組織は依然として深刻なサイバーセキュリティ人材不足に直面しており、ISACAの新たな調査によると、65%の企業がサイバー関連のポジションを埋められていないと報告しています。
調査対象となったサイバーセキュリティ専門家の3分の1以上(38%)が、エントリーレベルの職種で採用に3~6か月かかると明かし、非エントリーレベルでも39%が同様だと答えました。
さらに、組織の半数がサイバー人材の定着に苦労していると認めています。
全体で、回答者の55%が自社のセキュリティチームは人手不足だと考えています。これは2024年の61%からわずかに減少しています。
また、回答者の半数以上(53%)がサイバーセキュリティ予算が不十分だと考えており、これは2024年の59%から減少しています。しかし、予算の増加を見込む人は昨年のState of Cyber 2025 調査(41%対47%)よりも少なくなっています。
取締役会がサイバーセキュリティを優先していると考える人はわずか56%です。
ISACAのグローバル戦略責任者、クリス・ディミトリアディス氏は次のようにコメントしています。「組織は問題を認識し、予算や人員に関する長年の課題に取り組み始めていますが、変化のスピードは依然として遅すぎます。」
さらに彼は次のように付け加えました。「現実には、サイバー犯罪者の動きの方が多くの組織の対応よりも速いのです。今こそ、より包括的なトレーニングを受けたサイバーセキュリティ人材への投資、顧客の信頼や競争優位性の獲得に向けた投資を行う時です。これは単なるインシデント後の受動的な対応ではありません。」
大学卒業生はサイバー分野に十分な準備ができていない
大学卒業生がサイバーセキュリティの職務に十分な準備ができていると考える回答者はわずか27%でした。
新卒者の主な知識不足分野は、インシデント対応(43%)、データセキュリティ(39%)、脅威の検知と対応(39%)、IDおよびアクセス管理(39%)でした。
セキュリティ専門家は、正式な資格よりもチーム内でのソフトスキルの重要性を強調しており、59%がこの分野にギャップがあると報告しています。必要とされるソフトスキルのトップ3は、クリティカルシンキング(57%)、コミュニケーション(56%)、問題解決力(47%)でした。
セキュリティ職において最も重要な資格要素とされたのは適応力(61%)で、次いで実務経験(60%)が挙げられました。
全体で、調査対象者の46%が、自社のサイバーチームの半数以上が他分野から転職してきたと答えています。
ディミトリアディス氏は、これらの調査結果はサイバーセキュリティ分野への多様な道を広げ続ける必要性を示していると述べました。
「実践的なトレーニング、専門資格、移転可能なスキルを重視することで、組織はチームを強化し、過度な負担がかかっている専門家へのプレッシャーを和らげることができます」と彼は指摘しています。
脅威の状況がサイバー専門家へのプレッシャーを増大
ISACAの調査は、サイバーセキュリティ専門家へのプレッシャーが高まっていることも浮き彫りにしました。約3分の2(66%)が、5年前よりも自分の役割がストレスフルになったと答えています。
最大の要因は複雑化する脅威の状況で、63%の回答者がこれを挙げました。
3分の1以上(35%)が2025年に攻撃が増加したと報告し、43%は今後1年以内に自社が攻撃を受ける可能性が高い、または非常に高いと考えています。
さらに、39%が、法的に報告が義務付けられている場合でもサイバー犯罪が過少報告されていると考えています。
自社チームのインシデント対応能力に自信があると答えたのはわずか41%でした。
回答者が挙げた主な攻撃ベクトルはソーシャルエンジニアリング(44%)で、次いで脆弱性の悪用(37%)、マルウェア(26%)が続きました。
ISACAのState of Cybersecurity 2025-2026レポートは、世界中の3800人以上のサイバーセキュリティ専門家を対象に調査を行いました。
翻訳元: https://www.infosecurity-magazine.com/news/two-thirds-unfilled-cybersecurity/
