_Paradee_Kietsirikul_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "木製のキューブを駆け上がる人物のシルエットと、上向きの緑色の矢印")
出典:Paradee Kietsirikul(Alamy ストックフォト経由)
論説
私が初めてITセキュリティの仕事に就いたのは25年以上前で、当時はファイアウォールの境界をプログラミングすることがセキュリティのすべてでした。それ以来、攻撃側・防御側のサイバーセキュリティは何度もイノベーションのサイクルを経て進化し、そのたびに複雑さや課題、そしてキャリア成長の機会が増えてきました。いくつかのサイバーセキュリティの変遷を、当時の職種や給与とともに振り返り、さらにAIが今後サイバーセキュリティ職の報酬にどう影響するかを見てみましょう。
2000年から2010年の間、サイバーセキュリティは大きな成長を遂げました。たとえば、ILoveYouのような大量感染型ワームへの対処から、組織的なサイバー犯罪、ボットネット、分散型サービス拒否(DDoS)攻撃への対応へと進化しました。大規模な情報漏えい事件が相次ぎ、リアルタイム防御や法的責任追及、経営層による監督を求めて、SOC(セキュリティオペレーションセンター)オペレーター、フォレンジックアナリスト、CISO(最高情報セキュリティ責任者)などの役割が必要とされました。給与も需要の高まりを反映し、エントリーレベルのアナリストは5万5千~7万ドル、CISOは大企業で13万~17万ドルを得ていました。これらの変化がFISMAやISO 27001などのコンプライアンス重視の枠組みの基礎となり、サイバーセキュリティがIT機能からビジネスリスクの課題へと進化する転機となりました。
2010年から2018年は、サイバーセキュリティが技術部門の枠を超え、戦略的な必須事項へと昇格した時期でした。Target、米国人事管理局(OPM)、Equifaxなどの情報漏えい事件をきっかけに、取締役会レベルでレジリエンス、リスク監督、規制対応が重視されるようになりました。2014年のNISTサイバーセキュリティフレームワークやGDPR(EU一般データ保護規則)対応がグローバルな説明責任を促進し、APT(高度持続的脅威)やランサムウェアも脅威として成熟しました。MITRE ATT&CKやキルチェーンは脅威モデリングの基礎となりました。SOCアナリスト、GRC(ガバナンス・リスク・コンプライアンス)リーダー、脅威ハンターなど人材の裾野も急拡大。サイバーセキュリティがITの補助から企業の中核機能となり、SOCアナリストで9万2千~10万7千ドル、CISOは22万5千ドル以上へと給与も急上昇しました。
2018年から2023年には、クラウド導入やDevSecOpsの普及によって、サイバーセキュリティの運用が一新されました。組織は「シフトレフト」を進め、CI/CDパイプラインにセキュリティを組み込み、設定ミスを重大な脆弱性と見なすようになりました。NIST SP 800-207はゼロトラストを標準化し、VPNの代替やID中心のモデルが進みました。ランサムウェアは二重脅迫などの手法で都市や重要インフラを襲撃。CMMCやCPRAなどのコンプライアンス要件も世界的に加速しました。燃え尽き症候群や人材不足による離職率が高まり、複雑さや変化の速さに対応するため給与も上昇し続けました。
AI時代がもたらす変化
現在、AI時代は攻撃対象領域と防御戦略の両方を再定義しようとしています。これにより、イノベーションが新たな機会を生み出し、サイバーセキュリティ分野で新しいキャリアの道が開かれます。攻撃者はディープフェイク、合成ID、AI生成マルウェアを武器にし、LLMや自律エージェントは脅威インテリジェンス、SOCのトリアージ、フィッシング検知を支援しています。NISTのAIリスクマネジメントフレームワーク(RMF)やEU AI法などのコンプライアンス要件とともに、AIガバナンス職も登場しています。従来の職種はハイブリッド化し、SOCアナリストはAIコパイロットと協働し、プロンプトエンジニアは安全な対話設計を担います。こうした変化を反映し、企業のSOC融合職は14万ドル超の報酬を得ています。
サイバーセキュリティリーダーたちは今、AIソリューションをどう守るかに注目しています。AIシステムは本質的に、利用可能なデータを取り込み、解釈し、行動するよう設計されているからです。個人データのプライバシーはどう確保されるのか?ガバナンス、アクセス制御、コンプライアンスの枠組みでAIを適切に制御しつつ、競争やビジネス成長を支えられるのか?それとも、大量データの取り込み・解析を前提としたAIシステムでは、制御が弱まってしまうのか?これらの問いは、今のセキュリティ専門家世代が迅速に解決すべき課題です。今日のセキュリティ分野は、AIの深い知識を築く意欲がある人にとって、素晴らしいチャンスとなっています。
では、なぜAIがサイバーセキュリティで次のホットなキャリアパスになるのでしょうか?私の考えは以下の通りです:
-
AIはあらゆる場所に存在: 医療診断から金融詐欺検出まで、AIシステムは今やミッションクリティカルです。これらを守ることはもはや選択肢ではありません。
-
新たな攻撃対象領域: AIは、敵対的入力、モデル汚染、プロンプトインジェクションなど、従来のセキュリティチームが対応経験のない新しい脆弱性を生み出します。
-
規制圧力: NIST AI RMF 1.0、ISO 42001、HITRUST AI RMFなどのフレームワークが、AIシステムに対するガバナンス構築を企業に求めています。
-
部門横断的な需要: セキュアAI職はサイバーセキュリティ、データサイエンス、コンプライアンスを融合し、あらゆる業界で不可欠な存在となります。
教育、経験、そして厳格な学習が、25年にわたる脅威の進化の中でサイバーセキュリティ専門家を支えてきたように、これからも道を切り拓いていくでしょう。AIセキュリティを次のキャリアチャンスと捉え、課題を戦略的優位性へと変え、急速に変化するAI時代のデジタル世界でサイバー・レジリエンスを築いてください。