サイバーセキュリティのキャリアにおける5つの厳しい現実 ― そしてその乗り越え方

サイバーセキュリティは非常に有望なキャリアパスです。サイバー人材の需要は高く、報酬も高水準で、IANSとArtico Searchによる2025年のベンチマークレポート（英語）によれば、主要な職種の平均基本給は15万ドルを超えています。

しかし、サイバーセキュリティの仕事には、求人情報やメディア報道、業界イベントでもあまり語られない課題が伴います。そして、これらの課題は時間とともにサイバー専門家を消耗させることがあります。実際、IANSとArtico Searchの調査によると、現場スタッフの多くは仕事へのエンゲージメントが高いと報告していますが、キャリアが進むにつれてその満足度は下がり、中間管理職や部門長は現在のキャリア状況について推進派と否定派が同程度存在しています。

サイバー専門家がキャリアに不満を感じる原因をより深く理解するため、業界のプロフェッショナルたちに話を聞きました。彼らの視点は、サイバーセキュリティの現場で見落とされがちな現実や、それらの課題に対処するための有効な戦略を明らかにしています。

「すべての人のためのセキュリティ」だが、誰もが歓迎されるわけではない

Mike Morrato氏（Forward Networks CISO）は、サイバーセキュリティ分野への最初の壁は、根強い「門番意識」による参入障壁だと語ります。彼は自身の経験を例に挙げています。

「かつて私は、基本的なネットワークスキルを知らなければ有効なセキュリティの実務者にはなれないと信じていました」と彼は言います。

現在Morrato氏は、サイバーセキュリティが幅広い領域に及ぶことを認識していますが、業界内には依然として狭い見方が根強いと考えています。「サイバーセキュリティ業界には、ファイアウォールやIPS、VPNだけがセキュリティだと考える人が多い。しかし、それは根本的に間違っています」と彼は言います。

その結果、リーダーや人事チームは、特定の学位やベンダー（Cisco、Juniper、Palo Altoなど）発行の資格を持つ候補者だけに注目しがちです。Morrato氏は、サイバーセキュリティ分野での採用コストの高さを考えれば理解できる部分もあるとしつつも、このアプローチでは本来ならチャンスを得られたはずの有能な人材が不当に排除されてしまうと考えています。

彼は自身の道のりを振り返ります。大学を中退し、現場で学びながら最終的にCertified Network Administrator（CNA）資格を取得しました。

このような採用バイアスを打破するため、Morrato氏は採用活動に積極的に関わっています。すべての求人票を自ら作成し、人事と一緒に応募書類を直接確認します。「最初の15、20、30通など、まとめて履歴書を確認します。そしてリクルーターや人事と一緒に『この人が求めている人材だ』『この人は違う』と判断します」と語ります。

また、神経多様性を持つ人など、従来型とは異なる経歴の候補者にも注目しています。「特に開発分野で神経多様性のある人が多いですが、サイバーセキュリティにもいます。そういった人たちを無視するのは、多くの才能を見逃すことになります」と語ります。

Morrato氏にとって、学位や資格は、同等の実力を持つ候補者同士の「最後の決め手」にすぎません。大企業のCISOはここまで採用に深く関われないかもしれませんが、シニアディレクターなら可能だと強調します。彼自身のやり方で、従来の採用フィルターでは除外されていたであろう優秀な人材を採用できたといいます。

また、Morrato氏は「隣接スキル」を持つ応募者も積極的に検討するようサイバーセキュリティリーダーに勧めています。

「ネットワークITの役割からサイバーセキュリティに転向したい人がいれば、それはとても良い適合です。彼らは私の技術をすべて知っているわけではないかもしれませんが、私の技術を支える技術は理解しています」と説明します。

求職者に対しては、履歴書だけで差別化を図ろうとせず、カスタマイズしたカバーレターや対面でのネットワーキングが大きな効果を持つとアドバイスしています。

「そういうイベントは退屈かもしれませんが、そこには人がいます。人と知り合いになれます。最終的に、その人たちがあなたの扉を開いてくれることもあるのです」と語ります。

サイバーセキュリティチームはシステムを守るが、人は守らない

サイバーセキュリティ分野に入るために多大な努力をしても、実際に配属されたチームが歓迎的でも支援的でもないことが多いのです。

Jinan Budge氏（Forresterリサーチディレクター）は、ほとんどのサイバーセキュリティのキャリアパスの構造自体がこの問題に関係していると考えています。多くのチームマネージャーが技術職から昇進するため、健全なチーム文化を育てたり、ステークホルダーとの関係を効果的に管理したりするためのリーダーシップや対人スキルが不足しがちです。

この文化的な断絶は、個人に具体的な影響を及ぼします。「セキュリティ部門で働く人は、必ずしも心理的に安全だと感じていません」とBudge氏は説明します。

Forresterが最近発表した調査では、心理的安全性の低さと、欠勤、部門間の分断的なコミュニケーション、さらにはセキュリティ侵害のリスク増加といった組織的な問題との間に強い関連があることが示されています。

