ベッキー・ブラッケン:こんにちは、そして「ダークリーディング・コンフィデンシャル」へようこそ。これはダークリーディング編集部によるポッドキャストで、サイバーの現場からリアルなストーリーをお届けします。
本日は、サイバーセキュリティの求人市場、タレントパイプライン、そして両者の混乱についてお話しします。自動化やAIが本格的に従来のエントリーレベルのアナリスト職を担うようになってきているからです。
ホストのベッキー・ブラッケンです。本日はダークリーディングの常連お二人をお迎えできてとても嬉しいです。お二人とも私たちのCISOアドバイザリーボードのメンバーです。フレッド・クォンさん(DeVry大学の副社長兼CISO)、そしてジェシカ・シカさん(医療機関向け請求プラットフォームWeave Communicationsのセキュリティ責任者)です。お二人ともご参加いただきありがとうございます。ようこそ。
ジェシカ・シカ:参加できて嬉しいです。
フレッド・クォン:ありがとう、ベッキー。
ベッキー・ブラッケン:さて、始める前に少しお話ししていたのですが、この話題は実は昨年の夏、チップスとサルサを食べながら始まりました。ダークリーディングのランチ会で、ジェシカが採用している職種や、タレントパイプラインがどのように変わってきたかについて少し話してくれました。ですので、ジェシカ、まずはその経緯や、そこから私たちが得られる教訓について説明してもらえますか?
ジェシカ・シカ:素晴らしい質問ですね。はい、この話はもっと深く掘り下げられると思いますが、AIはもちろん、あらゆる仕事の分野に影響を与えています。採用やリクルートの方法にも大きく影響しています。タレントプールにも影響しています。AIのせいで、私たちはもう全てのタレントプールを見ていないのではないかと思うこともあります。必ずしもトップタレントを見ているとは限らないと思います。
セキュリティの仕事には多くの需要があり、HRチーム自体も最初の履歴書をふるいにかけるためのツールを使っていますよね。500人の応募者を手作業で確認することはできません。そこには何らかの自動化プロセスが必要です。どんな規模の会社でも、どんな数のポジションでもAIを使うでしょうし、実際に使っています。インドのポジションには何千人もの応募者が来ますが、(すべてを)見ることはできません。
ですので、まず最初に話すべきことは、私たちは本当にすべての優秀な候補者を見ているのか?ということです。履歴書がAIの求めるものと一致しなければ、ふるい落とされてしまうかもしれません。
個人的には、セキュリティエンジニアやセキュリティアナリストを採用する際、良い履歴書が書けるかどうかは気にしません。AIのルールに合う履歴書が書けるかどうかも気にしません。そのルール自体、本人も分かっていないのですから。他に重視することがあります。
ですので、現行の採用慣行やトレンドに基づいて、最初にどんな人を見ているのかは私にとって大きな懸念事項です。
ベッキー・ブラッケン:本当に良い指摘ですね。では、結局のところ、HRに積極的に働きかける必要があるのでしょうか?それともAIが追いつくのを待つのでしょうか?どのように対処しましたか?正しいアプローチは何でしょう?
ジェシカ・シカ:まだ追いついていないと思います。AIが追いついているとは思いません。AIはおそらく良い応募者を常に見逃すでしょう。十分な応募者がいれば、正しい人材を見つけられるかもしれませんし、自分のネットワークや紹介に大きく頼ることもできます。夏に採用した人も紹介でした。もちろんHRプロセスを通じて来た他の候補者も見ましたが、現状では紹介ネットワークに頼るのがとても助けになると思います。
ベッキー・ブラッケン:素晴らしいですね。フレッド、これについてどう思いますか?
