AIはあなたのサイバーセキュリティの役割を奪うのか、それとも再定義するのか？

「AIはやってきており、いくつかの仕事を奪うだろうが、心配する必要はない。」

この見出しは、2016年にCSOで公開された記事の冒頭に掲載されました。9年後、その予測は現実に近づいているように感じられます。仕事が置き換えられるのか再定義されるのか、またサイバーセキュリティの専門家が心配すべきかどうかについて、より複雑なニュアンスを帯びながら、依然として議論が続いています。

1100人のISC2メンバーを対象とした調査（2024年2月発表）によると、サイバー専門家の56％が「自分の仕事の一部はAIによって不要になる」と考えています。しかし、AIによって完全に仕事が置き換えられると考えているセキュリティ専門家は、Cloud Security Allianceの調査によれば、わずか12％にとどまっています。

AIによる雇用喪失の問題はここ数年で加熱していますが、CrowdStrikeが500人のレイオフを計画している（全従業員の5％に相当）と最近明かしたことで、AI重視の戦略転換がさらに議論を呼んでいます。CEOのジョージ・カーツは5月にこの計画を全社向けの書簡で発表し、AIは「すべての業界を再構築している……採用曲線を平坦化し、フロントオフィスとバックオフィスの両方で効率化を推進する」と述べました。

CrowdStrikeは、今回の人員削減が技術系のサイバーセキュリティ職か事業部門の職種かを明確にしていません。また、同社はAIによる従業員の置き換えが目的ではないと否定しています。しかし、業界全体の他の主要なサイバー職でも、AIが雇用にすでに影響を与えている兆しが見られます。

サイバーセキュリティ職のデータ

ITトレーニングおよび認証団体CompTIAによると、米国のサイバーセキュリティエンジニア／アナリストの求人件数は、2025年4月から5月にかけて1,703件減少しました。セキュリティ人材紹介会社CyberSNは、45のサイバーセキュリティ職種の求人を複数年にわたり分析。そのデータによると、2023年から2024年にかけて以下の職種で求人が大きく減少しています：

• サイバーセキュリティソフトウェアエンジニア（-38％）
• IAMエンジニア（-26.5％）
• セキュリティアナリスト（-13％）

特定の職種の需要減少は「業界全体がAI主導のセキュリティ自動化へとシフトしている兆候」と、CyberSNの最高セキュリティ・技術責任者Dom Glavachはデータに基づくレポートで結論づけています。

CSO Onlineのインタビューで、CyberSNのCEODeidre Diamondは、ITアウトソーシングや不透明な経済状況下での人員抑制も求人市場の変化の一因だと指摘しています。しかし、彼女は特にAIによる置き換えの影響を受けやすいジュニア職種があると述べています。2022年以降、セキュリティアナリストの求人はほぼ53％減少しています。

「これはサイバー分野のすべてのエントリーレベル職の中でも最も初歩的な役割です。2022年には約68,600件の求人がありましたが、2023年には39,000件、現在は36,000件です。これほど大きな打撃を受けてそのまま低迷しているのはこの職種だけです。確実にAIの影響があると思います」とDiamond氏は述べています。

SOCアラートやアラートのトリアージは、これまでのところAIの最も一般的なサイバーセキュリティ用途の2つであり、今後12か月でジュニアセキュリティアナリストの需要を弱める可能性があると、アトランタ拠点のコンサルティング会社Adversarial Risk Managementの創業者Jerry Perullo氏は述べています。

「そこで影響が出始めるでしょうが、それはAIが既存の人を置き換えるというよりも、新たな人材を採用しないという形になるかもしれません」とPerullo氏は言います。「（置き換えは）確実に起こると思いますが、サイバー分野ではまだ起きていないと思います。みんなAIでまだR&D（研究開発）段階です。皆が実験している段階です」と、ジョージア工科大学の実務教授でもあるPerullo氏は付け加えます。

一部のサイバーセキュリティ職の需要が減少する一方で、業界におけるAIスキルの需要は高まっています。CyberSeekのデータによると、現在サイバーセキュリティ求人の10％がAIスキルを要件としており、2023年の6.5％から増加しています。まだAIをサイバーセキュリティに導入していない組織でも、セキュリティコスト削減のためにAI導入を検討する動きが広がっています。

サイバーセキュリティ人員削減への圧力

「AIの影響で、サイバー部門の人員を50％削減し、それでも同じレベルの管理、効果、リスク体制を維持するように言われているクライアントがいます」と、EYのグローバルサイバーセキュリティコンサルティングリーダーRichard Watson氏は述べます。

Watson氏がAIでサイバーセキュリティプログラムの一部を自動化した企業を調査したところ、年間中央値で170万ドルのコスト削減が見られました。Watson氏は、これらのコスト削減の一部はセキュリティ人員の削減ではなく、ソフトウェアの統合によるものであると指摘しています。また、AIをサイバーセキュリティに活用することで、人間のセキュリティチームがより反復的でない戦略的な業務に集中できるようになり、ビジネスに付加価値をもたらすとも述べています。AI自動化を活用しているサイバーセキュリティチームの中では：