「場合によっては、心理的安全性が低いチームは、3～4倍も侵害にさらされやすいのです」とBudge氏は述べ、そうした環境にいるサイバー専門家には、率直な自己省察を勧めています。「これは本当に有害な環境なのか？自分に影響を与えられることなのか？自分が変えられるのか？それとも自分の問題ではなく、組織や上司の問題なのか？と考えることが大切です」と語ります。

こうした問いに向き合う際には、従業員支援プログラムやエグゼクティブコーチ、心理士などのリソースを活用することをBudge氏は推奨しています。そして、根本的な問題が組織にある場合は、退職も強く検討すべきだと助言します。

それでも多くのプロフェッショナルは、有害な職場を離れることをためらいます。短期間の在籍が今後のキャリアに悪影響を及ぼすのではないかと心配するからです。Budge氏は、12～18か月という在籍期間の「最低ライン」を守るためだけに不健康な環境に留まる人が多いと指摘します。しかし、採用の現場では、こうした硬直的な考え方はもはや通用しないとBudge氏は考えています。「そういう時代はもう終わったと思います」と語ります。

ミスマッチのリスクを減らすため、特にリーダー職を検討する際には、候補企業について十分な調査を行うことをBudge氏は勧めています。

「例えば、CISOにISO 27001のコンプライアンスだけを求める法律事務所に入社しても、変革型リーダーを目指す人には合いません」と語り、自分の強みや動機と企業の方向性が合致しているかを重視するよう強調します。

Patrick Glennon氏（IDIQ CTO）は、現場スタッフも自分がやりがいを感じる仕事を探すべきだと付け加えます。たとえば、調査にやりがいを感じる人は、Webアプリケーションファイアウォールのログとシステムアクセスログを突き合わせてパターンを発見することでリフレッシュできるかもしれません。「最初にこの分野に惹かれた理由を思い出して、それに集中すると良いでしょう」と結論付けています。

サイバーセキュリティは「障害者」としてのレッテルを貼られる

Bharat Mistry氏（Trend Micro フィールドCTO）は、CISOが主要なステークホルダーと関わらずに一律のコントロールを強制する「ゼロリスク思考」に陥ることで、サイバーセキュリティがIT内でさらに孤立する危険性を指摘します。

「ネットワークチーム、サーバーチーム、ITアプリケーションチーム、そして最後にセキュリティチームがいます」とMistry氏は述べ、この孤立がサイバーセキュリティの社内評価に影響を与えていると付け加えます。「しばしば『ノー』と言う部門だと見なされ、チームの評判は『ビジネスの妨げであり、推進者ではない』というものになっています」と語ります。

社内の断絶を乗り越えるため、Mistry氏はサイバーセキュリティチームが脅威の全体像や組織の現状を共有し、他部門からの意見も取り入れるイベントを開催することを勧めています。

「皆さんがどのように働いているのか、どんな課題に直面しているのか、新しい規制にどう対応する必要があるのかを理解したい。そして、一緒に戦略を立てて、より良く、より速く、より効率的に働けるようにしましょう」と語ります。

こうした対話は、根強い誤解を払拭する助けにもなります。「サイバーセキュリティは技術的な問題だと見なされがちで、多くの組織ではITチームの中にあると認識されています。しかし実際には、全社的な課題なのです」とMistry氏は述べます。

この点を強調するため、Mistry氏は、HR、マーケティング、法務などの部門から自発的な「サイバーチャンピオン」を任命し、同僚にサイバーセキュリティを分かりやすく伝え、リスク意識を高め、良いサイバー衛生習慣を促進することを推奨しています。

Richard Addiscot氏（Gartner バイスプレジデントアナリスト）は、こうした非公式な役割がビジネス情報セキュリティオフィサー（BISO）のような正式なポジションに進化しつつあると指摘し、あらゆるレベルでビジネスにセキュリティを組み込む必要性が高まっていると述べます。

「これらの役割は、セキュリティ部門とビジネスの橋渡しをするために存在します。ビジネスが達成したいことを適切に管理できるようにするのが目的です」と語ります。

こうしたチャンピオンがいても、Addiscot氏はコミュニケーションはトップから始めるべきだと強調します。CISOは自分たちの仕事がビジネス全体の目標とどう結びついているかを明確に説明しなければなりません。しかし、その実現は容易ではありません。「ビジネスが期待するコミュニケーションと、CISOが実際に伝えている内容にはしばしばギャップがあります」とAddiscot氏は説明し、その原因はCISOの技術的バックグラウンドにあると指摘します。

「ビジネス感覚を身につけ、技術の専門家であるだけでなく、ビジネスの仕組みを理解することは、本物のC-suite CISOを目指す中堅セキュリティマネージャーにとって極めて重要な転換です」と語ります。

サイバーセキュリティチームもリスクへのアプローチを見直す必要があります。一律の厳格なコントロールだけに頼るのはもはや現実的ではありません。Mistry氏は、技術的な脆弱性だけでなく、全体的なリスク露出を考慮した、より適応的でビジネスに合致したフレームワークを提唱しています。

