世界のセキュリティ人材不足の現状~海外拠点に潜むセキュリティリスクと、その対処法は?~
index
2023/10/17(※2025/08/7 追記)
近年過激さを増すサイバー攻撃に対して、世界中の企業でセキュリティ対策を強化する動きが活発になっています。企業がセキュリティを構築するうえで重要なのが「セキュリティ人材」の確保です。
セキュリティ対策においてセキュリティ人材は重要な役割を果たし、業界・業種・企業規模問わず求められる存在ですが、あらゆる理由から「セキュリティ人材不足」が起こってしまっています。
今回はセキュリティ人材に関する最新の世界動向から不足している理由、さらには不足している時の対処法などを解説します。IIJ編集部ならではの情報を記載していますので、ぜひ最後までお読みください。
セキュリティ人材とは?
「セキュリティ人材」とは、情報セキュリティの専門知識やノウハウを持っている人材を指します。企業・組織におけるセキュリティ対策の戦略立案や、社内システムの活用などのスキルが求められます。サイバー攻撃が進化し続け、企業のセキュリティを脅かしている昨今、セキュリティ人材は企業にとって重要な存在です。
セキュリティ人材をめぐる世界的な実態
世界のセキュリティ人材の動向は、世界最大のサイバーセキュリティ専門家資格の非営利団体であるISC2のレポートから概観できます。毎年、ISC2は「グローバルサイバーセキュリティ人材調査 ISC2 Cybersecurity Workforce Study」というレポートを発表しており、最新の2024年度版では「アジア太平洋地域・中東及びアフリカ地域で増加する一方で、アメリカなど欧米では減少している」とされています。
なお、レポートは「ISC2の調査対象範囲内でのサンプルベースでの推定であり、世界各国の実数とは乖離があること」に留意する必要があるものの、世界規模での定期的な検証においては一定の価値を見いだせるでしょう。そのため、今回は本レポートを参考としつつ、IIJ編集部が世界と日本のセキュリティ人材の最新動向について解説します。
(参考)グローバルサイバーセキュリティ人材調査 ISC2【2024年度版】
地域によってセキュリティ人材は増減しているが「人材不足」なのは共通
ISC2によると世界のセキュリティ人材の増減には大きなギャップがあるとされています。例えば、アジア太平洋地域では前年と比較すると3.8%増加している一方で、北米地域では2.7%減少しており、地域差が出てきているのが現実です。
| 地域 | 総人数(前年比) |
|---|---|
| アジア太平洋地域 | 997,068人(+3.8%) |
| 中東・アフリカ地域 | 431,302人(+7.4%) |
| ヨーロッパ地域 | 1,300,023人(-0.7%) |
| 北米地域 | 1,454,868人(-2.7%) |
| ラテンアメリカ地域 | 1,273,868人(-0.9%) |
北米でセキュリティ人材が減少している大きな要因として、各企業が「収益部門優先のリソース配分や全体的な人員削減を実施」していることが挙げられます。直接的な収益を生まないセキュリティ人材は削減対象となっていると考えられるのです。一方で、アジア太平洋地域で増加しているのは、新興国における経済の成長や急速なデジタル化・法規制の強化などの要因が絡んでおり、企業のセキュリティ対策への投資が増加しているからです。
世界全体としては「経済の停滞や組織のリストラが進んでいる一方で、セキュリティ対策及び人材確保のニーズは高まり続けている」ことで、セキュリティ人材の不足が課題になっているといえそうです。また、AI活用による人員再配置もセキュリティ人材の増減に関係していると考えられます。とはいえ、近年高度化・複雑化しているサイバー攻撃に対応するには、セキュリティ人材とAI技術を併用して対策する必要があるようです。
日本のセキュリティ人材不足は世界トップクラスで深刻