フレッド・クォン:ジェシカの言う通りだと思います。人間同士のやり取りは非常に重要です。新しい候補者や新しい仕事を探す際にも同じです。私はCISO仲間からの紹介を、単なる応募プロセスを通った人よりも重視します。紹介は重要です。ですので、応募者自身がネットワークを築くこと、関係を構築することが非常に重要です。特定の職種に推薦してもらえるように、あるいは少なくともその職種を見つける努力ができるように。そして、ジェシカが言ったように、AIやHRによるスクリーニングは常に候補者にとって課題でした。どうやって最初の門をくぐるか。特定の資格やキーワードが履歴書に必要で、それがシステムに引っかかって初めて選考に進める。だから今でも、どんなキーワードが求められているかを理解することは重要です。賢い応募者なら、求人票を見てどんなキーワードが必要か推測できるでしょう。今はAIがHRプロセスに介入しているので、双方向のやり取りになっています。
今は、自分自身を適切にスクリーニングし、AIのチェックやバランスをクリアする必要性が加速しています。そのためには、自分の履歴書をAIでチェックするのが一番です。キーワードを入れていますか?他のAIが見たいと思う内容を入れていますか?ChatGPTのようなものを使って、応募書類のスクリーニングを突破するのはとても良い使い方です。特に自動化や機械学習、AIに依存しているプロセスではなおさらです。
ベッキー・ブラッケン:興味深いですね。では、何か共有できるコツはありますか?例えばWeaveでセキュリティエンジニアになりたい場合、どんなキーワードを履歴書に入れるべきでしょうか?履歴書の書き方が上手いかどうかは気にしないとおっしゃいましたが、それ以外でどんな点を重視しますか?
ジェシカ・シカ:応募者がその職種に合わせて履歴書を作成するなら、まずは求人票を見るべきですが、それだけでは不十分な場合もあります。会社のウェブサイトも見て、チームの他のメンバーをLinkedInで探し、彼らのスキルを確認し、自分がどのようにその環境に合うかを考えます。そしてフレッドが言ったように、自分の履歴書をAIに通してみることです。
目立ちたいなら、マネージャー側の工夫も話しましたが、応募者側ができることは、求人票、会社のウェブサイト、自分の履歴書をAIに入力し、「この会社で目立つにはどうすればいいか」と聞いてみることです。きっと良いアドバイスが返ってきて、AIが履歴書で探しているキーワードなども分かるでしょう。何もしないよりは確実に有利になります。
ベッキー・ブラッケン:どうぞ、フレッド、何か付け加えたいことがありそうですね。
フレッド・クォン:いえ、まさにそれがスクリーニング機能の本質です。パターンマッチングをしているのです。今はその上にAIが重なり、特定のスキルセットやツールとのマッチングを助けていますが、より幅広いバックグラウンドも見ています。人事担当者は、履歴書以外で候補者が何を持っているかも見ています。AIはインターネット上でその人がどこにいるかも調べます。
ネット上で何が見つかるか、FacebookやLinkedIn、Instagram、Twitterなども見ます。AIの強みは、履歴書以外の追加データポイントも組み合わせることです。ですので、就職活動中の方は、自分がネット上でどんな情報を発信しているかを確認しましょう。それが応募先のカルチャーと合っているか。合っていなければ、ネット上の情報を削除する必要があるかもしれません。完全に消すのは難しいですが、投稿内容などを少し整理して、自分をより良く見せる工夫が必要です。
ベッキー・ブラッケン:とても良い指摘ですね。今や企業は高額なバックグラウンドチェックに投資しなくても、ボタン一つであなたの全体像を把握できるでしょう。次に、サイバー分野への新規参入者がどのように経験を積むかという話題に移りたいと思います。かつて労力がかかり大変だったTier1 SOCアナリストの仕事は、サイバー業界を学ぶ絶好の訓練の場でもありました。それらが自動化やAIによってなくなっていく中で、どうやってそのような経験を積めばよいのでしょうか?
