サイバーセキュリティ業界は、長年にわたり人材不足とスキルギャップと闘ってきました。一方で、組織にはリスク管理に対して、より先回りして、より効果的に取り組むための新しい方法が必要です。AIはその両方に対する明確な答えに見えます。
募集中の技術職は減少傾向か横ばいである一方、AIスキルへの需要は急速に高まっています。これは構造的な変化であり、今日では自動化がもはや任意ではないことを示しています。現代の脅威のスピード、規模、複雑さはすでに手作業のプロセスを上回っており、追いつくための現実的な手段はAIしかありません。だからこそ、AIを武器にした人間は非常に強力な組み合わせになります。スピードと精度の必要性に、熟練人材の不足が重なり、私たちはサイバーセキュリティのワークフローを見直さざるを得ません。AIエージェントは大量で反復的なタスクを引き受け、膨大なテレメトリの流れを継続的に分析し、環境をまたいでシグナルを相関させ、本当に重要なリスクの「ひと握り」を浮かび上がらせます。干し草の山から針を見つけ出すのです。
テックおよびサイバーセキュリティ分野で約30年にわたるキャリアの中で、私はあらゆる技術的シフトが労働力をどのように再定義するかを目の当たりにしてきました。AIブームは単に最新のサイクルにすぎません。何世紀も前には、石板に原稿を彫り込むことが誰かの仕事だったはずです。インクと紙が発明されると世界は進化し、労働力は変わり、私たちは皆生き延びました。短期的には、新技術の導入が一部の職種の需要を減らすかもしれません。しかし時間の経過とともに、AIによる生産性向上は企業の成長を助け、これまで存在しなかった新しい職種を生み出します。私たちはすでに、モデル評価、オーケストレーション、AIセキュリティといった、まったく新しい分野が生まれているのを目撃しています。短期的には、リスキリングしなければ職を失う人もいるかもしれませんが、最終的には労働力が適応しなければなりません。
しかし、新しい分野に専門性を持つ人がいないのに、組織はどうやってAI関連の職種を埋めればよいのでしょうか。これらの職種は、AIライフサイクル全体にわたる経験—データ調達、学習、評価、デプロイ、監視—に加え、攻撃者がアプリケーションではなくモデルを狙うときにそれらのシステムを防御する判断力を必要とするため、採用が困難です。チュートリアルで身につくものではありません。AIシステムを本番環境に投入し、攻撃を受け、統制を反復して磨くことで得られるものです。 デロイトの分析は、このパラドックスを簡潔に示しました。運用を加速させるそのAIこそが、シャドー利用、エージェントの自律性、データ漏えいリスクをもたらし、能動的にガバナンスしなければならないのです。
良いニュースがあります。CISOはすべてを直す必要はありません。すべてが重要なら、何も重要ではありません。最も効果的なサイバーセキュリティプログラムは、ビジネスにとって最も重要なリスクを減らすことに集中します。リスク・オペレーション・センター(ROC)は、まさにそれを実現する枠組みを提供します。リスク要因を統合し、ビジネス主導の優先順位付けを適用し、是正をオーケストレーションします。セキュリティ・オペレーション・センター(SOC)が、インシデント発生時の分析と適切な対応により重点を置くのに対し、ROCは、事業に壊滅的なサイバー事象が起きるリスクを低減するための、先回りした将来志向のアプローチを取ります。そしてエージェント型AIは、脅威の優先順位付けを自動化し、組織固有のリスク姿勢に沿った是正戦略を導くことで、リスクのオーケストレーションを次のレベルへ引き上げます。AIネイティブなROCは、組織を反応的な火消しから先回りのリスク管理へと移行させ、セキュリティがAI主導のイノベーションに遅れないようにします。
真実はこうです。サイバーセキュリティで私たちが行うことはすべてリスク管理です。ROCはセキュリティだけのものではありません。CISO、CIO、CFO、事業部門のリーダー、取締役会を、単一のリスクビューのもとで結びつけ—優先事項の橋渡しをし、意思決定を整合させ、事業全体に説明責任を生み出します。取締役会はROIとレジリエンスを同時に最適化しています。AIの生産性向上の恩恵を認識しつつも、セキュリティリーダーには支出を事業成果に結びつけることを期待しています。重大インシデントの減少、報告の迅速化、露出の低減、そして実証可能な事業継続性です。問いはもはや「いくら使ったか?」ではなく、「どのリスクを測定可能に減らしたか?」です。したがって採用戦略も、人員数ではなく成果に合わせなければなりません。労働力をアップスキルし、部門横断で再配置し、ツールの乱立を管理するために人員を増やすのではなく、組み込みのガバナンスされたAI機能を備えたセキュリティプラットフォームを活用するのです。その効率性は事業のトップライン強化に寄与し、拡大につながり、最終的に将来の採用を後押しします。
また、厳しい現実にも向き合う必要があります。AI生成コードはしばしば安全ではありません。2025年の複数の研究では、AI生成コードのおよそ45%にセキュリティ上の欠陥が含まれており、特にクロスサイトスクリプティングやログインジェクションに対する防御が弱いことが示されました。AIが日常的なコードのデフォルトの作者になるなら、パイプラインにセキュリティを組み込まない限り、人間のレビューが追いつかない速度で脆弱性を出荷してしまいます。これは、必須レビューの徹底、コードとバイナリの両方の継続的スキャン、高リスク変更の人間承認によるゲート、特権ユーザーをログに記録するのと同様にエージェントの行動をログに残すことを意味します。
そのパラドックスは、実はパラドックスではありません。AIは一部の職種を圧縮する一方で、別の職種を拡大し、すべての人に対して基準を引き上げています。その現実を受け入れるサイバーセキュリティのリーダーこそが、2026年にレジリエンス、規制対応力、成長を実現するうえで最も有利な立場に立つでしょう。
スミード・タカールは、主要なサイバーセキュリティ企業であるQualysの社長兼CEOであり、デジタル世界をより安全にすることに情熱を注いでいます。2003年にエンジニアとしてQualysに入社し、最高製品責任者や社長などのリーダー職を歴任しながら、統合機能を備えたQualysプラットフォームの拡充と、グローバルなエンジニアリングチームのスケールを支援しました。米国のサイバーセキュリティ関連特許5件の共同発明者であり、以前はIntacctおよびノースウエスト航空でエンジニアリング職を務めました。
翻訳元: https://cyberscoop.com/cybersecurity-talent-shortage-ai-risk-operations-center-2026-op-ed/
