未来を確かなものに:サイバーセキュリティ準備状況調査レポート
第6章:人材不足
多くの企業にとって、サイバーセキュリティの人材不足は、増大する脅威に備え防御する能力に大きな影響を与えています。最近の調査では、人材不足がセキュリティ対策の主な課題であると回答した割合は60%に上ります。
サイバーセキュリティ専門家の需要は、供給を大幅に上回っています。ISC2が2022年に行った調査によると、全世界で約340万人のサイバーセキュリティの専門家が不足しています。これほど大量の専門家不足になっているのはなぜでしょうか?一番の理由は、サイバーセキュリティの脅威の数と種類が増大していることです。企業は、セキュリティの傾向を特定し、脅威対策に適切なソリューションを実装して、今後そのソリューションを管理するために、より多くの人員を必要としています。
興味深いことに、企業が実装したセキュリティソリューションの数は、組織が人材不足を報告するかどうかに大きな影響を与えないようです。セキュリティソリューションが多い企業の方が、技術人材不足の問題をほんのわずかに深刻に感じています。調査によると、15以上のサイバーセキュリティソリューションを使う企業の65%が人材不足を訴えていました。一方、ソリューション数が15未満の企業の60%も人材不足を報告しています。つまり、企業はどれだけ多くのソリューションを導入しても人材不足を感じているのです。
しかし、企業が採用するソリューションのタイプによって、資格を有するチームメンバーを見つける能力が影響を受ける可能性があります。セキュリティチームがより専門的なツールを導入するにつれ、そのツールを管理するための専門スキルを持つ人材をますます求めるようになります。例えば、セキュリティチームが複数のクラウドプロバイダーからツールをデプロイするとしましょう。各ツールにいくつかの共通点があるとしても、それぞれが独自のイン��ターフェースやワークフローを持っている場合があります。そこで、チームは適切なスキルと経験を持つ人材を見つけようとします。
全体的な人材不足を考えると、多くの企業では、正確に適切なスキルセットと経験を持つ人材を採用することに焦点を絞るのではなく、新入社員や既存の人材を訓練する方が利益になるでしょう。トレーニングプログラムを確立することも、長期的にアジリティを高めるのに役立ちます。脅威が進化するにつれ、セキュリティチームは、既存の人材が迅速に最新の技術と戦略に対応できるようにするための手順を確立する必要があります。
人材不足は深刻な影響につながる可能性があるため、人材不足に対処することは重要です。人員不足の企業では、54%が過去12か月間に10件以上のセキュリティインシデントが発生したと回答しています。もちろん、セキュリティインシデントが全体的に多い環境では、人員を増やすことで万事解決するわけではありません。人員が十分にいる企業でも、47%が過去1年以内に10件以上のセキュリティインシデントを経験しています。
大半の企業には、スキルと経験が豊富なサイバーセキュリティプロフェッショナルの供給に影響を与える能力がありません。また、予算が常に悩みの種であるため、他社からプロフェッショナルを採用できる企業はほとんどありません。
しかし、企業には、人材不足の影響を最小限に抑えることができるように、セキュリティおよびセキュリティ業務へのアプローチを修正する能力があります。トレーニングにより注力すれば、特定�のスキルセットを持つ人材を探す必要性を減らすことができます。また、組織のセキュリティ文化を強化することで、人材採用のプレッシャーをある程度緩和できます。
セキュリティに対し、より包括的なアプローチを採用することも重要です。さまざまなポイントソリューションの代わりに、単一の統合プラットフォームを導入することで、セキュリティチームは、人員リソースに負担をかけることなく、IT環境のコントロールと可視性を高めることができます。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
記事の要点
この記事では、以下のことがわかるようになります。
4,000人以上のサイバーセキュリティ専門家による調査結果
セキュリティインシデント、準備、結果に関する新たな知見
CISOがその組織のために将来の安全を保護し、より良い成果を達成するための考察