ブログ | CTO オフィス

サイバーセキュリティ人材不足の再構築

サム・ビスビーのサムネイル
サム・ビスビー
2022年10月20日公開

サイバーセキュリティの人材不足に関する今日の議論は活発化しているものの、成果は限られています。 危機を嘆く新たな記事や研究、あるいはソーシャルメディアのスレッドが次々と登場しないまま一週間が過ぎることはめったにない。 エントリーレベルの求人広告には、市場水準以下の報酬という達成不可能なユニコーン要件が付けられており、応募者は大学卒業後 1 年目に行う仕事に対して不合理な期待を抱いており、技術職市場全体とともに転職や燃え尽き症候群が続いています。 一方、大学、アクセラレーター、メンターシップ プログラムはこの市場機会に飛びつき、かつてないほど多くの「目的に特化した」人材を市場に送り込んでおり、多くの場合、「刺激的で儲かる」キャリアにおけるスキルに対する需要が急増すると約束しています。 人材市場は長年にわたり注目と投資を受けてきたことを考えると、修正の兆しを見せているはずだが、ほとんどの見方ではそうではない。

これはセキュリティにおける存在に関わる問題です。なぜなら、セキュリティ プログラムに斬新でより効率的なソリューションを提供する上でテクノロジが重要な役割を果たしている一方で、セキュリティ プログラムがそれらのテクノロジを評価し、投資し、運用できるかどうかは、適切なポジションに優秀な人材がいるかどうかにかかっているからです。 テクノロジーおよびセキュリティ ベンダーは市場を上回り、毎年大きな進歩を遂げていますが、そのためには人材の維持とテクノロジーの拡大への対応に苦労している顧客からのより大きな投資が必要です。 セキュリティベンダーが自社製品にバンドルされたマネージドサービスを提供するという継続的な傾向により、この懸念は緩和され、顧客向けのサービスを即時かつコスト効率よく運用化することで双方に利益をもたらします。 しかし、企業は依然として、こうした投資を合理化し、環境の変化に合わせて継続的にカバレッジを再評価するという課題を抱えており、たとえそれが完全にマネージド サービスで構成されたプログラムを管理する小規模なセキュリティ チームであっても、専門知識が必要となります。

「不健康なストレスを抱えて眠らないセキュリティリーダー」という不気味なジョークは今でも真実味を帯びていますが、睡眠を妨げるのは高度な脅威アクターやハリウッド映画のストーリー展開であることはめったにありません。 それは、チームが大丈夫かどうか、必要なものが揃っているかどうか、適切な人材が適切な役割を担っているかどうか、どのような新しい役割や人材が必要なのか、同業組織におけるチームの信頼性、幹部同僚に対するリーダーの信頼性など、人間的な質問です。 これはリーダーシップのコストであり、セキュリティ リーダーシップに限定されるものではありません。 これは市場の見方に反しており、セキュリティ リーダーが技術書やセキュリティ書よりもビジネス書や管理書を互いに推薦し合っているのをよく目にする、と私が言うと、人々は驚きます。 確かに、前回の話題になった侵害や、同僚が技術的な問題をどのように解決しているかについての議論もありますが、成功した新しいプロセス、チーム構造、またはコミュニケーション方法を共有することには、同等かそれ以上の興奮があります。

私たちには、セキュリティ スキルとリーダーシップの不足があり、セキュリティ人材の不足は広範囲に及んでいるわけではありません。 これにより、従来の 1% のセキュリティ プログラムのサイロだけでなく、すべてのビジネスで回復力を高めるために必要となる、セキュリティ人材市場の広範な調整が遅れています。 例えば:

  • 急速に成長しているエントリーレベルのセキュリティ人材のパイプラインは、リーダーがその人材を認識し、育成する場合にのみ、プラスの利益で活用される可能性があります。 これは、並行分野のキャリア初期から中期の専門家の多くが、キャリアをセキュリティ分野に転換することに関心があり、職場の成熟度が高まり、より幅広い人材プールが提供されることから、特に重要です。
  • セキュリティ プログラムは、ビジネスのコンテキストに合理化して成功を可能にし、成功に貢献できる場合にのみ、拡張を許可する必要があります。そのためには、特定の分野に精通したリーダーに通常期待されるよりも幅広いビジネス理解とコミュニケーション スキルが必要です。 これらの能力がなければ、プログラムとその有効性は制限されます。
  • 質の高い中級および上級レベルの個人貢献者は、ビジネス内で成功するためのビジョンを持ってプログラムを構築している共感力のあるリーダーに惹かれる可能性が高く、火事や誇大宣伝に反応してさらに別の「リスク受け入れオフィス」を構築するようなリーダーには惹かれないでしょう。 チームの仕事には多様な責任と年功序列が必要ですが、同時に若手人材を指導し、成長を支援することも必要です。 特にプログラムの規模が拡大するにつれて、セキュリティ リーダーはこれを単独で行うべきではありません。
  • セキュリティ組織が、人材の入れ替わりが激しくなりすぎずに、ジュニア、ミドル、シニアレベルの人材を維持できるようになれば、新たな機会が生まれます。 持続可能な組織は、組織が成熟して「1%」に近づくにつれて、高度な専門スキルを持つ人材を積極的にターゲットにし始めることができます。 applicationやクラウド セキュリティ、脅威の探索やモデリングなどのスキルを持つ経験豊富な実務者は、この幅広い人材育成によってそのような実務者が輩出されるまでは、引き続き不足し続けるでしょう。

過去 5 年以上にわたり、規制、オープンソースやクラウド、BYOD などのテクノロジー トレンドへの企業支出の急増、ランサムウェア ビジネスの急成長、企業のデータ管理者によるデータの不適切な取り扱いや危険な慣行の顕在化などにより、ビジネスにおけるセキュリティ リーダーの経営的役割が強化されてきました。 これは、注目を集めた企業および金融スキャンダルへの対応としてサーベンス・オクスリー法(SOX法)が施行され、経営幹部や役員室における財務リーダーの独自の視点が向上した後、企業が財務リーダーとともに進めてきた進歩を彷彿とさせます。 セキュリティ分野で制定された対策は、まだ SOX の厳格さには達していません。セキュリティとプライバシーの規制が世界的に拡大し続け、役員会の注目も高まっていることから、セキュリティ リーダーの進歩が続くのか、それともマクロ経済情勢によって企業がテクノロジーとセキュリティへの投資を再評価する中で、進歩が減速または後退するのかは、今後 2 年間で明らかになるでしょう。

歴史を繰り返すとすれば、企業のセキュリティと安全への投資は、その影響が通常は無相関であるにもかかわらず、市場状況と相関関係にあることが多いため、減速または逆戻りが起こる可能性が高い。 この非対称性の一例として、防御側の予算は会社の売上高や利益に応じて縮小しますが、これは合理的である可能性があります (受託者責任)。しかし、攻撃側の資金とインセンティブはそうではありません。 問題は、セキュリティ リーダーの役割の定義、企業の説明責任、個人の責任が公的に精査されている最中に、このような事態が起こるということです。 これらの質問に対する望ましくない回答によって減速や後退がさらに悪化し、セキュリティ リーダーの不足が悪化して、より広範なセキュリティ人材プールに波及した場合、一定数のセキュリティ リーダーが会社やその役割を辞めると予想するのは妥当です。 セキュリティ リーダーとその企業は、逆風が最も強いときではなく、今これらの課題について話し合うことで、セキュリティ リーダーの役割と組織がどのように進化するか、そしてそれがプログラムとその人材の持続可能性にとって何を意味するかを理解する必要があります。