今月、Cyber-sec+ Jobs vol.1が開催されます。このイベントはセキュリティ人材の転職イベントです。僕らがなぜ、セキュリティ人材の転職イベントを開催するのか、説明したいと思います。
まず Cyber-sec+ はセキュリティ界隈を盛り上げたいという気持ちで始まったイベント、コミュニティ全体の総称です。このCyber-sec+にはSlack(継続的な交流)、Meetup(リアルでの交流)、College(スキルアップ)と複数シリーズがある中で、Jobsは転職メインのイベントになります。
なぜ、セキュリティ人材の転職イベントを開催するのか
セキュリティ人材の採用は情シスの採用以上に難しいと感じています。そんな課題に対して、採用/転職機会を増やす方法になれば、と思って開催を検討しました。私が情シス転職ミートアップをおよそ4年やってきて、多少のノウハウを持っていることも大きかったです。
セキュリティ人材の採用が難しいと思ったエピソードを紹介します。過去、私はセキュリティエンジニアの採用に関わっていました。そのとき、1人のセキュリティエンジニアを採用するのに2年以上もかかりました。当然、採用ハードル、採用の優先度などの変数はあれど、かなりの時間がかかっています。
このような経験を通して、セキュリティ人材の採用は難しい...と感じました。
私の経験は局所的な問題だろうと思っている人もいるかもしれません。そこでデータを見つけました。
需要は59万1000人と33%増加。需要に対して11万人足りず、人材不足の状況は悪化している。と結論付けています。
この記事だけを見るだけでも需給のバランスが崩れていることがわかると思います。
なぜ、セキュリティ人材の採用は難しいのか
では、なぜセキュリティ人材の採用は難しいのか?
個人の経験とデータから3つの理由があると思っています。
- 双方のポジションマッチが難しい
- 単純にセキュリティ人材が少ない
- 業務上、報われないと感じことが多い職種であること
1. ポジションマッチが難しい
まず1つ目の理由。経験から感じたことですが、求職者と企業のポジションマッチが難しいという問題です。セキュリティはとても範囲が広いです。例えば、同じセキュリティでも実際の中身は大きく違います。
1. セキュリティ(全部)
2. セキュリティ(セキュリティ戦略、企画)
3. セキュリティ(全社IT環境のセキュリティ)
4. セキュリティ(SOC/CSIRT)
5. セキュリティ(Webプロダクトのセキュリティ)
6. セキュリティ(OTセキュリティ)
7. セキュリティ(セキュリティ教育)
8. セキュリティ(脆弱性診断)
例えば求職者はセキュリティ(セキュリティ戦略、企画)を経験しているが、募集ポジションで求めているのはセキュリティ(全社IT環境のセキュリティ)だったりします。そうするとマッチングがうまくいきません。
これを解決する方法として、今考えているのが共通指標で可視化できたらと思っています。例えば、セキュリティの分野とプレイヤー、マネジメントの2軸で可視化するなどです。あくまでイベントの中での可視化、ということになりますが、今後検討していきたいです。
2. 単純にセキュリティ人材が少ない
2つめの理由はとても単純でセキュリティ人材が少ないためです
まず王道のキャリアではないのは確実です。IT/Webのエンジニアで王道はソフトウェアエンジニアであり、インフラ、QA、コーポレートIT、セキュリティあたりは、王道から少し外れており、人数も少ないでしょう。
では、なぜセキュリティ人材が少ないかと言うと、これは複数の要因が合わさっています。広範囲なセキュリティ知識の他にコンサルスキルを求められることがある、このあと話をする報われないと感じる職種である、王道から少し外れているため、単純にセキュリティという職種を知らないなどなど、が考えられます。
広範囲なセキュリティ知識の他にコンサルスキルを求められること、について少し細く説明をしておきます。セキュリティの複数分野の知識経験と多くの場合、コンサルスキルが必要になります。
