サイバーセキュリティのスキルギャップへの対処
現在、インターネットは、社会機能の多くの基盤となっています。2021 年の終わりには、インターネットユーザーの数が、世界人口の 63% に相当する 49 億人を超え、1 日の平均オンライン利用時間は 170 分に達しています。
インターネットは私たちの生活や人生にメリットをもたらしますが、一方で、悪意のある目的で利用する者も存在します。サイバー攻撃は、飛躍的な勢いで増加しており、インフラストラクチャ全般、産業や政府に脅威を与えています。フォーティネットが引用した最近のサイバーセキュリティ統計によると、2020 年にはマルウェア (358% 増) とランサムウェア (435% 増) の使用が共に大幅に増加しており、他の一般的な攻撃タイプも同様に増加しています。
サイバー犯罪から身を守り、私たちのデータとその完全性、そして生活を守るために、業界全体が発展を遂げてきました。しかし、世界中で272万人分のサイバーセキュリティ職の空きを埋める、熟練したプロフェッショナルの不足が続いています。サイバー犯罪が急増し、世界共通の問題となっている中、このギャップにどのように対処すればよいのでしょうか。そのためには、採用活動の多様化、代替手段への投資、従来とは異なる人材プールからの人材の発掘、そして新しい考え方が必要です。
皆のための、皆によるサイバーセキュリティ
ほとんどの産業で認識されつつあるように、持続可能な成功は多様性に大きく依存しており、それはサイバーセキュリティの未来にも当てはまります。今日の高度な脅威アクターは、その地理的条件や動機が多様であるだけでなく、経済的背景もさまざまで、性別、人種、考え方も多様です。相手を的確に理解し、敵対者に対抗するためには、セキュリティチームにもそのようなコミュニティを反映させる必要があります。多様なプロフェッショナルを参加させれば、私たちは脅威からより効果的に身を守ることができるようになります。
また、従業員が多様になれば創造性が高まり、新しく多様な視点を加えることによって、防御セキュリティチームはサイバー攻撃者についてより深く考えられるようになります。防御の分野に新しく多様な視点を取り入れることができるのです。たとえば、女性 (未だにサイバーセキュリティの人材プールの 4 分の 1 にすぎません)、退役軍人、学生、経済的に困難なグループ、キャリア転換を希望する個人などがその候補になります。
個人がサイバーセキュリティの職務で成功するためには技術的スキルが必要であるという考え方が、セキュリティをキャリアとして考える人材の決断を躊躇させてしまうことがあります。しかし、これはよくある誤解です。問題解決、分析的思考、コミュニケーション、人間関係の構築、好奇心など、ビジネス上のスキルも重要になります。これらはすべて、この分野で成功するためのスキルです。このような偏見は、多様性を阻害するだけでなく、攻撃を防ぐための組織の能力を損なうことにもなりかねません。
業界マインドセットの変革
これらの課題を解決するには、採用方法の変更と求めるものの転換が重要になります。そのためには、従来とは異なるプールの人材や、サイバーセキュリティに適した多様な資質を持つ人材の採用が必要になります。
たとえば、退役軍人は、サイバーセキュリティのキャリアの成功に欠かせないリーダーシップ、チームワーク、戦略的思考のスキルに精通していることが多く、米軍では毎年約 20 万人が任務を終えて民間人の生活に復帰しています。このような人々がテクノロジー企業に入社するためのネットワーク作りと認定資格のハードルをクリアすれば、サイバーセキュリティのスキルのギャップと退役軍人の失業率の両方に顕著な違いをもたらす可能性があります。
また組織は、再教育の取り組みに投資し、従来はコンピューティングに関与していなかったグループにも手を広げることによって、組織内の人間をサイバーエキスパートに育成することも考えられます。セキュリティの分野では、コミュニケーションと能力開発、エンジニアリング、意識向上、運用、ガバナンス、リスク、コンプライアンス、プログラムと製品管理、攻撃的セキュリティチームなど、さまざまな役割において、チームプレーヤー、個人、非技術的および技術的スキル、転用可能なスキルを必要としています。この業界に欠けているのは、キャリアパスの多様性です。
活動への参加
非常に幼い頃から、サイバーセキュリティの入門となる、楽しく、身近で、やりがいのある課外活動があり、生徒たちは実験と集中した活動を通して多くの概念を探求することができます。英国における National Cyber Security Centre (NCSC) の Cyber First プログラムがその好例です。アフリカの Absa Cybersecurity Academy には、秩序だった技術学習、実践的・経験的な学習、個人向けにカスタマイズされた集中的な技能習得やソフトスキルなどが含まれます。フォーティネットは、ホワイトハウスの National Cyber Workforce and Education Summit の一環として、米国のすべての幼稚園から高校までの学校区とシステムを対象に、教育に特化したセキュリティ意識向上トレーニングのサービスを無償で提供しています。また、米国ガールスカウトは、米国国土安全保障省 (DHS)、サイバーセキュリティ・社会基盤安全保障庁 (CISA)、CYBER.ORG と協力し、ガールスカウトと米国本土の 6 年生から 12 年生の女子を対象にした Cyber Awareness Challenge for Girl Scouts を開発しています。さらに、この重要なトピックについて学ぶために、プログラムに参加するすべてのレベルの女子向けに、サイバーセキュリティカリキュラムも用意されています。
