サイバーセキュリティ人材を確保するには
サイバーセキュリティ人材が世界中で不足しています。どうすれば優秀なサイバーセキュリティ人材を採用できるのでしょうか?Morgan McKinleyが考えるソーシングの工夫や選考時の注意、オファーマネジメント、リテンション対策をご紹介します。
そもそもサイバーセキュリティとは?
最初におさらいをしておくと、サイバーセキュリティとは、「デジタル化された情報の改ざんや漏洩を防ぐ手段」(NTT)のこと。
明星大学情報学部情報学科の丸山一貴准教授は次のようにまとめています:
- サイバーセキュリティとは、サイバー攻撃に対する防御行為であること。
- 何を防御するのかについては、情報データを防御すること。
- どこを防御するのかについては、コンピューターとネットワークを防御すること。
- どのように防御するかは、情報データが漏れたり壊れたりしないように防御すること。
このための技術やプロセス、プラクティスに精通したプロフェッショナルがサイバーセキュリティ・エンジニアを始めとするサイバーセキュリティ人材です。
サイバーセキュリティ人材の需給バランス
今、世界中の企業がサイバーセキュリティに注目しています。ハッカーが使う技術はどんどん高度化しており、その脅威は日に日に増しているからです。コロナによる在宅勤務の広がりにセキュリティ対策が追い付いていない場合も多く、会社側が情報を管理しづらくなったことも、ハッカーにとっては好都合でしょう。
米国ではバイデン大統領が90億ドルの予算を計上し、テクノロジーのアップグレードとサイバーセキュリティ関連の人材確保を後押しすると表明しました。
でも予算がいくら積み増しても、採用する人材がいなければ意味がありません。
残念ながらセキュリティ人材の育成は全く需要に追い付いておらず、サイバーセキュリティ人材は世界中で圧倒的に不足しています。社員の多様性にも配慮するとなれば、サイバーセキュリティの中途採用市場では需要と供給が全く釣り合っていない状態です。
サイバーセキュリティ人材の選考の難しさ
サイバーセキュリティ人材の選考の難しさもボトルネックになっています。どのようなニーズに対してどのようなスキルを求めればよいか、応募者の実力をどう見極めるかのノウハウがまだ確立されていないからです。
例えば、純粋に技術的な能力にだけ注目して人を雇うと、会社のニーズに合わない仕組みになってしまったり、各部署との連携がうまくいかず、せっかく構築したシステムを効果的に運用できない、といったトラブルが起きます。
経営陣の意図を理解し、技術的な専門知識が豊富で、革新的な発想でセキュリティ体制を構築できる人材は、本当に稀有な存在です。
まずはCISO(最高情報セキュリティ責任者)を確保して、セキュリティ体制作りをリードしてもらいたいと思えば尚更、ビジネスも技術も理解できる人材を迎えたいところです。
サイバーセキュリティ人材のソーシング
ではどうすれば有能なサイバーセキュリティ人材を確保できるのでしょうか?
まず考えられるのが、既にサイバーセキュリティエンジニアなどして活躍している人材や、大学などで関連分野を専攻・研究した人材へのアプローチです。どちらも非常に有効なやり方ですが、正攻法なので他社との競争を覚悟すべきです。
このやり方で候補者が集まらない場合は募集条件を一度見直しましょう。サイバーセキュリティ人材に必要な資質を大きく分けると次のようなものがあります:
- 開発スキル
- サイバーセキュリティの最新情報・トレンドの知識
- 分析力、問題解決力や発想力
- コミュニケーション能力、チームワーク・スキル
必要以上に高度な条件を設定し、候補者層を自ら狭めていませんか?特にエントリレベルのジュニア人材を探すなら、厳しすぎる応募条件は禁物です。
次に、候補者層を広げる方法を考えてみましょう。幸い、リモートワークの普及により、遠方の人材も採用できるようになりました。通勤圏内で適任者が見つからない場合は、通勤圏や過去の経歴にこだわらず、海外人材や他分野の人材にも目を向けてみるとよいと思います。
更に、契約・派遣という雇用形態も検討しましょう。幸い、契約・派遣人材の厚みが増しています。キャリアや働き方に対する考え方が変わり、必ずしも正社員にこだわらないという人が増えているのです。
今までとは違う分野に目を向けることで、優秀な人材を見つけることができるだけでなく、多様性に富んだ組織を構築することができるでしょう。
サイバーセキュリティ人材へのオファー&タレントリテンション
候補者層を広げるだけでなく、適切な予算を設定し、オファーマネジメントを慎重に行うことも大切です。
例えば2023年のサイバーセキュリティ関連職の平均年収は次の通りです:
- サイバーセキュリティ・エンジニアの平均年収は1000万円(基本給のみ、ボーナス別)
- サイバーセキュリティ・マネージャーの平均年収は1000~1400万円(同上)
- 情報セキュリティ・エンジニアの平均年収は1000~1100万円(同上)
- ネットワークセキュリティ・エンジニアの平均年収は1200万円(同上)
- CISOの平均年収は1400~2500万円超(同上)
年収以外の面でも柔軟に対応する必要が出てくるかもしれません。社員が会社に期待することは変化しつつあり、タレントアトラクションのポイントも変わってきています。在宅勤務やハイブリッドワークができる制度、育児休暇や介護休暇の取りやすさ、教育補助、年金等の福利厚生が魅力的であれば、年収は多少妥協してもいいと考える働き手も少なくありません。
同時に、オファー受諾率を上げるためには選考や意思決定のスピード感、カウンタ―オファー対策も必要です。
タレントリテンション対策も万全を尽くしましょう。人材不足の市場では、採用した社員のケアをしっかりしないとすぐ他社に引き抜かれてしまいます。
McAfee社が2019年に最近行った調査でも、人材確保の難しさを裏付ける結果が出ています。米国、英国、ドイツ、フランス、シンガポール、オーストラリア、日本の950人のサイバーセキュリティマネージャーおよび担当者のうち、89%が、よりよい給与や魅力的なインセンティブを与えてくれる企業が現れたら転職すると回答しています。
同社は2017年に行った別の調査で、サイバーセキュリティ人材のリテンションにおける研修や能力開発支援の重要性を指摘しています。調査に協力した採用責任者の半数近くが、研修やトレーニング、資格取得支援の不足を理由に、サイバーセキュリティ人材に転職された経験があることがわかったからです。
サイバーセキュリティ関連の資格は、取得はもちろん、維持にもお金がかかります。また常に新しいトレンドが生まれている業界なので、よい仕事をするためにはセミナーなどに参加して最新の知識を吸収する努力が欠かせません。こうした費用や時間を全てプライべートから捻出するのはかなりの負担になります。従って会社として既存社員のスキルアップをサポートできれば、タレントリテンションに非常に有効なだけでなく、会社のサイバーセキュリティ対策の向上にもつながるはずです。
サイバーセキュリティの採用でお困りですか?
サイバーセキュリティは、採用が非常に困難な分野であることは間違いありません。
Morgan McKinleyでは、グローバルな人材紹介会社としてアジアはもちろん、欧州・米州にも複数の拠点を持ち、世界各地にサイバーセキュリティの人材市場に精通したコンサルタントを置いています。このネットワークを生かして、採用企業とグローバルなタレントプールを結びつけるお手伝いをしています。
サイバーセキュリティ人材の採用のご相談もお待ちしています。ニーズに応じて最適な方法をご提案させていただきます。
現在Morgan McKinleyで扱っている求人はこちら:
サイバーセキュリティのキャリアに興味がある方はこちらをどうぞ:
サイバーセキュリティの転職事情:募集条件から資格、キャリアパス、年収まで