フレッド・クォン:この話題は私から始めましょう。大学では「サイバー・レンジ」というものを学生に提供しています。これは学生が実際のツールを使って演習を行い、実践的な知識や経験を得るためのものです。キャプチャ・ザ・フラッグや脅威シミュレーション、スレットハンティングなど、サイバー・レンジを通じて実践的な経験を積みます。
もし自分の大学にそういったものがなければ、インターネット上にあるキャプチャ・ザ・フラッグや演習プログラムに参加することもできます。それらはスキルを磨くのに役立ちます。また、インターンシップも非常に重要です。学業と並行してできるだけ多くの実務経験を積むことが大切です。
ジェシカ・シカ:教育について少し言わせてもらいますが、大学やプログラムに通うだけでは十分ではないかもしれません。フレッドが言ったように、実践的な部分が本当に大切です。昔は自分でラボやホームネットワークを作り、壊しては作り直す、DEFCONの自学自習型ハッカーのような人が多くいました。今はブートキャンプやセキュリティプログラムが増えましたが、それだけでは経験としては不十分です。自宅で実践的なことをやると、将来の雇用主に本気度や深掘り力を示せます。エントリーレベルのSOC職が取れなくても、自分でネットワークを構築し、壊して再構築し、ハッキングしてみる。そういった自宅での経験が役立ちます。資格も知識の証明にはなりますが、実践的な深みは自宅での取り組みで得られます。教育以外でも自分でやっている人の方が私は採用したいです。今は「セキュリティは成長分野で稼げるから2年制プログラムに通って就職しよう」という人が多いですが、
それは本当に得るべき経験ではありません。それはあくまで基礎であり、経験そのものではありません。
ベッキー・ブラッケン:それはとても興味深いですね。最近よく耳にするテーマです。ハッカー精神をサイバーセキュリティに再注入するという考え方、特にエンタープライズ分野で。まさにあなたが言っているように、できるときは「追跡のスリル」「仕事のスリル」を楽しむことが大事という感じですね。
ジェシカ・シカ:そうです。フレッドはどうか分かりませんが、今は「需要があるから」「稼げるから」という理由でセキュリティに入る人が多すぎます。実際にそう言われたこともあります。でも情熱がなく、お金目当てなら、正直に言ってくれても私は次の人を選びます。
フレッド・クォン:同感です。また、どの分野のセキュリティに関わりたいかによっても違います。セキュリティには多様な職種があります。ITと同じくらい幅広いです。ネットワークエンジニア、システムエンジニア、DBA、プログラマーなど。セキュリティも同様で、ペンテスター、SOCアナリスト、アーキテクト、GRC(ガバナンス・リスク・コンプライアンス)、セキュリティ教育、営業など様々です。自分がどの分野に興味があるかを見極め、その分野の経験を積むことが大切です。例えばペンテストに興味があるなら、ペンテストコースやOSCP資格を取得するのが良いでしょう。GRCを目指すなら、インターンシップで実務経験を積み、脆弱性評価やサードパーティ評価などを学ぶ必要があります。実践経験がないとGRCの知識は身につきません。教室でも理論的な評価はできますが、実際に組織のセキュリティレベルを評価する実務も必要です。
ベッキー・ブラッケン:お二人の話を聞いていると、AIや自動化への対応はとても人間的なものですね。ネットワークを作り、人と会い、チームの人を調べ、実践的な経験を積む。むしろ「人間らしさ」が解決策になっているのが面白いですね。
ジェシカ・シカ:本当にそうです。
フレッド・クォン:もう一つ付け加えると、今この分野に入る人は、AIがセキュリティの仕事にどう影響するかを理解し、その知識を身につけることで他の人より有利になります。例えばSOCアナリストを目指すなら、学校で学び、資格を取るのも良いですが、その仕事や機能を助けるAIエージェントを作れるなら、それは大きな強みです。自分のスキルセットが2倍3倍になります。他の応募者よりも多くの価値を会社に提供できます。例えば「脅威ハンティングができる」だけでなく、「AIを使って脅威ハンティングができる」と言える人は、より早く結果を出せます。AIを活用してエージェントを作り、仕事を助けることが非常に実用的です。さらに、そうしたスキルを学ぶことでAIのセキュリティも理解できるようになります。これは今、皆が学んでいる新しい分野です。
AIを従来のデータガバナンスとどう違う形で扱うか、何が必要か。そういった新しいスキルを持ち込めれば大きなアドバンテージになります。
ベッキー・ブラッケン:ジェシカさん、履歴書を見るときもそういう点に注目しますか?
