今どき「即戦力が欲しい」は無理な話？ どういうセキュリティ人材が適任なのか：「働きやすいセキュリティチーム」をつくるには【後編】

セキュリティ体制を強化するためには「人」が欠かせないが、人材不足の中で専門家を採用するハードルは高い。どうすれば組織はセキュリティ人材を確保できるのか。そのヒントを探る。

[Chris Dimitriadis，TechTarget]

　サイバー攻撃の活発化や巧妙化を背景にして、セキュリティチームの役割が以前にも増して重要になっている。しかしセキュリティ体制を強化しようとする組織が直面するのが、人手不足の壁だ。優秀なセキュリティ担当者を確保するには、どうすればいいのか。採用だけではない「もう一つの選択肢」の可能性を探る。

即戦力がいないなら、どういう人材を探せばいいのか

併せて読みたいお薦め記事

連載：「働きやすいセキュリティチーム」をつくるには

• 前編：「ストレス増えた」「予算足りない」　セキュリティ担当者は割に合わない？

セキュリティ業界は人材が不足している

• セキュリティ人材不足に“終わり”はない　Check Point流のアプローチ
• セキュリティ人材こそ「未経験から育成する」のが賢い選択になる理由

　IT団体ISACA（Information Systems Audit and Control Association）の調査によると、組織はセキュリティ人材の採用に苦労している。セキュリティ担当者は高度なスキルや経験が必要なので、そもそも母数が大きくない。限られた専門家をどう自社に引き寄せるかが組織にとって悩ましい課題だ。解決方法の一つは、採用後の教育やトレーニングによってスキルを高めてもらうこと。つまり「専門家を採用する」のではなく、「専門家を育てる」ことを意味する。

　ISACAの調査では、セキュリティ担当者の5割以上が「セキュリティ担当者に最も不足しているのはソフトスキルだ」と指摘する。教育によって必要なセキュリティのスキルを獲得してもらうことを前提にすれば、幅広い背景を持った人材の中から採用できる。その結果、ソフトスキルと専門知識の両方を持った人材の確保につなげられる可能性がある。

　ソフトスキルの中でも、特にコミュニケーション能力が不足しているとISACAは説明する。セキュリティ担当者は丁寧にコミュニケーションを取り、部署の垣根を超えたセキュリティ運用や、従業員のセキュリティ意識の向上を図ることが重要だ。組織は教育において、セキュリティの技術的なノウハウだけではなく、さまざまな関係者とのコミュニケーションを成功させるためのスキル醸成に取り組まなければならない。

　組織はセキュリティ担当者の採用に当たり、キャリアチェンジを検討している人も視野に入れるべきだ。学習意欲が高い応募者であれば、入社時にセキュリティの経験や知識が不足していたとしても、比較的短期間でスキルアップできる可能性がある。ここでもやはり、社内教育の提供が欠かせない。自社での教育が難しい場合は、外部の学習コースを受けたり、認定資格を取得したりするためのサポートに注力しよう。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。