これは事業会社のセキュリティポジションの話になりますが、事業会社であれば、よほどセキュリティ部門の人数が多くない限り、何でも屋になりがちです。少ない人数でセキュリティを担保しようとする結果です。つまり、1人で複数分野を担当することが多いです。
例えば、セキュリティ(全社IT環境のセキュリティ)をやりつつ、セキュリティ(セキュリティ戦略、企画)をやるっていうのも多いですし、さらにセキュリティ(Webプロダクトのセキュリティ)もやるということは多いでしょう。
またセキュリティ部門というのは基本的には全く知らない他の部門の業務やシステムを理解し、セキュリティ課題を分析することが求められます。つまりこれはコンサルスキルに近いと思っています。実際に開発運用しているチームからヒアリングして、システムを可視化し、そのあとセキュリティ課題を明確にする。そして対策を提案し、プロジェクト化して、解決まで導くという流れ
結果として、セキュリティの複数分野の知識、経験が求められつつ、かつコンサルスキルが必要になることが多いといえます
余談ですが、私自身は副業でセキュリティ講師をしており、その活動を通じてセキュリティ人材をちょっとでも増やそうと思っています。
3. 報われないと感じる職種
3つ目の理由は、セキュリティの仕事は報われないと感じることが多い仕事なためです。
まず1つ目の壁として、セキュリティは関係者からの協力を得ることが難しいことがあります。これはセキュリティに対しての感情がネガティブから入るため、ここに最初の壁があります。この壁を頑張って突破して、セキュリティ文化の醸成ができ、会社全体がセキュリティを前向きに捉えられるようになるととても仕事がしやすくなります。これはすごいことです。しかし、このあとにも2つ目の壁があります。2つ目の壁は結局、売上利益に結びつかないということ。そして最後の壁は、どんなに頑張って対策をしてもインシデントは起こるということ。100%守れるということは基本的にありません。そうなったら責められるのはセキュリティ部門です。(海外の場合、CISOはインシデント発生時のスケープゴート役とも揶揄される)
簡単に言うと、会社として必要な役割にもかかわらず、セキュリティは関係者からの協力を得ることが難しい中で、100%守れないことはわかりつつ日々頑張って、実際にインシデントが起きたら責任を取る。そういうお仕事です。
Cyber-sec+で達成したいこと
ここでセキュリティ人材の採用が難しい理由を再掲します。
- ポジションマッチが難しい
- 単純にセキュリティ人材が少ない
- 報われないと感じる職種
これらの原因に対して、Cyber-sec+としては以下のようにアプローチしていこうと思ってます
- ポジションマッチが難しい → どんなポジションを募集しているかの共通指標
- 単純にセキュリティ人材が少ない → Cyber-sec+ Collegeで知識、スキル活用を学ぶ場を提供
- 報われないと感じる職種 → Cyber-sec+全体でセキュリティは楽しいというPR活動
現在のセキュリティ人材の雑感
今回、Jobsを行うあたって、多くの応募要項を見てみてみました。その中でセキュリティ人材の募集で感じるところがありました。あくまで個人的な感想のため、ソースは?と言わないで欲しいです。
やはり、以前と比較して、セキュリティの求人が増えていると感じています。特に事業会社のセキュリティポジションが増えました。
理由を考えてみましたが、大きくは2つ。セキュリティが必要となるビジネスが増えたこと。わかりやすいところでいうと、Fintechやヘルステックの事業を行う企業が増えたため、そこを担うセキュリティポジションが増えたと言えます。もう1つはやはり攻撃やセキュリティインシデントが増えたことです。以下資料にはサイバー攻撃関連の通信数の推移があります。これを見ると増加傾向にあります。
最後に
冒頭の資料でも需要に対して11万人足りないとありました。そのような中で、採用企業と求職者がともによいマッチングができる機会がJobsです。
ということで、Cyber-sec+ Jobs vol.1に参加してね
Discussion