近年の日本の動向に関するISC2公式プレスリリース(2023年発表)によると、日本のセキュリティ人材は過去最多の増加傾向である一方で、いまだ需要と釣り合っておらず、現状はセキュリティ人材不足です。また、クラウドセキュリティのスキルギャップやAIに対する高度な専門知識不足によることも指摘されています。
しかし、そうした深刻な状況を改善するために、各企業でセキュリティ人材の確保と育成にリソースを割き、働き方を改善する動きがあります。様々なITサービスを提供しているIIJにもセキュリティ関連のお問い合わせは非常に多く、製造業のOT部門や教育・医療といった業界をはじめ、多くの日本企業に課題感と改善姿勢があることを実感するところです。
セキュリティ人材が必要なのに不足する理由
ISC2のレポートに則しながらセキュリティ人材の動向を概観してきたところで、続いてはセキュリティ人材が不足する理由にフォーカスして解説します。
一定レベルのセキュリティ人材が少ないため雇用コストが高くなりがち
セキュリティ人材は高度なスキルを求められ、さらに人材の絶対数が少ないことから雇用にかかるコストは比較的高いとされています。一般的な企業・組織の場合、限られたリソースの中でコストの高いセキュリティ人材に割く余裕がないのです。
人材育成・教育が難しい
高いスキルフルな人材の中途雇用ではなく、新卒社員をセキュリティ人材に育成する事も多くのリソースを割く必要があります。戦力になるセキュリティ人材の育成には一定の時間とコストがかかってしまうものです。また、仮に一定レベルに育っても、日々高度化するサイバー攻撃に対応するため継続的な教育が必要な点もハードルを高くしています。
人材確保に取り組んでいない
ISC2のレポートにあったように、セキュリティ人材の確保・育成の優先順位が低くなっているのも人材不足の切実な理由です。アメリカの各企業がセキュリティ部門よりも直接的に収益を生む部門(プロフィットセンター)にリソースを割くように、国内外問わずセキュリティ対策は軽視される傾向があります。
これまでグローバル企業のセキュリティ支援を数多く行ってきた我々だからこそ、その裏側を知る事もあるのですが、たとえ事業規模の大きい企業でも、グループ全体のセキュリティ・ガバナンスが不徹底な場合も珍しくありません。セキュリティ人材を取り巻くリアルな実情は深刻だと考えられます。
セキュリティ対策が不十分な時のリスク
つづいてはセキュリティ対策が不十分な時に生じるリスクについて解説します。様々なリスクがあるため注意が必要です。
セキュリティの脆弱性を攻撃者に狙われる
代表的なリスクとして挙げられるのが脆弱性を狙ったサイバー攻撃です。サイバー攻撃には以下のような種類と特徴があります。
【医療業界が狙われやすい】ランサムウェア攻撃
ランサムウェア攻撃とは「特定の組織の個人情報・機密情報を暗号化、その情報で身代金を要求する攻撃」で、近年非常に増加傾向にあるサイバー攻撃の代表例です。一度感染してしまうと社内システムが使えなくなり、最悪の場合は業務停止・休止のリスクや、企業規模によっては機会損失や訴訟など更なる被害を被る可能性もあります。
全業界で増加中のランサムウェア攻撃ですが、特に病院をはじめとした医療機関への攻撃が急増中です。病院は地域社会の重要な役割を担っており、業務の特性上から身代金要求に応じる可能性が高いため、ランサムウェア攻撃のターゲットになっていると考えられます。
ランサムウェア攻撃に役立つセキュリティ機能にはいくつかありますが、特に下記の2つは重要な役割を担うでしょう。
- 多要素認証(MFA):組織外からの不正アクセス防止に役立つ機能で、パスワード・生体認証といった複数の情報からアクセス認可する
- SSO(シングルサインオン):多要素認証とセットで導入されやすい機能で、複数の社内システム
