海の向こうの“セキュリティ”

セキュリティ人材を確保する上で雇用する側が知っておくべきこと

 「セキュリティ人材を確保するのは難しい」と言われる中、CISSPを提供している国際的非営利団体(ISC)2は、雇用される側が雇用する側に期待しているポイントなどを、雇用する側に知ってもらうことで、雇用する側とされる側の間にある「ギャップ」を埋めることを目的とした調査報告書「Hiring and Retaining Top Cybersecurity Talent」を公開しました。調査は2017年12月に米国とカナダのセキュリティ専門家250名を対象に行われ、その内訳は以下となっています。

[国]
・米国 76%
・カナダ 24%

[性別/平均年齢]
・男性 68%(38歳)
・女性 32%(37歳)

[職位]
・C-level executives 17%
・middle managers 47%
・managers/nonmanagerial staff 28%

[業種]
・IT 30%
・コンピュータソフトウェア 14%
・金融系 7%
・小売/卸 7%

[現職の在職期間]
・1年未満 1%
・1~3年 8%
・3~6年 25%
・6~10年 30%
・10年~20年 31%
・20年以上 4%

 調査結果として最も強調されているのは、2018年での転職を全く考えていないのは全体の15%に過ぎないという点です。一方、転職を考えているのは14%で、70%は機会があれば転職も考えると回答しています。

 その他の重要なポイントとして挙げられているのは以下の4つです。

1)個人としての満足感を得るのに最も重要なこと

 「給与」と回答したのは49%でトップ項目ではなく、それよりも多かったのは以下です。

・自分の意見を真剣に受け止めてくれる職場で働きたい 68%(現職で満足 54%)
・人やそのデータを守れる職場で働きたい 62%(現職で満足 58%)
・厳しい倫理規程を遵守する雇用主に仕えたい 59%(現職で満足 54%)

 なお、「給与」について現職で満足していると回答しているのは全体の39%ですが、転職を全く考えていない人に限定すると、55%になっています。このことから、給与は職を決める際の最優先項目ではないものの、完全に無視して良い項目というわけではないことが(当たり前のことですが)分かります。

2)セキュリティ専門家としての目標を達成するために最も重要なこと

・サイバーセキュリティの責任の所在が明確に定義されている企業に勤めたい 62%
・雇用主にはサイバーセキュリティをただの技術ではなく、もっと広く考えて欲しい 59%
・従業員に対するサイバーセキュリティのトレーニングを行なっている組織に勤めたい 59%

3)自分が雇用主にもたらすことができる価値

・サイバーセキュリティ戦略の発展 81%
・サイバーセキュリティ技術の管理 77%
・サイバーセキュリティのベストプラクティスについてのユーザへの教育 69%
・リスクアセスメントに対するビジネスプロセスの分析 67%

4)平時において最も使うスキル(上位4つ)

・ネットワークモニタリング58%
・セキュリティ分析 53%
・セキュリティ管理 53%
・侵入検知 47%

 また、雇用側が知っておく必要があるものとして以下の4つが挙げられています。

1)組織におけるサイバーセキュリティの知識不足を示すもの

・不明確なジョブディスクリプション 52%
・職責を正確に反映していないジョブディスクリプション 44%
・不十分な必要条件を要求している求人票 42%

2)サイバーセキュリティ分野で働く人が自らの実績として評価されるべきと考えている点

・違反やセキュリティインシデントにいかに速やかに対応するか 43%
・セキュリティプログラムの成熟度 30%
・従業員のセキュリティ意識をいかに効果的に向上させるか 30%
・いかに効果的に復旧・改善に対処するか 28%

3)サイバーセキュリティの専門家がリクルーターから積極的に狙われている実態

[リクルーターからコンタクトされる頻度]
・1日に何度も 13%
・1日に1回 8%
・1週間に数回 16%
・1カ月に2、3回 34%

4)サイバーセキュリティ分野で働く人の85%が、職に就く前にその雇用主のサイバーセキュリティに関する能力を調べるとともに、調べた結果は就職するか否かの決断に影響する可能性があるとしていること

[雇用主のセキュリティに関する能力の調査した上で]
・セキュリティを真剣に捉えている組織の方に就職したい 52%
・セキュリティ改善を必要としている企業に就職するつもりである 40%

 上記のリクルーターからのコンタクト頻度について、「転職の予定は全くない」「機会があれば転職も考える」「積極的に転職先を探している最中」「6カ月以内に積極的な職探しを始める予定」の4つに回答者を分類してまとめたのが以下の図です。

 転職を全く考えていない人に対しても、その多くに月2、3回以上の頻度でコンタクトがあり、日に何度もあるという人も2割近くに及んでいます。「超売り手市場」の現実がここにも如実に表れています。

 次に、インシデントが発生した企業や組織に就職したいかを尋ねた結果をセキュリティ専門家のレベル(職位など)別にまとめた以下の図です。

 「No」と回答している人はいずれも少数派ですが、残りの大多数も無条件に「Yes」ではなく、インシデントの発生を適切なタイミングで公にしていることを必須条件としている人の方が全体として多めであり、特に「Director/middle manager」や「Entry level」では圧倒的に多数を占めています。

 今回の調査結果は雇用の仕組みが異なる日本でそのまま当てはまる話ではないかもしれませんし、そもそも調査対象に対する質問内容には「結論ありき」の意図的な誘導があるように感じられる部分もあります。それでも、「セキュリティ専門家が雇用側に期待するもの」自体は日本の実態とさほど離れているとは思えませんし、今回の調査報告書は日本の雇用する側にとっても参考になる部分はあるでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。