ジェシカ・シカ:はい、間違いなく注目します。私たちの世界は変化しています。応募してくる人がその変化についていけないなら、その人は採用したくありません。逆に、適応力や成長意欲、学習意欲を示している人は魅力的です。それから、もしエントリーレベルの仕事がなくなっているなら、他の分野で経験を積む方法もあると思います。必ずしもセキュリティやITに特化していなくても良いのです。
例えばQAテストの仕事は、問題を見つけて解決する能力を示せます。これは中堅セキュリティ職やヘルプデスクへのステップアップにも役立ちます。私自身も昔はヘルプデスクから始めました。確かに役立ちました。他にも経験を積む方法はあります。
例えばコールセンターの仕事も、技術的でなくても良い基礎になります。テクニカルサポートに進みたい場合は特にそうです。ですので、少し発想を広げて、いきなりセキュリティ職に就けないからと諦めず、どんなスキルが求められているか、関連する仕事でスキルを磨けないかを考えることも大切です。
フレッド・クォン:まったくその通りです。ジェシカが言ったように、私もヘルプデスクからキャリアをスタートしました。まさに戦友ですね。重要なのは、すべての人に合うエントリーレベルのセキュリティ職が十分に存在しているという期待は現実的ではないということです。
ジェシカ・シカ:その通りです。
フレッド・クォン:エントリーレベルのセキュリティ職は非常に少ないのが現状です。ですので、ジェシカの言うように、まずは組織に入るために他の仕事をして、そこからセキュリティに転向するのが現実的です。例えばヘルプデスクやデスクトップサポート、あるいはGRC志望なら内部監査など。組織内で自分の才能をアピールし、セキュリティに移る道を作ることが重要です。
ベッキー・ブラッケン:でも、エントリーレベルのセキュリティ職がなく、他分野で人材を育ててからセキュリティに転向させるなら、いずれ人材不足に直面しませんか?業界の成長や自前の人材育成に支障が出ませんか?
フレッド・クォン:まさにその通りです。私が同業者と話す際に推進しようとしているのは、ジュニアレベルの職種を設けてパイプラインを育てるという考え方です。今、多くの企業はAIによる自動化や人員削減に注力しています。特に下位レベルの職種で。
ジェシカ・シカ:ええ。
フレッド・クォン:その結果、特に米国ではパイプラインにギャップが生じています。もともと下位レベルの仕事はアウトソーシングされがちですが、そこにAIが加わることで、次のパイプラインはどこから来るのか?どうやって将来のセキュリティリーダーや上級人材を育てるのか?私たち全員が自分の組織でそうした職種を推進し、セキュリティ業界のパイプラインを構築する責任があると思います。
ジェシカ・シカ:フレッドの言う通りです。自分たちの組織でジュニア職を作り、そのポジションを守ることが大切です。そうしないと、将来の人材プールにとって大きな問題になります。エントリーレベルからミッドレベルに飛び級しなければならなくなります。AIやアウトソーシングでその間の職種が消えてしまうからです。これは今後ますます顕著になるでしょう。AIがすべてのエントリーレベルSOCアナリスト職を置き換えるわけではありませんが、大企業で50人のエントリーレベルSOCアナリストがいれば、その半分はAIに置き換えられるかもしれません。5年後には5人しか残らないかもしれません。そうなると職種が大幅に減ります。組織内で成長の道筋を作ることが業界全体にとって重要です。インターンシップもあまり多くありません。どこかで学び、成長できる場が必要です。セキュリティリーダーがその道筋を作らなければなりません。
フレッド・クォン:そうですね。
ベッキー・ブラッケン:確かに大変なことです。スキルを得るために無給のインターンシップで働き、自宅でネットワークを構築するのも安くはありません。新卒や若手には大きな負担です。
ジェシカ・シカ:本当にそうです。
ベッキー・ブラッケン:さて、今後どうなるのでしょうか?エントリーレベルの職種を作ることに成功すると思いますか?それとも他分野から人材を育てる必要があるのでしょうか?今後2~5年でどうなっていくと思いますか?
どなたでも構いません。簡単な質問ではありませんが。
フレッド・クォン:一つは、やはり創造性が求められるということです。私の組織でもエントリーレベルの職種を作るのはとても難しいです。そもそもポジション自体が少ないです。ですが、サードパーティと連携してパイプラインを作ろうとしています。例えば「インターンシッププログラムを作ってほしい」「必要ならその分請求してもいい」と伝えています。
自分のアカウントで働いてもらい、経験を積んでもらう。DeVryの学生にも経験を積んでもらう。
多くの企業がSOCをMSPにアウトソースしていますが、そうしたサードパーティと連携し、「人材育成も契約の一部にしてほしい」と伝えています。多少コストが上がっても構いません。パイプライン構築に貢献できるからです。大企業で内部SOCを持っていた経験もありますが、そこでも課題は同じです。人材を育てても、1年で他社に30K高い給料で引き抜かれてしまう。これは全員の課題で、今後も続くでしょう。魔法の解決策はありませんが、創造的に人材を育てる方法を考え続けるしかありません。
ベッキー・ブラッケン:そうですね。ジェシカさんはこの難題がどう展開すると思いますか?
