用面談のみならず、実際のSOC（Security Operation Center）チームや管理担当者にとっても関係のある問題だ。セキュリティを重視する企業にとって、常に注意を払うべき課題である。

実際のところ、検知・対応ツールがネットワークやエンドポイントに関する十分な情報を提供できるとしても、それを効果的に使いこなすことは容易ではない。率直に言って、投資対効果の高い製品を導入するよりも、経験豊富な運用担当者を確保する方が難しいのが現実だ。したがって、セキュリティ担当者やSOCスタッフを採用する際には、高度な検知・対応ツールを適切に扱える人材かどうかを慎重に見極める必要がある。

適切なツールを活用してスキル不足を補う

脅威を特定し、リスク軽減策の優先順位付けを行うために必要な情報を提供することで、スキル習得中の新米担当者と優秀なセキュリティ管理者の間にあるスキルギャップを埋め、プロフェッショナルへと成長させることができる。その観点から、最も効果的にセキュリティチームを支援するのは、ネットワーク検知に関するダッシュボードに表示されるデータを分析し、解釈するための負担を軽減する仕組みである。

最新のAIを搭載したソリューションを活用すれば、経験の浅い担当者でも、極めて疑わしい「特別な」インシデントを検知した際に、状況を把握して優先順位付けを行えるよう支援することができる。このようなソリューションは、疑わしい脅威の追跡にとどまらず、より広範な状況を理解する能力を高めるため、膨大な量の通知や設定項目に忙殺される事態からの回避を後押しする。

新米担当者は、ダッシュボードを活用することで、要素間のプロセスの透明性が向上するため、相関関係を特定できるようになり、実務経験を重ねながら自信を深めていく。そして最終的には、EDRやXDRソリューションの活用を通して、一般的な検知やルールを超えた洞察を導き出せるような優秀なセキュリティ担当者へと成長していくだろう。

ただし、プロセスの可視性と透明性を高めつつ、総所有コスト（TCO：Total Cost of Ownership）を削減し、スキルの成熟をサポートする機能を備えた適切な製品を見極めるのは、CISOや人事担当者を含む採用責任者の意思決定に大きく依存する。これらの重要な機能の多くは、AV comparativesやSE Labsといったサードパーティー・ベンダーによって詳細に検証されている。そのため、スキル向上を支援する適切なツールを組み合わせた選択肢を探すこと自体はそれほどハードルが高いものではないが、それでも調査にはある程度の時間を費やす必要がある。

一方で、最初から高度なスキルを有したセキュリティ担当者をすぐに利用できるサービスに目を向けることも大事だ。具体的には、MSSP（Managed Security Service Provider）やMDR（Managed Detection and Response）を提供するセキュリティベンダーとの契約だ。これにより、セキュリティ専門家が持つ知識と、提供される製品に関する深い理解が一体となって提供されるため、セキュリティ専門家の採用コストや採用後の育成に関する課題が発展的に解消されることが期待できる。

事業運営に必要なコスト

EDRやXDRソリューションの導入に併せ、それらを運用する担当者を採用した企業は、それに見合う投資対効果が求められる。そのため、セキュリティ管理者や脅威ハンティングに携わる担当者、そして、SOCチームなどに必要な分析スキルを強化する機能は、投資対効果を高める上で欠かせないものだ。セキュリティ担当者が自身のスキルを容易に発揮できるようになれば、効果的にイベントを分析し、予防的措置に適した防御策の優先順位付けを行える能力が実証され、組織からの信頼を得ることができる。

セキュリティエンジニアにとって、自社のシステム環境を理解し、それに適した防御策を講じられるようになることは、最終的な目標である。これは、単に基本的な対策を実施するだけではなく、EDRやXDRソリューションの活用を通して、システム環境の理解を深め、セキュリティ体制の成熟化につながることが重要だ。

社内には隠れた才能が眠っているもので、社外の人材ばかりを追い求める必要はない。しかし、社内の人材の成長が想定よりも遅れる場合には、極めて要求の高いセキュリティ対策にも対応できるMDRのようなサービスの導入を検討することも選択肢の1つだろう。