AIはエントリーレベルのサイバー人材採用とスキルギャップの性質を変えている

ISC2のレポートによると、チームワーク、問題解決力、分析的思考は、データセキュリティやクラウドセキュリティなどのコア技術スキルよりも、現在のエントリーレベルのサイバーセキュリティ人材採用の基準として重視されている。

サイバーセキュリティのトレーニングおよび認証機関によるCybersecurity Hiring Trends調査では、サイバーセキュリティにおけるAIの役割の拡大が採用の優先順位を変化させており、マネージャーはAIが再現できない人間のスキルにより高い価値を置くようになっていることも明らかになった。

この調査は、カナダ、ドイツ、インド、日本、英国、米国の企業の929人の採用マネージャーを対象に行われ、AIによる変革が進む中でも、これらの役割が長期的なサイバーセキュリティ防御戦略の構築やスキルギャップの補完に不可欠であることから、サイバーセキュリティの採用マネージャーが初期キャリアやエントリーレベルのセキュリティスタッフにどのようなスキル、属性、責任を期待しているかを調査した。

変化する採用基準

CSOが取材した専門家たちは、チームワーク、コミュニケーション、問題解決力が採用マネージャーの優先事項であるべきだと同意し、業界が拡大するスキルギャップを埋めるには、潜在的な候補者の探索範囲を広げる必要があると主張した。

テクノロジー人材紹介会社Harvey Nashのアソシエイトコンサルタント、Mo Gaibee氏は、CSOに対し、雇用主は技術的な適性と人間関係スキルの組み合わせを求めていると語った。

「セキュリティはもはやITチームだけのものではなくなり、サイバー専門家は法務、HR、さらにはマーケティングとも密接に連携する必要があるため、ソフトスキルが不可欠です」とGaibee氏は述べた。「彼らは、組織のあらゆる部分にセキュリティを組み込める戦略的思考者を求めています。」

Gaibee氏はさらに、「特に非技術系のステークホルダーとの強いコミュニケーション能力、急速に変化する環境での問題解決力、部門横断的な協力、適応力、戦略的思考も今や非常に重視されています」と続けた。

業界の採用動向に関するインサイトを提供するプラットフォームemployers.ioのマーケティングディレクター、Gregory Rouvelin氏は、「技術スキルも依然として重要ですが、AIが多くのルーチンな監視や検知を担うようになったことで、雇用主は人間の能力により高い価値を置くようになっています」と付け加えた。

CISOが学位よりもスキルを重視する採用へと考え方を変えてきている一方で、初期キャリアの専門家は単なる認定資格以上の学びを広げるべきだとRouvelin氏は助言している。

「実践的な場で分析的思考やチームワークを示すことは、履歴書にクラウドセキュリティのモジュールを記載するのと同じくらい価値があります」とRouvelin氏は述べた。「雇用主はそのバランスを積極的に求めており、そこがAIが競えない部分です。」

認定資格の罠と壊れたパイプライン

他の専門家は、履歴書や認定資格への過度な依存が、サイバーセキュリティ分野での採用成功の最大の障壁の一つであり、これが本来なら適格な候補者を排除してしまうと主張している。

「貴重な経験や視点を持っているにもかかわらず、10年の職務経験がある人でも、依然として認定資格が重視されているために応募をためらうのです」とサイバースキル研修会社Immersive Labsのコミュニティディレクター、Kieran Rowley氏は述べた。「スキル不足に直面している業界が、候補者に『正しい』試験がないという理由だけで才能を見過ごすのは不合理です。」

Rowley氏はさらに、「サイバーセキュリティの学位が最適な人材を保証するわけではありません」と付け加えた。

サイバーセキュリティベンダーIllumioの業界戦略担当VP、Raghu Nandakumara氏は、教育から雇用への明確な道筋がないことが、職業への参入障壁となり、サイバースキルギャップの要因になっていると述べた。

「現在、才能ある人材がサイバーセキュリティへの明確な道筋を見つけられず、よりアクセスしやすい他の分野に流れてしまっています」とNandakumara氏はCSOに語った。「私たちには、個人を労働力に導くための必要なフォローアップ支援が不足しています。」

見習いやインターンシップは価値があるものの、Nandakumara氏によれば、それらは単純に数が足りていない。

「小規模な組織はそのような制度を提供するリソースがなく、政府がこれらの取り組みを支援するか、より多くの大企業に導入を促す必要があります」とNandakumara氏は付け加えた。