上記のような機能はランサムウェア攻撃から守るために必要不可欠な機能であり、患者や医療現場の職員を守るためにも病院にはぜひ導入をご検討ください。
(参考)ゼロトラストとMFA(多要素認証)・SSO(シングル・サインオン)の関係
【製造業やグローバル企業は特に注意】サプライチェーン攻撃
サプライチェーン攻撃は「取引先やベンダーといったサプライチェーン上のつながりを悪用するサイバー攻撃」を指します。社内ネットワークセキュリティのガバナンスが不徹底なグローバル企業や、サプライヤーが多い製造業のOT部門や物流などの脆弱性をターゲットにします。事業規模の大きい企業が狙われることも多く、しかも巧妙な侵入によってネットワークに留まり続ける事もあります。重要な情報やシステムへのアクセス権を窃取されると、攻撃の発見が遅くなるため被害がグループ全体に及ぶことも珍しくありません。
(参考)サプライチェーン攻撃とは?ーその有効な対策としてゼロトラスト・セキュリティの実現手法も解説
サプライチェーン攻撃には「ゼロトラスト」と呼ばれるセキュリティ体制を構築することが有効です。ゼロトラストとは名前の通り「誰も、どこからのアクセスも一切“信頼しない”セキュリティ概念」で、従来のVPN(境界型セキュリティ)に代わる存在として注目を集めています。サプライヤーの多いグローバル企業や製造業のセキュリティ担当者の方は、こちらの「脱VPN」の記事で解説しているようなゼロトラスト体制の構築 を目指すと良いでしょう。
【教育業界をはじめ根強く発生中】マルウェア攻撃
マルウェア攻撃とは「ウイルス・ワーム・トロイの木馬といった不正プログラムの総称で、機密情報の窃取や遠隔操作などを目的にしている攻撃」です。感染経路はメールやUSB、ウェブサイトなど多岐にわたり、幅広い対策が必要になります。例えば教育業界ではリモート授業の普及によって、学生自身のPC・タブレットから学内ネットワークにアクセスする機会が増えていますが、セキュリティガバナンスの不徹底はマルウェア攻撃の入り口となり得るため、早急な対策が必要です。
マルウェア攻撃を防止するセキュリティ機能は様々なものがありますが、ファイアウォール・EDR・サンドボックスが挙げられます。これらの機能はそれぞれ異なる役割と特徴を持っていますので、組み合わせて利用することでより強固なセキュリティ体制を構築できます。併せて、学生にもセキュリティ機能導入を周知していくことが重要になります。
法的制裁や罰金
情報セキュリティ対策が不十分だと法的制裁・罰金のリスクが高まります。企業・組織が個人情報保護法やGDPR(EU一般データ保護規則)をはじめとした海外の法令違反をすると、厳格な罰金や制裁を科せられるおそれがあります。そのほか、データ漏えいやサイバー攻撃によって、何かしらの被害を被った個人・企業が自社に対して訴訟を起こす場合もあります。
社会的な信用失墜
同様に情報セキュリティ対策が不十分だと、社会的な信用を失うことにも繋がりかねません。サイバー攻撃が発生し、その情報がWebサイト・SNS上で公表されると、取引先企業・顧客などは機密情報が不正使用されているか不安になり、企業に対して不信感を抱くものです。「社会的な信用失墜」は例えば以下のような現象が生じます。
| 顧客離れ | サイバー攻撃・データ漏えいに伴い、顧客は自社・自分自身の情報を守るためにも取引・契約を中止します。特に氏名や住所といった個人情報、さらには金融情報などが漏えいした場合、顧客の信頼を回復するのが困難を伴うでしょう。新規顧客・既存顧客問わず「顧客離れ」が起きてしまいます |
|---|---|
| メディア報道・SNS拡散による社会的な非難 | サイバー攻撃が公表されるとメディアで報道されたり、SNS上で情報が拡散されます。上場企業や社会的に広く知られている企業ほど、情報の拡散は早く・広くなる傾向がありリスクを伴います。過去の不祥事が掘り返されることもしばしばあったり、実態の伴わない噂話も拡散されることもあるかもしれません |
