年々新たな手口が生まれ、高度化するサイバー攻撃を守る側の企業は、IT人材のスキルギャップに苦しんでいるという英国のデータが取り上げられていました。
www.infosecurity-magazine.com
国内の約68万の企業に、サイバーセキュリティを担当するスタッフがいて、政府のベストプラクティスであるCyberEssentialsフレームワークに配置された基本的なタスクを実行する自信がないことが明らかになりました。これには、個人データの保存または転送、構成されたファイアウォールの設定、マルウェアの検出と削除が含まれます。
3分の1(33%)は、侵入テスト、フォレンジック分析、セキュリティアーキテクチャなど、より高度なスキルのギャップを報告しましたが、同様の数(32%)は、インシデント対応にギャップがあり、機能をアウトソーシングしていません。
(Infosecurity Magazine記事より引用)※機械翻訳
キタきつねの所感
元ソースは、3/23に公開された以下の「Cyber Security Skills in the UK Labour Market 2021(英国の労働市場におけるサイバーセキュリティスキル2021)」の様です。
www.gov.uk
このレポートがユニークだと思う点が、企業側だけでなく、求人情報の分析や人材派遣会社の調査情報なども加味されている点です。こうした調査は日本でも実施してみると良いとは思う反面、怖くて一般公開できない(1人情シス等々の現実的な)データが出てきてしまう気もします。
英国のデータが必ずしも日本企業・組織に当てはまる訳ではないとは思いますが、個人情報の保護、FW設定やマルウェア検出・削除に「あまり自身が無い」「自信が無い」と回答する企業(担当)が3割程度という結果を見ると、さて日本は・・・と考えてしまいます。
サイバー攻撃に対する防衛では、セキュリティ対応では更に高度な、侵入テスト、フォレンジック分析、セキュリティ体制の再構築といった機能も必要となってきていますが、こうした機能が自社にあるのは3~4割程度。脅威分析やユーザ監視で半分をようやく超える程度というのが(英国企業の)現状の様です。
こうした不足しているスキルをカバーする為に、その役割をアウトソーシングする事も企業や組織の選択肢の1つですが、データで見る限り、アウトソーシングをしている所は少ない様です。
そう考えると企業の方向性としては、(人員の内部育成あるいは)外部から中途で人員を採用する事で不足するサイバースキルを埋める事を考えるかと思いますが、中途採用にも課題がある様です。
素晴らしい経歴を誇る中途採用のスタッフが、「評判通り」ではないというのは、英国だけでなく(そう言えばわが社でも・・)日本企業でも起こり得る事な気がします。
サイバーセキュリティセクター内でも問題があり、半数近く(47%)が、現在のスタッフまたは求職者が必要な技術スキルを持っていないという問題を経験したと述べています。3分の1以上(37%)が、2019年の初め以降の欠員を埋めるのは難しいと述べています。
(Infosecurity Magazine記事より引用)※機械翻訳
その推定原因について、Infosecurity Magazineの記事では以下の例を挙げています。日本でも徐々に『ジョブ・ディスクリプション(job description:職務記述)』型の職務や採用に変わっていく事が予想されていますが、ジョブ・ディスクリプションが当たり前の英国では、その制度が十分に機能しない場合がある事を示唆しています。
※ここでは多くを取り上げませんが、役職者採用での採用決定権者のバイアス(女性やマイノリティの評価が低くなる)も記事では取り上げられており、優秀な人材ベースで採用が行われていない事もこうした調査データに影響を与えている可能性がありそうです
「1つの例は、役割に必要なスキルと経験を誇張しすぎる非現実的で威圧的な職務記述書です。女性は 100%資格のある役割にのみ応募するのに対し、男性は資格の60%を満たしている場合に応募することを考えると、このアプローチは女性やその他のマイノリティグループを疎外する可能性があります。正確な職務記述書を提供するのと同様に、組織が採用したい人、実際に必要なスキルセット、応募者が受けることができるトレーニングなど、ポジションの基本を伝えることが重要です。」
(Infosecurity Magazine記事より引用)※機械翻訳
一方で、採用に際しての企業側の提示条件にも問題がある様です。
日本の求人サイトでもたまに見かける、ひたすら高度な必須(推奨)資格が並んでいて、全社のセキュリティの全ての責任を任せる事になりますが、給与は「当社規定」に基づき格安で・・・という様な募集に対して、6割の条件を満たしていればいいや、あるいは(能力が不足していると)バレルまで給与が貰えればいいやと考える応募者がいても不思議ではありません。
企業側も、応募者側もきちんとジョブ・ディスクリプションを理解し、採用面接においても、ギャップを確認する事にウェイトを置くのが、結果として企業の将来のサイバーセキュリティギャップを埋める事に繋がるのかと思います。
余談です。調査をしている時に見つけたのですが、日本を代表する企業のCISO募集(まだ募集中です)が気になりました。
ほう。CISOがコンサルを兼務する様になるとは・・・かなり違和感ありますが、まぁそういう人材の方も、アノ会社ならありえるかもなぁと思ったのですが・・・
別な募集もされていました。CISO・・・って2人目のCISOを同時募集ですか!(中身を見るとSOC担当の募集の様に見えますが・・・気のせいでしょう)
企業によってCISOの役割(定義)は違うものだとは思います。大きな組織では全社CISOだけでなく、事業部門(場合によってはサービス単位)でのCISOを立てる事もあるかと思います。
しかし元々CISOは、Chief Information Security Officer(最高情報セキュリティ責任者)とあり、Officer=役員(級)のポジションと考えるのが一般的な考え方です。
kotobank.jp
上記の会社は、全社CISO(グループCISO)を既に立てていたかと思いますので、CISO候補、あるいはCISO補佐といったポジション提示であるならば分からなくはないのですが、CISOの役割・権限・責任が無いポジションに対して「CISO」と募集要項に書いているのであれば、募集部門としては適切な表現ではない気がします。
当然の事ながら、その求められる能力も高いのが(海外の)CISOであり、例えば米国の求人で提示される給与は、過去の職歴、知見(学歴)等によって違いがあるものの、2,000万円以上が普通です。
※CISOは最低2000万とも昔から言われており、大型インシデント等を受けて著名な企業から現役CISO級の人材を引っ張る場合は、経営者(CEO)級の給与が提示される事もある様です。
参考:Chief Information Security Officer Salary | Salary.com
サイバーセキュリティ関係の中途(キャリア)採用に関しては、(将来の)企業のIT戦略にも影響する事を考えれば、日本企業や組織も、募集要項や面接まで、もっとミスマッチが起こりにくいプロセスを再考すべきかと思います。そして願わくば求めている人材に対して妥当な給与水準も提示できる様にならないと、海外企業に優秀な人材を取られてしまう(既に取られている)かもしれないと、改めて感じました。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
