Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セキュリティ人材の離職を防ぐためには

日経新聞の2017/11/23に「供給不足の米セキュリティ人材、離職率も高かった」という記事があった。日本でも対外の火事という訳でもないので、少し考えてみた。

www.nikkei.com

調査は8~9月に約300人のセキュリティー専門人材を対象に実施した。この分野の経験が5年を超える人が4分の3を占め、11年超の人も35%に上った。対象者の回答から、明確なキャリアパスの欠如ストレスと燃え尽き症候群業界全体の文化を変える必要性という、人材維持に大きな影響を与える3つの重要な要素が浮き彫りになった。こうした問題に手を打たなければ、どれほど人材を供給し続けても、人材不足は深刻化するばかりだ。(日経新聞

記事ではセキュリティ担当が会社を辞める理由として3つの観点を挙げている。

前職を辞めた理由として進歩や成長がないと答えた人は半数以上に達し、業界自体を去った理由としてこの点を挙げた人は20%近くに上った。

システムをお守りする人・・・売上に貢献しないくせにお金を使っている部門・・・今でこそCSIRTやCISO等がよくやく用語として知られるようになったが、出世は営業部門、情シス部門は子会社で1ランク下・・そんな環境で明確なキャリアパスを描けない人は日本でも非常に多そうです。

三井住友カードのジョブローテーションの制度は参考になる気がします。

www.itmedia.co.jp

燃え尽き症候群(32%)やストレス(28%)も離職の主な理由に挙がった。業界を移ろうと考えている人の間ではこの比率はさらに高く、それぞれ40%、30%だった。

システムを日中帯に止められないので、夜間作業をローテーションで行っていたり、緊急時の駆けつけなど、特に保守系の人は、メンタルをやられて休んだり・辞めたりした話は私の身近でも結構見聞きします。人を増やすのもそうですが、ワークライフバランスという観点で、組織的にもケアしなければいけない部分かもしれません。

少し前に日本シーサート協議会10周年セミナーでLACの方とお話しました。ちょうどSOCセンタのリニューアルがあった後だったのですが、どうしてSOC環境を変えたのかをお聞きしてみたところ、暗い所でずっと作業をしていると気が滅入る、、、との内部の声があったのも要因の1つだったと教えて頂きました。こうした封鎖環境についても考えることが重要になったきたのだと感じます。

www.lac.co.jp

  • 好ましくない文化

サイバーセキュリティーはイメージの問題も抱えている。回答者の多くはテレビや映画からイメージするパーカーを着た10代の子どもではなく、31~40歳の大人だった。

女性回答者のうち、専門家カンファレンスで何らかのレベルの差別を受けたことがあると答えた人は85%、何らかのレベルのハラスメントを受けた人は半数以上に上った。男性ではカンファレンスで差別を感じたことがある人は36%、ハラスメントを受けた人は31%だった。

サイバーセキュリティは、一般イメージが悪いということでしょうか。年代については米国と日本は似ているかも知れません。男性で30代+位の方がセミナー等々でお会いする率が高い気がします。ハラスメントは・・・気をつけなけばならない課題かとは思いますが、米国程に(まだ)深刻ではない気もします。

 

記事では、こうした現状をかんがみ、以下の提言をされてました。

こうした変化だけでは、サイバーセキュリティー業界の人材慰留の問題は解決しないだろう。リーダーは公私を問わず様々な場で、差別撤廃の重要性や燃え尽き症候群への対応について発言し、変化を促すべきだ。変化に拍車をかけるため、ベテランの専門人材が社内やソーシャルメディア、カンファレンスなどに積極的に関与し、熱意を示すことも必要だ。既に取り組んでいる人も多いが、この機運をさらに高めなくてはならない。

 

私も微力ながら、諸々発信していけたらな、と思います。

 

 

ハッカー・ネットワーク犯罪のイラスト(セキュリティー)