セキュリティ分野の採用担当マネージャーは現在、エントリーレベル職の採用判断において実務経験を重視するようになっています。
コンピュータサイエンスの学位など、関連する教育資格が依然として重要である一方で、エントリーレベルのサイバーセキュリティ職に就くための道は、それだけではなくなりました。
ISC2の2025 Cybersecurity Hiring Trendsレポートの調査結果によると、マネージャーの90%が、学歴・教育資格がなくても過去のIT業務経験のみを持つ候補者を検討すると回答しました。
さらに、89%は、関連学位が必須ではなく、エントリーレベルのサイバーセキュリティ認定資格のみを持つ人も検討すると回答しました。
ただし、セキュリティマネージャーの81%は、IT、サイバーセキュリティ、またはコンピュータサイエンスの教育のみを受けた候補者も依然として検討すると回答しました。
教育プログラムから採用している回答者(参加者の55%)の4分の1は、コンピュータサイエンス、IT、サイバーセキュリティ以外の分野から候補者を見つけたことがあると明らかにしました。
約半数が、初期キャリア人材を見極める有効な方法としてインターンシップ(55%)と見習い制度(46%)を挙げました。
サイバーセキュリティの採用担当マネージャーは意思決定において非技術的スキルにも注目しており、候補者に求める上位5つのスキルのうち3つが、チームワーク、問題解決力、分析的思考でした。
Infosecurityの取材に対し、ISC2のCISOであるJon France氏は、この結果は、キャリアチェンジ組を含め、この分野への入り口となる経路がより幅広いことを示していると述べました。
「以前は学位を求めていたところで、雇用主がエントリーレベルの認定資格の価値を認めるようになっています」と同氏はコメントしました。
France氏はさらに、「知識よりも資質を優先する傾向が見られます。知識は教えられます。姿勢で採用し、適性は訓練で伸ばすのです」と付け加えました。
France氏は、サイバーセキュリティの仕事は現在見つけにくいことを認めつつも、それは採用慣行というより、経済的・地政学的な問題の影響が大きいと述べました。
エントリーレベル人材のプロフェッショナル育成
心強いことに、調査では、エントリーおよびジュニアレベルの従業員のトレーニングは、しばしば迅速かつ費用対効果が高いことが分かりました。
採用担当マネージャーの過半数(56%)は、エントリーレベルのサイバーセキュリティチームメンバーが業務を自立してこなせるようになるまでのトレーニング期間は、通常4〜9か月だと回答しました。
約半数(45%)は、これらのスタッフが業務を自立してこなせるようにするために、1000〜4999ドルを支出していると報告しました。
また心強いことに、採用担当マネージャーの91%が、勤務時間内にこれらのチームメンバーへ専門能力開発の機会を提供していると回答しました。
France氏は、エントリーおよびジュニアレベルのスタッフを採用する際のトレードオフは、組織が最初から彼らのトレーニングと育成にコミットする必要があることだと説明しました。
「見返りとして、彼らに機会を与え、トレーニングにコミットしなければなりません。これは採用に比べれば比較的低コストです」と同氏は述べました。
調査では、エントリーレベルおよびジュニアレベルのサイバーセキュリティ専門職が通常担当するタスクの種類も検討しました。
エントリーレベルのスタッフの主なタスクは次のとおりでした:
- プロセスなどのドキュメンテーション(43%)
- アラートおよびイベント管理(35%)
- レポーティング(32%)
- 物理的アクセス制御(30%)
- ユーザー向け意識向上トレーニング(29%)
ジュニアレベルのスタッフの主なタスクは次のとおりでした:
- バックアップ、復旧、事業継続(53%)
- 侵入検知(53%)
- アラートおよびイベント管理(51%)
- 関連フレームワーク(50%)
- ペネトレーションテスト(50%)
France氏は、これらのタスクの多くは情報の見極めに関するものであり、より技術的なタスクの経験を積むための良い機会になると指摘しました。
ISC2の調査は、カナダ、ドイツ、インド、日本、英国、米国のサイバーセキュリティ採用担当マネージャー計929人を対象に実施されました。
翻訳元: https://www.infosecurity-magazine.com/news/hands-on-skills-first-cyber-role/
