優れた組織は、ツール、製品、サービス、そして-たぶんこれが一番大事なのですが-非常に高度な知識を持ったセキュリティ専門家によって、サイバー攻撃から自分たちを防御します。しかし優れた人材を確保し、スキルを維持させることは非常に難しくなっています。優れた人材が不足しているため、教育機関に人材の補充が求められています。これは容易なことではありませんが、高等教育でサイバーセキュリティを救う必要があります!
セキュリティ専門家に対するニーズはこれまでになく高まっていますが、優れた人材が非常に不足しているのも事実です。さまざまなデータでも、セキュリティ部門の最大70%が人材不足で、最大40%のジュニアレベルのポジションで欠員があり、シニアレベルとなると最大50%の欠員があることを示唆する結果が出ています。セキュリティ専門家不足、特にリーダー職での不足は、社内でのチーム編成がどうしても必要な組織にとっては大きな障害となります。
優れたサイバーセキュリティ専門家の採用は、あなたが考えているほど簡単ではありません。大学側も不足している人材をできるだけ早く紹介できるように努めていますが、求められる知識や経験がある人材を紹介することは困難です。一部の専門家はサイバーセキュリティを「失業率ゼロ」の分野だと話しています。事実、需要と供給のギャップが拡大しており、2020年までに不足する人員が150万人に達する見込みです。さらに問題を深刻化させているのが、このような需要と供給のギャップによって、セキュリティ専門家の給与が高騰し、IT分野の専門家よりもはるかに高くなっているという事実です。特に、昨年は給与が2桁も伸びました。リーダー職のニーズも高く、報酬が高騰しています。この問題を解決するためには、供給量を増やすしかありません。
解決を阻む障壁
高等教育機関と行政機関は、とてつもなく大きなニーズに対応すべく、セキュリティ分野の新卒者を組織に多数送り込もうとしていますが、深刻な障壁がそれを阻んでいます。従来の方法では、教育制度が業界ニーズと十分整合していないこと、学位やカリキュラムに関する一貫した標準が不足していること、そして変化の激しい分野で、学生に必要なコンテンツの教育を行うことが難しいことがわかりました。
業界内の位置付けが常に変化しており、新しい役割や責任が早いペースで登場しています。教育や経験に対する期待と共に、役職も変化しています。最近の連邦政府職種一覧では、100種類以上の職種にサイバーセキュリティ関連の多くの作業が含まれており、全人材の約4%に相当する最大160万人のスタッフがこの種の作業に従事していることがわかります。これ以外にも、プライバシー、ビッグデータ、IoT(モノのインターネット)、ポリシー、顧客保護、製品設計、テスト、監査、調査、セキュリティ関連の法務に関わる新しい業界での役職も誕生しています。雇用主が本当に必要としている人材は常に変化するため、教育機関にとっては卒業生のスキルセットとの整合が困難です。
異なる高等教育機関の間の一貫性という課題もあります。国が認めたサイバーセキュリティの学位というものは存在しません。ほとんどのプログラムはカスタマイズされており、大学ごとに重点分野や卒業要件が違います。この種のプログラムの所属学科についてさえ、コンセンサスが得られていない状況です。2014年にPonemonが発表したレポートによると、サイバーセキュリティを専門とする学部は、エンジニアリング、コンピューターサイエンス、ライブラリー、軍事、ビジネス、法律など多岐に渡ることがわかっています。その結果、まったく異なる教育知識とセキュリティスキルを備えた新卒者が、企業や組織に加わることになります。これは欠員補充を目指している雇用主と、優れた能力を発揮しようとしている求職者の両方にとって問題です。
サイバーセキュリティを扱う可能性が高い学部(上位183の教育機関のデータを基に作成)
サイバーセキュリティを学校で教えること自体、難しいことです。テクノロジー、脅威、攻撃方法は急速に変化しています。8か月から12か月ごとに、業界が新たな重点項目にシフトするようです。セキュリティを担当している同僚によると、「教科書で学んだ知識は、すでに使えなくなっている」とのことです。従来からある暗記型の学習方法では、専門家を育てることができません。もっと変化に対応できるダイナミックな情報と、それを授業に取り込めるようなプロセスが必要です。サイバーセキュリティの授業は、実社会の状況に非常に近く、俊敏なものでなければなりません。