• 76％が追加のサイバープロジェクトにより多くの時間を費やしている
• 63％が他のビジネス部門との協働により多くの時間を使っている
• 52％が自動化やAIのさらなるサイバーセキュリティ用途に時間を再投資している

このような数字を見れば、多くの組織がサイバーセキュリティにAIを活用または検討している理由も納得できます。

AIはサイバーセキュリティ職を置き換えるのか、それとも再定義するのか？

ジュニアセキュリティアナリスト以外にも、他のサイバー職がAIによって置き換えられる可能性はあるのでしょうか？

CompTIAのCEOTodd Thibodeaux氏は、フィッシングテストやペンテストのような業務はAIエージェントによって自動化される可能性が高いと述べています。ただし、彼はすぐにこう付け加えます。「（サイバーセキュリティの）仕事が一括して置き換えられるとは思いません。」

代わりに、Thibodeaux氏は一部のサイバー職が「人間が複数の異なるAIシステムを指導するような形に進化する」可能性があると予測しています。AIが人間のサイバーセキュリティ職を完全に置き換えるのではなく、エントリーレベルのセキュリティ職の内容や求められるスキルを再定義するだろうと述べています。

Thibodeaux氏とは異なり、Watson氏はレベル1のSOCアナリスト職は「最終的にAIによって消滅する」と考えています。しかし、AIによってサイバー分野のエントリーレベル職のスキル要件が引き上げられる点ではThibodeaux氏と意見が一致しています。「最初に淘汰されるのは、従来はキャリアの足掛かりとなっていた反復的な初歩的業務です。そのため、サイバーセキュリティ職に就くためのスキル要件は従来よりも高くなるでしょう」とWatson氏は述べます。

サイバー専門家がAIスキルを習得できるよう、CompTIAはSecAIという新たな認定プログラムを開発中です。このコースは、すでにサイバーセキュリティのコア職種で3～4年の経験を持つ人を対象としています。カリキュラムには、新たなサイバー脅威に積極的に対抗するための実践的なAIスキル、セキュリティ運用へのAI統合、AI駆動型攻撃への防御、AI倫理・ガバナンス基準へのコンプライアンスなどが含まれます。

CompTIAはSecAI認定を2026年第1四半期から提供する予定です。Thibodeaux氏は、このコースがサイバーセキュリティ職の応募者のAIスキルを標準化して評価する手段にもなるかもしれないと述べています。

AIがサイバーセキュリティのスキルギャップに与える影響

サイバーセキュリティ分野は何十年もの間、慢性的な人材不足とスキルギャップに悩まされてきました。AIはこの状況をある程度緩和する可能性がありますが、Watson氏は、人工知能の活用によってサイバー人材不足がこれ以上悪化するのを防いでいるに過ぎず、「過去2～3年で約400万件の未充足ポジションで安定している」と主張しています。

ISC2のレポートでは、AIが「世界的なサイバー人材ギャップを大きく埋めることはなさそう」だが、現職のサイバー専門家が「より複雑で価値の高い重要な業務に集中できるようになる」と述べられており、Watson氏のEY調査の結果と一致しています。

さらに将来を見据えて、Thibodeaux氏は、サイバーセキュリティ分野でAIによる大量失業が起こるという予測は誇張されているのではないかと疑問を呈しています。10年前の予測に反し、自動運転車技術が世界中のトラック、タクシー、バス運転手を大量に失業させていない事実を指摘しています。

「ビル・ゲイツの『短期的には物事を過大評価し、長期的には過小評価する』という言葉のようなものです」とThibodeaux氏は言います。「AIは進化しています。これらのサイバー職が完全に消滅するかどうかは分かりません。」

AIがますます多くの技術的なサイバーセキュリティ業務を担うようになる中で、Watson氏は、セキュリティ担当者が雇用価値を高める最良の方法の一つは、ビジネスリテラシーやコミュニケーションなどの人間的スキルを磨くことだと述べています。「役割は、パートナーやアドバイザーとしての側面にシフトしています。なぜなら、多くの技術が監視やトリアージ、隔離などを担うようになっているからです。」

Diamond氏も同様に、サイバーセキュリティ分野で最大の課題はAIではなくEQ（感情知能指数）だと主張します。「私たちのEQスキルや経営リーダーシップは、いまだに技術寄りであり、人間的なスキルが不足しています。」

Diamond氏は、2025年のRSAカンファレンスで行われた調査を引用し、サイバー専門家の44％が「有害な職場文化」にあると回答したと述べています。これは、AIや自動化では解決できない、あらゆるセキュリティチームにおける唯一の脆弱性かもしれません。