ジェシカ・シカ:フレッドの話に付け加えることはあまりありませんが、もしかすると、より専門的なエントリーレベル職を作る必要があるかもしれません。例えばSOCアナリストでなくても、AIツールを扱う特定の職種などです。AIプロンプト業務など、低レベルから高レベルまで様々なポジションがありますが、低レベルのポジションも確実に存在します。
今は存在しない新しい職種を作り、今後2~5年でセキュリティ分野に入る人の道筋を作る必要があるかもしれません。
ベッキー・ブラッケン:今日のお話はとても考えさせられる内容で、良いアドバイスもいただきました。もし一つだけアドバイスを残すとしたら、今まさに少ない職種を狙って頑張っている人に、まず何をすべきだと伝えますか?ジェシカさん?
ジェシカ・シカ:わあ、最初に答えるのですね。
ベッキー・ブラッケン:すみません。人脈作りのために団体に入るべきですか?AIに履歴書を見てもらうべきですか?今日できることは何でしょう?
ジェシカ・シカ:そうですね。
いくつかありますが、一つ選べと言われても、いくつか挙げます。ITの基礎を学ぶこと。ネットワークの仕組みやITの基礎を理解せずにいきなりセキュリティに入ろうとする人が多いですが、それを理解していると市場で差別化できます。これは大きなポイントです。他の人から学び、ネットワークを広げることも重要です。
ベッキー・ブラッケン:素晴らしいですね。
ジェシカ・シカ:団体に入るべきか?カンファレンスに行くのも良いでしょう。低コストのカンファレンスもあります。DEFCONやB-sidesなど。費用はかかりますが、数千ドルではなく数百ドル+交通費程度です。カンファレンスに行くことで、業界への情熱を示せますし、人脈も作れます。人脈が広がれば、採用情報を得る機会も増えます。知り合いがいればAIのスクリーニングを通さずに採用される可能性も高まります。
ネットワークが広いほど、チャンスも増えます。
ベッキー・ブラッケン:素晴らしいアドバイスです。フレッドさんはいかがですか?
フレッド・クォン:もう一つ加えるなら、ボランティア活動です。多くの素晴らしいボランティアの機会があります。地域の非営利カンファレンスなど、シカゴにもたくさんあります。受付など簡単な仕事でも、参加者全員と会うことができます。
それだけでなく、採用担当者やCISO、ディレクター、同僚のアナリストとも知り合えます。彼らからキャリアの始め方や求人情報を得られるかもしれません。やはりネットワーク作りが大きなポイントです。そしてジェシカが言ったように、
自宅でパッションプロジェクトを作ること。学びたいことを見つけて作り上げてみてください。大きな費用はかかりません。
例えばAWS(Amazon Web Services)のクラウドでミニラボを格安で作ることもできます。今はAI分野でも無料のコースがたくさんあります。
それが重要なのは、努力する意志を示せるからです。採用担当者が知りたいのは、経験がなくてもどれだけ情熱があり、自己成長に努力しているかです。セキュリティ業界の良い点でもあり悪い点でもありますが、常に新しいことを学び続けなければなりません。
私自身も今でも学び続けています。20年以上この業界にいますが、今後も学び続けなければ現役でいられません。もし学び続ける情熱がなければ、この分野は向いていません。セキュリティのキャリアは一生学び続けるものです。それが現実です。
ベッキー・ブラッケン:お二人とも本当にありがとうございました。素晴らしいアドバイスでした。セキュリティ分野以外の人にも役立つ内容だったと思います。フレッド・クォンさん、ジェシカ・シカさん、本日はダークリーディング・コンフィデンシャルにご参加いただきありがとうございました。これはダークリーディング編集部によるポッドキャストで、サイバーの現場からリアルなストーリーをお届けしています。
私はベッキー・ブラッケンでした。また次回お会いしましょう。
翻訳元: https://www.darkreading.com/cybersecurity-operations/ciscos-get-real-about-hiring-age-ai