現在、新卒者自身も、新卒者に投資をしている企業側も期待外れの状況が発生しています。役に立ったのは卒業する前の6か月の授業だけだったと学生は話しています。それ以前の授業は単に興味深い昔話で、あまり役立たないと話す人がほとんどでした。状況を理解し、基本的なスキルを確立するために、基礎を学ぶことは必要ですが、リスク回避のために知識を実践的に応用することが最も重要なのです。新卒者を採用した多くの企業が、初日から学んだことを生かすことができないという新卒者の現状に、不満を感じているように見受けられます。チームの一員として歓迎はしていますが、組織が現在直面している課題や、それに対処するための方法について、ほとんど1から教えなければならないからです。つまり、両方にとって期待外れなのです。
プログラム内容、教育のバックグラウンド、コンテンツの解釈が大きく異なるため、基本が見過ごされることがあります。新卒者の多くが、障害と攻撃者の実践的な違いについて理解していません。私が見る限り、統計学のバックグラウンドがある人を除き、ほとんどの人が脆弱性と損失リスクというものの相対的な違いを理解していません。最大の懸念は、多くの学生が近視眼的な見方しかしておらず、サイバーセキュリティが技術と行動が関係する分野だという点を見過ごしている点です。技術系の新卒者の大半がセキュリティをエンジニアリングだけに関連する問題としてとらえ、適切なハードウェア、ソフトウェア、または構成で目的を達成し、問題を解決できると考えています。しかし現実はこうではありません。サイバーセキュリティには技術と人的要因を連携させる必要があります。1つの側面だけに対応しても状況は改善されますが、最終的には孤立した戦略になり、失敗してしまいます。これはあらゆるセキュリティスタッフが仕事を始める前に精通していなければならない基本的な情報なのです。
明確な解決策
この問題を解決するには、次のような3段階で取り組む必要があります。最初に、高等教育機関と業界が提携して、女性や少数民族を含む多くの人材を、サイバーサイエンスの分野に取り込む必要があります。現在の学生の数では需要に応えることができません。また、多様な人材を確保することでまったく新しい考え方が得られ、クリエイティブな考え方で難問を解決できるようになるのです。
高等教育プログラムに求めること…
1 将来のリーダーや現場スタッフへの教育
・技術 + 行動
・脆弱性 + リスク
・攻撃 + 脅威
2 業界エキスパートの活用
3 新卒者との知識共有や議論を促進
次に、変化の激しいトピックや環境を考慮した内容や教材を使用して、学生をトレーニングする必要があります。生涯学習の一環として、大学院生にも拡大すればさらに効果的です。現在専門家として活躍している人々も一定の役割があります。学生へのアドバイスや指導、教育機関のサポート、カリキュラム作成への協力によって、今後のニーズ拡大やセキュリティ環境への対応強化に貢献する必要があります。先日のNSFサイバーセキュリティサミットでの教育者、学術機関向けのプレゼンテーションでは、従来のトピックを拡大すること、そして業界で活躍している人々を招いて学生向けにタイムリーな洞察や議論を展開してもらうことを推奨しました。学術界と業界全体でのチームワークは双方にとってメリットをもたらし、職場に新たに加わる新卒者の有用性も高まります。
そして第3に、市場でのセキュリティロールに合わせてカリキュラムを設計する必要があります。教育機関全体で学習内容の習得を確認するための試験について、ある程度の一貫性が必要です。つまり、サイバーサイエンス分野の学位プログラムを確立する必要があります。
目標達成に向けて
業界は以前から人材不足の問題を認識しており、サイバーセキュリティ専門家に対応した学術体制に変更しようと、いくつかのグループが積極的に取り組んでいます。米国のNational Initiative for Cybersecurity Education(NICE)は、教育、行政、民間企業の連携によってサイバーセキュリティの教育と人材開発を行うための戦略的組織です。Association for Computing Machinery(ACM)は国際的なコンピューティング団体で、サイバーセキュリティを担う人材向けに、統一された知識コンテンツを開発しています。
