総務省が平成30年に発表したレポートによると、2020年の日本のセキュリティ人材は約19.3万人不足するとされていますが、米国では31.4万人が不足していて、今後さらに不足が拡大すると予想されています。
www.ktvb.com
サイバーセキュリティ教育のための国家イニシアチブのデータによると、 現在、米国には314,000人のサイバーセキュリティ専門家が不足しており、2021年までに労働力不足は数百万人に増加すると予想されています。
(中略)
世界的に、サイバー犯罪のパターンはターゲットとして大規模なWebサイトに焦点を合わせなくなり、代わりに、ハッカーは中小企業により注意を向けています。
「トレンドの観点から私たちが見つけているのは、中核企業から中小企業へのターゲットの拡大です。また、より迅速で破壊的な攻撃も見ています。」
その理由の一部は、使用されるコーディングの種類の高度な洗練です。機械学習や人工知能などの技術は、オンラインの干し草の山にサイバー針を作成しています。
Inchは、4.2秒ごとに新しいマルウェアが作成されるため、これらの要因がすべて組み合わさって、誰かまたは何かが攻撃されたことを検出することがますます難しくなっていると述べています。
「統計は中規模から大企業までのものであり、違反の検出は約201日です」と彼は言いました。
これらの違反は、企業に毎年何百万もの損害を与えています。インチによると、2017年のサイバー犯罪による企業あたりの平均コストは1,100万ドルでした。現在、そのコストは平均で1300万ドルに増加しています。
(中略)
最も重要なことは、サイバーの脅威に関しては、最も重要な要因は認識であるとインチは言った。
「それは「私には起こらない」とは思わないでください」と彼は言いました。「あなたが攻撃されると仮定してください。「if」の問題ではなく、「when」の問題です。」
(KTVB.com記事より引用)※機械翻訳
◆キタきつねの所感
ニュース映像(英語)も見たのですが、HPの専門家が上記の内容、つまり米国のセキュリティ人材不足は深刻で、現時点で31.4万人不足していて、中小企業にも攻撃者の対象が移行している事、新しいAIや機械学習等の攻撃の多様化などで、さらに今後米国での人材不足が加速すると明言していました。セキュリティ人材不足は、深刻な問題ではなかった米国という印象があるのですが、状況は変わりつつある様です。
参考:【図解】日本企業”だけ”が「セキュリティ人材不足」と嘆く理由
日本のセキュリティ人材不足については今更言うまでもないかと思いますし、本業のセキュリティコンサルタントとして、ここ最近急に引き合いが増えている事からも実感していますが、今まであまり積極的にはセキュリティ対策を行ってこなかった、(名が知れた)日本企業も、ようやく重い腰を上げ始めてきている気がします。こうしたニーズに出来る限り応えようとはしているのですが、最近はそこまで高度な内容を求めます?(その予算感で・・・)と言う引き合い、つまり”受けられない”レベルの案件も増えつつあります。
個人的な感覚では、日本も自社で足りないセキュリティ人材を、外部リソース(コンサル)を含めての奪い合いが始まっている気がします。
先に結論(じみたもの)から書くと、先日の予想記事も挙げましたが、このままでは、
日本は海外に人材引き抜き合戦で負けます。
foxsecurity.hatenablog.com
そう思ったの理由は、元ソースにもう少しデータが載っていたからです。
米国のセキュリティ人材不足と引用された元ソースはCSIS(Center for Strategic&International Studies)が去年1月に出したレポートがこれに当たります。このレポート内容を少しご紹介すると、
www.csis.org
8か国のIT意思決定者に対するCSISの最近の調査では、雇用主の82%がサイバーセキュリティスキルの不足を報告しており、71%がこの人材ギャップが組織に直接かつ測定可能な損害を引き起こすと考えています。
CyberSeek、サイバーセキュリティ教育のための国家イニシアティブ(NICE)が資金提供イニシアティブによると、米国は1月2019のとほぼ314000サイバーセキュリティの専門家の不足に直面したコンテキストでこれを配置するには、国の総就業サイバーセキュリティの労働力だけです716,000。
求人情報から得られたデータによると、満たされていないサイバーセキュリティの仕事の数は、2015 年以降50パーセント以上増加しています。2022年までに、世界的なサイバーセキュリティの労働力不足は、180万人以上の空席に達すると予測されています。
(CSIS記事より引用)※機械翻訳