| ブランド価値の低下 | 組織のブランド価値は日々の努力で積み重ねていくものですが、サイバー攻撃に伴うインシデント発生により、そのブランド価値を一瞬にして崩壊させてしまうかもしれません。セキュリティ事故は社会的な影響度が大きく、どれだけ優秀なブランディングを実施していても無駄になってしまいます |
セキュリティ人材が不足している時の対処法
セキュリティ人材が不足し、セキュリティ対策が不十分だと様々なリスクにさらされてしまいます。それではセキュリティ人材が不足している場合、企業は一体どのような対処を実施するべきなのでしょうか。最後にセキュリティ人材が不足している時の対処法を紹介します。
【即効性のある対処】業務委託・クラウドソーシングで人材を確保
セキュリティ人材を確保するために、社外の人材と業務委託契約を結ぶという方法です。セキュリティ人材を手軽に確保できる事が大きなメリットです。近年ではフリーエンジニアが登録しているクラウドソーシングサービスもあるため、採用・育成にかかわるリソースがないのであれば、雇用形態にこだわらず人材確保を検討することができます。なお、あくまで社外の人材のため、「社内システムのどこからどこまでアクセス許可するのか、業務範囲はどのように設定するか」などは予め決めておく必要があります。
【中長期的に有利】社内育成に力を入れる
自社内に教育体制が整っている場合は、社内のメンバーをセキュリティ人材として育成するのも有効な手段です。業務委託やクラウドソーシングの利用に比べると即効性は低くなりますが、中長期的に活躍してくれるセキュリティ人材を確保できるメリットがあります。研修やeラーニング、資格取得のためのガイダンスといったバックアップ体制を構築することでスキルを高め、より着実にセキュリティ人材を育成可能です。
【セキュリティ人材はいらない!?】マネージド型セキュリティサービスの活用
マネージド型セキュリティサービスの利用もおすすめです。既存のセキュリティソフトなどの運用・保守を外部に委任することで、セキュリティ精度を常に一定レベルで担保できるのが最大のメリットです。
同様にコスト面でもメリットがあります。セキュリティ人材を確保しようすると、社内登用でも採用・育成に際して相応のコストがかかりますが、マネージド型セキュリティサービスを利用により、人材確保よりも安価にセキュリティ体制を構築できる場合があります。
例えばIIJが提供しているIIJ Firewall Management Service(IFMS)は、導入済みのファイアウォールをIIJグループのセキュリティエンジニアがフルサポートする運用アウトソース型のファイアウォールサービスです。日本で長年培ってきたファイアウォール運用の経験と知見を活かして、海外拠点向けに運用サービスを提供しており、主に海外に拠点を持つグローバル企業や大手企業でご利用いただいています。「一定期間以上で活躍してくれるセキュリティ人材を確保したいが、採用・育成体制が整っていない」「海外拠点にセキュリティ人材が不在だが、障害発生時には速やかな復旧対応を行いたい」という場合におすすめのサービスです。
セキュリティ人材の不足はマネージド型セキュリティサービスで対処しよう
セキュリティ人材はセキュリティ体制を強固にするために必要ですが、様々な理由で人材確保が難しいこともあります。「セキュリティ人材を確保できないが、安定したセキュリティ体制を構築したい」場合は、マネージド型セキュリティサービスの利用の検討をおすすめします。
IIJが提供するIFMSは、自社で活用できていないファイアウォールを、IIJのプロフェッショナルエンジニアが適切に運用監視するサービスです。グローバル企業を中心にセキュリティ人材の不足が叫ばれているなか、手軽にセキュリティの要であるファイアウォールの運用ができる事で、業界業種問わずご好評いただいています。もしご興味がありましたら、IIJ編集部までお気軽にお問い合わせください。