多数の高等教育機関もこの問題に個別に取り組み、エキスパートの助けを借りて、学生に役立つ教育を行い、実際の職場でのニーズに対応しやすくしています。教員や学生が最新のトレンド、研究内容、ベストプラクティスを常に把握できるように、業界の専門家にサポートを依頼しています。
Cyber Education Project(CEP)の業界諮問委員会は、米国の教育機関における認証評価プログラムによって、サイバーサイエンス学位と必要な認定基準を正式に確立しようとしています。制度上は2016年にはサイバーサイエンス学位が正式に承認される見込みで、高等教育界全体で、学位取得のための一貫したガイドラインが作成されることになります。
ただし当面の間は、企業は厳しい雇用環境への順応が必要です。サイバーセキュリティの技術スタッフやリーダーの採用は今度もしばらくは難しいでしょう。人事(HR)部門はこのような問題に備え、対処する重要な役割を担っています。昨年主要な人事組織向けに実施したプレゼンテーションでは、人事が既存の優れた人材を維持しつつ、潜在能力の高い人材を計画的に採用するために、いくつかの分野で必要な作業を提案しました。
人事部門によるサイバーセキュリティへの対応
サイバーセキュリティの人材採用
・サイバーセキュリティの人材は枯渇気味で、熟練した人材は積極的なヘッドハンティングの標的になっている
・優れた人材の維持は困難で、常にヘッドハンティングの動きが活発だということを認識すべき
・トレーニングを受けた次世代の人材は、タイムリーな知識と経験が不足しているだろう
・必要なスキルを持った人材が採用できていない。必要なスキルを具体的に示すこと
・業務経歴の実用性は大きく異なる
・潜在能力の高い人材を根気強く探し、見付かったらすぐに確保すること!
人事チームは既存のセキュリティスタッフに対して魅力的な待遇が提供できるように、給与を常に見直し、適切な報酬額を保証することで、セキュリティスタッフを獲得しようとサメのように巡回しているヘッドハンターから優れた人材を守ります。また、人事担当者は新しいセキュリティスタッフの採用を希望しているマネージャーと率直な意見交換をして、現在の市場価格と予算のかい離、スタッフによって報酬が不均衡になることで既存のスタッフに不満が生じる可能性があること、人材が確保できるまで通常よりも長くかかる可能性があることを伝える必要があります。場合によっては、アウトソーシングしたほうが最適な場合があるので検討が必要です。
サイバーセキュリティを救う必要がある
サイバーセキュリティスタッフがますます不足しているため、業界は問題に直面しています。十分トレーニングを受けたスタッフがいなければ、組織は適切なサイバーセキュリティ環境を確立、維持することができません。学術界は次世代のスタッフ育成のためのゲートウェイであり、大学はこうした人材不足に対処しようと取り組んではいますが、求められている知識や経験を備えた人材を提供することの難しさを痛感しています。ゆっくりではありますが、学術界のトップがさまざまな取り組みを開始しています。テクノロジーでサイバー犯罪と闘うことができますが、本当に勝利を勝ち取るために重要なのは人です。闘いを継続する次世代の専門家に投資する必要があります。高等教育によってサイバーセキュリティを救う必要があります。
この記事は2015年8月24日にIntelコミュニティサイトに投稿されたものです。
※本ページの内容は McAfee Blog の抄訳です。
原文: Higher Education Must Save Cybersecurity
著者: Matthew Rosenquist(Rosenquist specializes in security strategy, measuring value, and developing cost-effective capabilities and organizations that deliver the optimal level of security. )