2019年1月時点で、米国では約71,6万人のセキュリティ人材がおり、約31.4万人のセキュリティ人材不足があるとされています。日本の総務省のレポートでは2020年予想で、日本のセキュリティ人材は約37万人(不足が19.3万人)です。人口が倍違う米国と日本ですので、ほとんど同じ様な状況である事がわかります。
全世界的にも2022年までに、180万人のセキュリティ人材不足が予想されている中で、米国が何を考えているのかと言えば、人材育成です。例えばボイシー州立大学では、セキュリティ人材育成を支援するオンライン認定プログラムに、アイダホ州から80万ドルの補助金を受けましたが、これは企業や組織のセキュリティ人材のニーズと、大学等の教育機関の教育との間にギャップがあると気づき始めたからです。
CSISレポートでは、以下の様に書いています。
サイバーセキュリティ内のほぼすべての職位に人員不足が存在しますが、最も深刻なニーズは高度な技術を持つスタッフです。2010年、CSISのレポート「サイバーセキュリティにおける人的資本の危機」は、米国は「すでに展開されているシステムを運用およびサポートするために必要な高度に技術的な人材が不足しているだけでなく、安全なシステムを設計し、安全なコンピューターコードを記述し、システム障害や悪意のある行為による損害を防止、検出、軽減、再構成するために必要な、さらに洗練されたツールを作成できます。」当時のインタビューでは、10,000人から30,000人の人員が必要だったのに対し、米国にはこれらの役割を担うスキルと能力を持つセキュリティスペシャリストが約1,000人しかいなかったことが示されました。
その報告から9年間、これらの課題は根強く残っています。2016年、CSISは、ITプロフェッショナルが依然として侵入検知、安全なソフトウェア開発、攻撃軽減などの技術スキルをサイバーセキュリティオペレーターの中で見つけるのが最も難しいと考えていることを発見しました。カリフォルニア州のビジネスに関する2018年の調査では、必要な技術スキルの不足が、サイバーセキュリティの候補者を採用する際に組織が直面する最大の課題の1つであることが明らかになりました。これらの課題は、ミッションクリティカルな職務にとって特に深刻であり、組織の3分の1以上が脆弱性評価アナリストの候補者の技術スキルの不足を報告し、雇用者の半数がサイバー防衛インフラストラクチャのサポート候補者の欠陥を報告しています。
(CSIS記事より引用)※機械翻訳
※米国がどんなスキルを教育機関で伸ばそうとしているかの詳細はここでは紹介しませんが、CSISレポート(英語)を見て頂くと、多くの気づきがあるかと思います。
しかし、専門教育の中身まで変えようとしている米国であっても、全世界的に専門スキルを持つ人材が不足する事態には(短期的には)対応できません。
そうなると日本を含む、高度な技術を持つセキュリティ人材、そして優秀なセキュリティ担当は、近い将来に米国やアジア圏の国々からのスカウト(引き抜き)が来る可能性がある、そんな時代の到来は案外早いかと思います。
そして、引き抜きがあった際は、待遇面で日本企業(組織)は海外企業に負けます。
現在セキュリティを担当している若手社員の方々は、人数が少なくてハードな業務をこなしている方も多いかもしれませんが、もうすぐ来るであろうグローバルの波を考慮して、自身のスキルを磨くと良いかと思います。
とは言え、単にIT知見があるだけの頭でっかちの人材は、海外企業から高い評価は受けないと思います。特化型の優秀なホワイトハッカー以外では、ITの専門(基礎)知見に基づいて、侵入テスト、安全なシステム設計、インシデント対応、セキュリティツール実装などの実地経験を幅広く身につけた人材であり、(語学力を含む)コミュニケーション能力、チーム適応能力、問題解決能力等のソフトスキルを持つ人材が高い評価を得られるかと思います。
米国では、イランへの攻撃を機に、国土安全保障省が企業や政府機関がサイバー攻撃に対して高い警戒態勢に入るよう警告を発しています。さらに11月の大統領選挙に向けて、サイバーセキュリティも(候補者の)議題となる動きもあり、良くも悪くも、セキュリティに注目が集まりつつあります。
National Terrorism Advisory System Bulletin - January 4, 2020 | Homeland Security
東京五輪を控え、日本もサイバー攻撃が激化する予想がありますが、日本でのセキュリティ人材育成に関しては、後手に回らない様に海外の動きもウォッチできる(※出来れば、英語以外のソースでも一次ソース確認する)事も能力に含めるべきかと思います。
本日もご来訪ありがとうございました。
更新履歴
