人材不足がセキュリティリスクに? フォーティネットが提言する人材確保のカギ
提供: フォーティネットジャパン
お気に入り
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フォーティネット、米国下院委員会のサイバー人材に関する公聴会に貢献」を再編集したものです。
サイバーセキュリティの状況がますます巧妙化するにつれ、有能な専門家に対するニーズが急増し続けています。最新のISC2レポートによると、米国内の労働力ギャップを解消するには、サイバーセキュリティ専門家を50万人以上増やす必要があります。
多くの組織が、創造的な戦略を策定して、新しい人材をこの分野に引き付けていることはプラスの材料ですが、有能な実務担当者を採用、雇用、および維持する課題は幅広く、官民セクターのあらゆる規模の組織に影響を与えています。この問題が広範囲に及んでいる状況を考えると、業界の声を集めて、未来のサイバーセキュリティ人材を育成するための解決策を議論し、導入する必要があります。
先日、フォーティネットを代表して、米国下院国土安全保障委員会の「パイプラインの準備:アメリカのサイバー人材の状況調査(Preparing the Pipeline: Examining the State of America’s Cyber Workforce)」に関する公聴会に参考人として出席しました。私は自身の証言の中で、サイバー人材になることへの参入障壁を取り除くには、官民連携の強化が必要だと主張し、サイバーPIVOTT法(Cyber PIVOTT Act)などの取り組みの重要性を強調しました。当社は、サイバー人材課題への対応の最前線に立ち続けており、これは、政府機関との緊密なコラボレーション、数百に及ぶ学術機関とのパートナーシップ、スキルギャップの継続的な調査、およびFortinet Training Instituteを介した利用しやすいサイバーセキュリティ教育およびトレーニングプログラムを提供する取り組みを通して行っています。
セキュリティ侵害が増加する中、採用の課題が山積み
当社は、Fortinet Training Instituteの取り組みの一環として、主要なステークフォルダーと直接関係を持つことを非常に重視しています。当社は、20ヵ国以上で約2,000人のITおよびサイバーセキュリティの意思決定者を調査し、毎年、スキルギャップレポートを発行しています。調査結果は、年次の「サイバースキルギャップグローバル調査レポート 2024年版」にまとめられており、発行は今年で4年目となります。2024年の最新レポートによると、世界の組織の70%が、熟練したサイバーセキュリティ専門家の不足がセキュリティリスクの増加に寄与していると考えていることが明らかになりました。米国の回答者の場合、この統計結果は75%に上昇します。
組織のリーダーの約90%が、過去1年以内に所属企業でサイバースキル不足に一部起因する可能性があるセキュリティ侵害を経験したと述べています。多くの組織では、有能なサイバーセキュリティ専門家を採用、雇用、および維持するための新しい戦略を導入することで、ポジションを埋めていますが、リーダーの約半数(51%)が、必要なスキルセットの人材プールは一般的に少ないと述べています。このような継続的な採用の課題は、業界にとって重大で危険な人材供給問題となっており、企業リーダーの54%がサイバーセキュリティ人材を見つけるのに常に苦労していると述べています。また、この分野に新しい人材を引き付けることに対するハードルが存在し続ける一方で、現在の実務担当者を維持することも課題であることが明らかになっています。回答者の半数が、従業員に十分なトレーニングとスキルアップの機会を提供することが、有能な専門家を維持するための最大の障壁であると述べています。
サイバーセキュリティ分野への参入障壁を取り除く
相互に関連するいくつかの課題が、サイバーセキュリティの人材の格差を深刻化させており、これには、サイバーセキュリティの役割の標準化の欠如、および技術的に熟練した専門家に対する他の業界との競争などが挙げられます。一方で、最も大きなハードルは、新規参入者やキャリアアップに関心を持つ既存の実務担当者のどちらについても、サイバーセキュリティ分野に参入する際の障壁です。
フォーティネットの調査、および当社の数多くのパートナーから得られたインサイトによると、この分野でのキャリアのスタートダッシュやキャリアアップに関心を持つ人にとって、教育およびトレーニングへのアクセスが一般的に欠如していることが、しばしば最も大きなハードルとなっています。また、公共セクターと民間セクターの多くの組織では依然として、サイバーセキュリティの役職の主な採用要件として、従来の関連分野に関する4年制の学位を使用することに固執しており、問題を複雑化させています。企業や組織は、採用する際のベースライン要件とデフォルトのフィルターとして、4年制の学位を使用しているため、採用マネージャが有望な候補者を拒否する結果を招いており、これを再考する必要があります。
サイバーセキュリティ分野のキャリアにつながる教育ルートは数多くあります。私たちは、ますます多くの技術学校、単科大学、および大学で、当社の数百に及ぶ学術機関とのコラボレーションを利用して、サイバーセキュリティのさまざまなポジションを目指す学生を効果的に育成する2年制の学位プログラムを開始していることを目のあたりにしています。また、世界中のさまざまな公的組織や民間組織が、業界で認められた高品質なサイバーセキュリティトレーニングを、各個人に低コストまたは無償で提供しています。フォーティネットは2020年から、サイバーセキュリティ分野への参入およびキャリアアップに関心があるすべての人に対して、自己学習型のサイバーセキュリティ認定トレーニングの全カタログを無償で提供しています。
また、業界認定資格は、サイバーセキュリティ分野の新規参入者が、従来の学位プログラムでは必ずしも提供されない実践的な知識や経験を身に付ける上で重要な役割を果たしています。Fortinet Certified Experts(FCX)の称号を取得したトップレベルの認定プロフェッショナルは、自身の専門知識の大半は、実践的な活動を通じて得られたものであるとたびたび述べています。
将来のタレントプールを今から育成
サイバーセキュリティ人材の格差に効果的に対処するために、公共セクターと民間セクターが協力して、できる限り多くの参入障壁を取り除き、すべての人が、サイバーセキュリティの教育とトレーニングの機会を利用できるようにする必要があります。同時に、採用マネージャは、サイバーセキュリティの役職の要件を再考し、能力と専門知識を得るための別のルートも受け入れる必要があります。
公聴会で指摘したように、将来の労働力を育成するには、高等学校以降まで待ってからサイバーセキュリティに関するキャリアパスを議論するのではなく、若い年代からサイバーセキュリティ意識を高めることが、別の重要な要素です。フォーティネットは、小学校と中学校(K-12:幼稚園年長~高校3年生)の4歳~18歳までの生徒を対象に、基本的なサイバーセキュリティスキルを教えるサイバーセキュリティ意識向上カリキュラムを無料で提供しています。労働力計画の長期的なアプローチを確立するには、従来より早くからキャリアに関する会話を開始し、将来のサイバーセキュリティの実務担当者を育成するための創造的な方法を見つける必要があります。