ISC2の2023年サイバーセキュリティ人材調査によると、世界のサイバーセキュリティ人材の不足は400万人に達し、2022年比で12.6%増加しました。
調査対象となった専門家の10人中9人以上(92%)が、自組織にスキルギャップがあると回答し、67%はセキュリティ問題の予防およびトラブルシューティングに必要なサイバーセキュリティ人員が不足していると報告しました。
この不足は、世界のサイバーセキュリティ人材が2022年比で8.7%増加し、550万人の専門家に達したにもかかわらず生じています。
削減とレイオフが業界に影響
サイバースキルギャップは、世界的な経済環境の不安定さの中でサイバーセキュリティ運用が大幅に削減されたことにより、さらに悪化しています。
回答者のほぼ半数(47%)が、過去1年にレイオフ、予算削減、採用または昇進の凍結など、サイバー関連の削減を経験したと述べました。このグループのうち22%は、サイバーセキュリティ分野において、直接・間接の両方でレイオフの影響を受けました。
ISC2のCEOであるクラール・ロッソは、サイバーセキュリティにおける削減とレイオフの規模に驚きと失望を示し、これがスキルギャップに大きな影響を与えると考えていると述べました。
Infosecurityの取材に対しロッソは、サイバー人員を減らすことが組織のサイバーリスクを高め、結果として財務的・評判上の損害につながるという理解が経営層(C-suite)で以前より大きく進んでいるとしつつも、「それでも彼らはやってしまう」と指摘しました。
さらに彼女は次のように付け加えました。「そこから導かれる論理的な結論は、彼らがサイバーリスクよりも経済リスクをより懸念しており、両者のリスクが切り離せない形で結びついているにもかかわらず、その同等性を十分に理解していないということです。」
さらにサイバー専門職の28%が、組織内の別部門でのレイオフを報告しており、それがセキュリティチームに大きな影響を与えています。
削減を実施した組織の回答者の3分の1超(35%)は、全社的なサイバーセキュリティ研修プログラムが廃止されたと回答しました。このグループの約4分の3(71%)は、組織的な削減の結果として業務負荷に悪影響が出たと報告し、57%は脅威対応が阻害されたと感じています。
それでも全体としての職務満足度は高い水準を維持しており、70%が現在の仕事に「ある程度」または「非常に」満足していると回答しました。これは2022年の74%からわずかに低下しています。
内部脅威が増加
回答者の過半数(52%)が内部リスク関連インシデントの増加を報告し、半数は過去1年に悪意ある内部者と直接または間接的に接触した経験があると答えました。
この種の接触があった人のうち、39%は自分または知人が自組織で悪意ある内部者になるよう持ちかけられたと述べました。一方で33%は、職務上の役割を理由に自宅または職場で標的にされたことがあると回答しました。
この内部脅威の増加は経済環境と関連しており、回答者の71%が、経済の不確実性が高い時期には悪意ある内部者のリスクが増大すると同意しました。
サイバーセキュリティでレイオフがあった組織の回答者は、悪意ある内部者として持ちかけられる可能性が3倍高いとされています。
ロッソは「ビジネスリーダーが内部脅威をよりよく理解できるよう支援する必要があります。これは脅威ベクトルの一つですが、ビジネスリーダーは本当にあまりよく理解していないと思います」とコメントしました。
サイバーセキュリティにおけるAIスキル不足
今年の人材調査での別の懸念すべき結果として、回答者の47%が人工知能(AI)について知識がない、または最小限しかないと認め、同分野に十分な知識があると答えたのは16%にとどまりました。
AIと機械学習(32%)は、セキュリティチームにおける知識ギャップが最も大きい分野として、クラウドセキュリティ(35%)に次ぐ2位でした。3位はゼロトラストの実装(29%)でした。
しかしロッソは、これらの数字が示す以上に、サイバー専門職はAIを安全にする能力を備えていると考えています。彼女は、AIのセキュリティ確保は、CIAトライアド(機密性・完全性・可用性)など一般的なサイバーセキュリティの基本原則の多くを共有していると指摘しました。
「サイバー専門職は、自分で思っている以上にその技術を安全にできる」
「サイバー専門職は、自分で思っている以上にその技術を安全にできると私は思います」と彼女は述べました。
ロッソはまた、AIの成長により、ISC2が認定プログラムを最新の状態に保つため、より定期的な分析を行うようになったと付け加えました。
ロッソは「AIが私たちに促しているのは、3年ごとのローテーションでテストを行う余裕があると考えるのではなく、新興技術が組織内でより普及するにつれて、より頻繁に実施しなければならないということです」と述べました。
AIおよび新興技術に関連するリスクは、今後2年間でサイバーセキュリティ専門職が直面する最大の課題(45%)として挙げられ、次いで人員/スキル不足(43%)、変化する規制要件への追随(38%)が続きました。
心強いことに、サイバー専門職の52%が、自組織がAIの利用を社内で統制している、AI管理を拡大している、または今後12か月以内にAI利用を正式に管理する計画があると回答しました。
参加者はまた、AIの進展を、組織のセキュリティ確保能力に対する3番目に大きなプラスの影響として挙げており、ゼロトラスト(34%)と自動化(40%)に次ぐ位置づけでした。
多様性の改善
ロッソは、今年の調査から得られた最大のポジティブ要素の一つとして、サイバーセキュリティ人材における多様性の向上を挙げました。調査では、過去12か月に米国、カナダ、アイルランド、英国でサイバーセキュリティ職に新たに参入した人の66%が非白人であることが示されました。
彼女は「その領域で天秤が傾いているのを見るのは非常に大きい」と述べました。
もう一つの心強い結果として、セキュリティチームが多様性・公平性・包摂(DEI)施策をますます受け入れていることが挙げられ、69%が、チームが成功するためにはインクルーシブな環境が不可欠だと述べました。
スキルベース採用を導入している組織では特に好影響が見られ、女性比率は平均25.5%で、この取り組みを採用していない組織の22.2%を上回りました。
翻訳元: https://www.infosecurity-magazine.com/news/cyber-skills-gap-layoffs-security/