大学生は、分野横断的なチームで参加できる、アトランティックカウンシルの「Cyber 9/12 Strategy Challenge (サイバー9/12戦略チャレンジ)」など世界各地で開催されるコンペティションに参加できます。また、参加が直接的なきっかけとなって、サイバー関連の学位や経歴を持たない学生でも、この業界でのキャリアを積極的に模索するようになる場合があります。
また、大学生は、地域社会でサポートサービスを提供する現場経験を積むことによって、就職のための準備をすることができます。Consortium of Cybersecurity Clinics は、ベストプラクティスを共有する大学から成るコンソーシアムです。Salesforce Futureforce のインターンと新卒者は、ビジネスの運営に影響を与える実際のプロジェクトに取り組むことで、将来に具体的な影響を与える体験ができます。フォーティネットは教育機関に、業界で認められたフォーティネットの認定カリキュラムとリソースを提供し、学生にサイバーセキュリティのキャリアを紹介するアカデミックパートナープログラムを実施しています。また、世界経済フォーラムでは、対話、行動、変革を推進する若者のネットワークであるグローバルシェイパーズが主導してサイバー分野におけるインクルージョンを向上させるインクルーシブなサイバー人材育成プロジェクトが進められています。
また、多くの大手サイバーセキュリティ企業は、キャリアアップや業界外からのサイバーセキュリティ業務への移行を希望する人たち向けにトレーニングサービスを提供しています。たとえば、フォーティネットの Training Institute では、自分のペースで利用できる幅広いオンライン学習コースを無料で提供しています。
出発点として最適
サイバーセキュリティのキャリアをスタートさせることに興味があるのであれば、Salesforce、フォーティネット、Global Cyber Alliance、世界経済フォーラムの提携によるサイバーセキュリティ学習ハブイニシアチブの一環として作成された Cybersecurity Career Path から始めることをおすすめします。キャリア向けの情報、専門家によるインタビュー、トレーニングモジュールなどのライブラリが充実しており、学習者は需要の高いさまざまなサイバーセキュリティ業務を通じて、自分のキャリアパスを描くことができます。私たちは力を合わせて、サイバーセキュリティの人材を育て、サイバーセキュリティの専門家を一人ずつ増やし、世界をより安全にしていきます。
この記事は、サイバーセキュリティ学習ハブチームの以下のメンバーによって作成されました。
Gill Thomas は、Global Cyber Alliance (GCA) の Capacity & Resilience プログラムのエンゲージメントディレクターです。20 年間電気通信事業に従事し、キャリアの中断から復帰後、サイバーセキュリティの職に就きました。デジタルトランスフォーメーションがチャンスと成長を促進する一方で、サイバー犯罪が急激に増加していることに気付いたためでした。彼女は、サイバーセキュリティと、サイバーインシデントが国際社会に与える壊滅的な影響にますます興味を持つようになりました。GCA では、世界中のパートナーと協力し、すべての人のサイバーリスクを軽減するためのプロジェクトを実施しています。
Melonia da Gama は、Fortinet Training Institute のマーケティングディレクターです。彼女には、ネットワークセキュリティを含むさまざまな業界における、世界規模のマーケティングおよびコミュニケーションの開発・管理の 20 年以上の経験があります。Melonia はこれまでの職務で培ったスキルと経験を生かし、2020 年にサイバーセキュリティ業界に入りました。Fortinet Training Institute の全プログラムのプロモーションを担当しています。これらのプログラムは、IT およびセキュリティのプロフェッショナルを対象としていますが、女性、マイノリティ、退役軍人、学生など、過小評価されたグループの人々のためのプログラムを開発することによって、サイバーセキュリティ業界に多様性をもたらすことも目的としています。
Seán Doyle は、スイスのジュネーブにある世界経済フォーラムのサイバーセキュリティセンターのリーダーです。彼の職務は、銀行、決済、重要インフラストラクチャなどの分野におけるサイバーセキュリティのスキル向上と官民パートナーシップによるサイバーレジリエンスの強化を中心としています。それ以前は、Seán は、企業調査に 10 年間携わっていました。サイバーセキュリティの分野で働くことによって、個人、コミュニティ、経済の保護に貢献する、幅広い影響を与えられると考えています。
Rachel Holz は、2016 年に Salesforce に入社し、セキュリティ部門と Trailhead チームを担当してきた、25 年以上の経験を持つサイバーセキュリティリードです。Rachel は、人事、組織有効性、教育設計のバックグラウンドを持ち、Salesforce 入社前は経営コンサルタントとして働いていました。常に気を抜けず、影響力や現実問題への関連性を実感しながら自分のスキルを活用できるため、サイバーセキュリティの仕事を大変気に入っています。
Laura Pelkey は、顧客、パートナー、セキュリティ業界との連携を図り、セキュリティのベストプラクティスに対する認識を深め、導入を推進しています。セキュリティ業界で 10 年以上のキャリアを持ち、人々の貴重なデータを保護するための支援に強い熱意を持って取り組んでいます。最近では、Salesforce の社外向けセキュリティ意識向上プログラムを運営しています。