「このリスクは受け入れられるか？受け入れられないか？リスクを減らすために何かできるか？リスクを転嫁できるか？これは『スピードや性能』の話ではなく、リスクについての対話なのです」と述べ、サイバーセキュリティリーダーはこうした対話を可能にするために、組織全体との関係構築に積極的に取り組む必要があると強調します。

こうした努力がなければ、サイバーセキュリティの孤立はキャリアの満足度に悪影響を及ぼします。

ステークホルダーは「万能の天才」を求める

Anthony Diaz氏（Exterro CISO）は、サイバーセキュリティキャリアのもう一つの厳しい現実として、技術進歩のペースの速さを挙げます。

「攻撃者は学習が早く、常に新しい手法やAIなど最新の技術革新を活用しています。私たち防御側も絶えず学び、適応し続けなければならず、これは非常に大きな負担です」とDiaz氏は語ります。

学ぶべきことが増えるだけでなく、やるべきことも増えています。IANSとArtico Searchのレポートによれば、サイバーセキュリティスタッフの61％が複数の分野を担当しています。たとえば、アーキテクチャやエンジニアリングのプロのうち、23％がID・アクセス管理、26％がアプリケーションセキュリティ、そして約半数（48％）がプロダクトセキュリティにも関与しています。

こうした期待の拡大は、リーダー層ではさらに顕著です。ForresterのBudge氏はこれを「ダ・ヴィンチの誤謬」と呼んでいます。

「CISOには、サイバーセキュリティ、テクノロジー、戦略、財務、人材、コミュニケーションなど、あらゆる分野の専門知識が求められます。これはどのリーダーにとっても、特にセキュリティリーダーにとっては非常に大きな負担です」と語ります。

こうした要求に応えるため、Diaz氏はサイバーセキュリティの基礎だけでなく、リスク管理も統合したトレーニングプログラムを提唱しています。「これには、定期的かつ現実的なリスクアセスメントや、技術面と人的要素の両方を考慮した実践的なリスク軽減策の策定が含まれます」と述べます。

また、経験豊富なプロと新人を組み合わせてリスク評価スキルや基礎知識を伝えるメンタープログラムも推奨しています。

サイバーセキュリティのプロは、他の知識労働者よりも学習負荷が高いかもしれませんが、IDIQのGlennon氏は、成長の機会が強力なモチベーションになると考えています。新技術に関するベストプラクティスを学べるカンファレンスなどがその好例です。

「そうしたことを積極的に行えば、役割に活気を感じ、業界の動向にワクワクし続けられます。従業員の定着と成長、両方に役立ちます」と語ります。

常時警戒の感情的コスト

Jason James氏（Aptos CIO）は、サイバーセキュリティのプロには休息の時間がなく、攻撃が「いつか」ではなく「いつでも」起こることを想定して備えなければならないと指摘します。「長期間警戒を続けることで、精神的に消耗してしまいます」とJames氏は語り、「ワークライフバランス」よりも、状況に応じて重心を変えられる「ワークライフハーモニー」という言葉を好んで使います。

James氏にとってワークライフハーモニーを実現するには、本当にリフレッシュできる活動に没頭し、視野を広げることが不可欠です。彼の場合は、ビジネス書以外の回顧録を読んだり、最近では子どもたちとディズニークルーズに行ったりすることがそれに当たります。また、チームメンバーの有給休暇（PTO）取得状況を定期的に確認し、PTO申請を決して却下しないことで、部下にも同じようにリフレッシュすることを促しています。

グローバルリーダーとして、特にアメリカの従業員が休暇を取りたがらない傾向があることにも注意を払っています。「リーダーとして、彼らのPTO取得状況を見て『どれだけ休んでいる？』と確認する必要があります。『休みたくない』という人もいますが、『いや、休むべきだ』と伝えます」と語ります。

組織全体のワークライフハーモニーを把握するため、James氏は直属の部下を通した情報だけに頼るのは危険だと他のテクノロジーリーダーに警告します。現場の声を直接聞くため、直属の部下を飛び越えて現場スタッフと直接話す「スキップレベルミーティング」を定期的に実施しています。

「自分がビジネスから切り離されているわけではない、象牙の塔にいるわけではないと示すためです。リーダーシップとは頂点にいることではなく、先頭に立つことです」と語ります。

また、James氏は、メンバーが安心して休めるように後継者計画の重要性も強調します。

IDIQのGlennon氏も同様のアプローチをとっています。シャドーイングや知識共有によるクロストレーニングで役割の冗長性を高め、主要メンバーが不在でもリスクを減らせるようにしています。

「主要メンバーの一人が最近ヨーロッパに2週間ほど行きましたが、1～2回しか連絡がありませんでした。それが可能なのは、2人でカバーできているからです」と語ります。

James氏は、最新技術が悪意ある攻撃者への防御に役立つ一方で、ワークライフハーモニーの維持も同じくらい重要だと認めています。

「私たちの環境を守るAIはたくさんありますが、最終的には人をリードしています。サービスを管理しています。だから、私たちを守ってくれる人たちも守るのが私の責任です」と語ります。