Veracodeのチーフセキュリティエバンジェリスト、Chris Wysopal氏は、「サイバーセキュリティにおけるエントリーレベルのパイプラインは壊れている」と主張した。

「最も有望な実務者の多くは大学タイプではなく、ゲーマーやビルダー、オンラインコミュニティで見つかる深く考える人など、型破りな才能です」とWysopal氏は述べた。

ハッカー行為を犯罪化することは短絡的な対応であり、業界が十分に有望な候補者を採用する機会を失っているとWysopal氏は指摘する。

「ハッキングに関して言えば、誰かからパスワードを聞き出した10代の若者すべてが一生犯罪者として扱われるべきではありません」とWysopal氏は主張した。「本当のサイバー犯罪と若者の好奇心を区別する必要があり、後者はサイバー人材採用で求められるべきです。」

AIの影響

サイバー人材は常に高い需要があるが、脅威の頻度と深刻さが増す中でその傾向はさらに強まっている。世界的なサイバーセキュリティスキルギャップは4.8百万人と推定されており、2024年から19%増加している。

「これらのスキル不足に対応するため、より多くの組織がAIを活用して、例えば初期の脅威検知や要約などの重労働を担わせるようになっています」とHarvey NashのGaibee氏は述べた。「これはサイバー人材の必要性を置き換えるものではなく、増え続ける脅威を管理する効果的な方法を提供しているだけです。」

AIの利用拡大により、求められる候補者のプロフィールが変化していると、Harvey Nashや他の業界専門家は指摘している。

IT管理ソフトウェアベンダーManageEngineによる最近の調査によれば、AIがより多くの反復作業を担うようになることで、ITスキルは置き換えられるのではなく変化していくという。

しかし、EYのグローバルサイバーセキュリティコンサルティングリーダー、Richard Watson氏は最近CSOに対し、レベル1のSOCアナリストの役割は「最終的にAIによって消滅するだろう」と考えていると語った。その結果、CISOやサイバー専門家はビジネスリテラシーやコミュニケーションなどのスキルを強調する必要がある。

「その役割は、パートナーやアドバイザーとしてのものに変わりつつあります。なぜなら、多くのテクノロジーが監視、トリアージ、隔離などを担っているからです」とWatson氏はCSOのChristine Wongに語った。

したがって、技術スキルはサイバースキルギャップの重要な課題であり続けるものの、AIがより多くの技術的タスクを担うにつれて、CISOが不足を感じるスキルの組み合わせには、問題解決力、分析的思考、そして企業全体で堅牢なサイバーセキュリティ文化を確立するために必要な幅広い人間関係スキルがますます含まれるようになるだろう。

人材プールの拡大

マネージド検知・対応企業e2e-assureのCEO、Rob Demain氏は、同社が採用プロセスをより包括的にするよう修正したと述べた。その結果、e2e-assureの従業員の10人に1人が神経多様性を持つと自己認識しており、これはサイバーセキュリティで見過ごされがちな人材プールである。

「彼らのパターン認識力、創造的な論理、細部への注意力は、ISC2が最も需要が高いと指摘する能力に直接結びついており、私たちを顧客にとってより強力なパートナーにしています」とDemain氏は説明した。

サイバーセキュリティサービス企業Bridewellのタレントアクイジションマネージャー、Hannah Roome氏は、同社が多様性の向上と採用範囲の拡大を目指し、大学や業界団体、キャリアチェンジを希望する人々に積極的にアプローチしていると述べた。

「私たちは学校、大学、専門会員組織（SANS、WiCyS［Women in Cyber Security］、TechVets、Career Transition Partnershipなど）に対してワークショップ、プレゼンテーション、Q&Aを実施しています。これらの組織の多くは、軍を離れる人々を支援しています」とRoome氏は述べた。「これらの学校や大学の多くは、多様な背景を持つ恵まれないコミュニティを支援しています。」

IllumioのNandakumara氏は、候補者の既存の技術知識に注目するのではなく、サイバーセキュリティの採用は創造性、批判的思考、学ぶ意欲に焦点を当てるべきだと主張した。

「これらのスキルは技術的なものよりもはるかに教えるのが難しい」とNandakumara氏は主張した。「適性や多様な経験を重視することで、業界は非伝統的な人材を引き付け、より包括的な労働力を構築できるのです。」