サイバーセキュリティ専門家の必要性は世界中で高まり続けています。しかし、主要な IT セキュリティ組織が 6 年前に追跡を開始して以来、従業員の増加は初めて鈍化しました。

サイバーセキュリティ労働力は、2024 年に 550 万人で横ばいとなり、2023 年から前年比 0.1% 増加しました。 木曜日に完全版がリリースされました。この調査結果は、アフリカ、アジア太平洋、ヨーロッパ、ラテンアメリカ、中東、北米のサイバーセキュリティ実務者および意思決定者15,852人を対象とした調査に基づいており、労働力が2022年比8.7パーセント増加した2023年と比べて顕著な変化を示している。

回答者らは、サイバーセキュリティ人材への投資の減少が影響しており、その結果として「予算不足」が生じていると強調した。人員不足。回答者の 67% が人員不足を経験していると回答し、90% がチームにスキルのギャップがあると回答しました。最も不足しているのは人工知能 (AI) のスキルです。

同時に、調査回答者は、脅威の状況は過去 5 年間で経験した中で最も困難であり、自分の仕事に満足していると回答した人は少なくなっていると強調しました (2024 年の 66 パーセントと 2022 年の 74 パーセント)。

「経済情勢が引き続き労働力投資に影響を与える中、今年サイバーセキュリティ人材の調査多くの組織がサイバー チームに重大な負担を与えていることを強調しています」と ISC2 の CEO 代理兼 CFO のデブラ・テイラー氏は調査結果に関する声明で述べ、「これらの課題にもかかわらず、AI は専門家によって組織のセキュリティを強化し、チームに新たな効率を生み出すソリューションとして見なされています。

「彼らはまた、AI 導入に関連するリスクを効果的に管理することと、組織の将来の成功に対する戦略的重要性を、自分自身と同僚のキャリア成長の機会として捉えています」とテイラー氏は続けました。 「組織やサイバーセキュリティのリーダーは、特に経済的課題が続く中、AI がより回復力のあるセキュリティ チームの構築にどのように貢献できるかを認識する必要があります。」

医師は現在 AI をどのように使用しているか

従業員の成長が停滞しており、脅威環境がますます複雑化しているという現在の環境は、サイバーセキュリティ チームが「クラウン ジュエルと中核資産を守るために倍増する」ことを意味していると、ISC2 の CISO、CISSP のジョン フランス氏がインタビューで語ります。セキュリティ管理。

多くのサイバーセキュリティ チーム (45%) は、すでにセキュリティを確立していると回答しました実装された生成 AIこれを支援するツールセットに組み込まれています。アプリケーションには、一般的な運用タスクの強化 (56 パーセント)、レポート作成とインシデント報告の高速化 (49 パーセント)、脅威インテリジェンスの簡素化 (47 パーセント)、脅威ハンティングの加速 (43 パーセント)、ポリシー シミュレーションの改善 (41 パーセント)、プライバシー リスク評価の改善 (39 パーセント)、脅威評価の改善 (28 パーセント) が含まれます。

セキュリティ企業がエクスプロイトの特定を支援するために AI を統合しているところから、AI を活用して個人の生産性を支援するビジネス運営に至るまで、ベンダーも自社のツールに AI を組み込んでいます。

「ほとんどのベンダー、つまりセキュリティ ツール ベンダーは、AI または少なくとも機械学習を主張していないベンダーを見たことがないと思います。通常、ログ ファイル、ユーザーの状況、またはフットプリントを通じてフィードされた情報を使用して、そこから得られるものを文脈化して、その状況でユーザーにとって最も重要なことを説明します。」とフランスは言います。

サイバーセキュリティ専門家は、AI を導入する一方で、AI が自分たちの役割の将来にどのような影響を与えるかについても懸念しています。調査では 53% が、生成 AI により一部のサイバーセキュリティ スキルが時代遅れになると回答しましたが、54% は AI がサイバーセキュリティ全体にとってより役立つと回答しました。

この労働力の進化に向けて将来に備えて、実務者はサイバーセキュリティ スキルを強化し (73 パーセント)、戦術的な貢献者ではなく戦略的貢献者になる (52 パーセント)、AI についてさらに学ぶか AI 関連のスキルを構築する (48 パーセント)、AI ソリューションの潜在的な脆弱性とエクスプロイトについて学ぶ (36 パーセント)、新しい AI 関連の認定資格を取得する (19 パーセント)

セキュリティ チームの導入以外では、回答者の 64% が、自分の組織が次のような状態であると回答しました他の部門で。これによりビジネスの効率は向上しますが、最終的にはセキュリティ チームの仕事が増えることになります。なぜなら、このテクノロジーを統合する際に、セキュリティ チームはそれに関連するリスクを評価するよう求められる可能性が高いとフランスは指摘しています。「私のデータはどこに行くのか?」それをどうやって守るのでしょうか？結果は信頼できますか?

「これらすべての疑問が今、表面化しています」とフランスは言う。 「これは、[サイバーセキュリティ担当者] が調達に関して考慮すべき追加の作業です。」

サイバーセキュリティ チームは組織の脅威の表面領域の監視に AI ツールを追加する必要があるため、追加の作業負荷は導入後も引き継がれます、とフランスは付け加えました。

従業員に必要なその他のスキル

調査に参加した多くの実務者は、需要の高いスキルを持つ人材の確保 (26 パーセント) とサイバーセキュリティ スタッフの昇進 (22 パーセント) に苦労していることを強調しました。新しいスキルを習得する際に実践者が認識した最大の課題の 1 つは、習得する時間が不足していることでした。

採用担当者と非採用担当者に現時点で最も必要なスキルは、クラウド プラットフォームとインフラストラクチャのセキュリティ、クラウド データのセキュリティ、クラウド アーキテクチャと設計の経験です。フランスは、クラウド戦略は組織が現在取り組んでいる問題であるため、クラウドに焦点を当てたスキルセットが最優先事項であると述べています。

「何かのために人材を募集する場合、現在抱えている問題やニーズに合わせて人材を募集することになります」とフランスは説明します。 「AI などの他のスキルセットの一部は、現時点ではまだもう少し推測的であるか、組織内で使用されていない可能性があるため、クラウドはこれを考慮に入れるつもりです。」

採用担当者と非採用担当者は、リスク評価、分析、管理など、現在求めているスキルと、実務者がキャリアを向上させるために今後必要となるスキルも特定しました。アプリケーションのセキュリティ。セキュリティ分析。ガバナンス、リスク管理、コンプライアンス。 AI/機械学習。

しかし現時点では、応募者が履歴書で AI に優れた応募者であることを示すために取得できるプログラムや認定資格は多くありません。その代わりに、採用担当者は、問題解決 (31 パーセント)、チームワーク (28 パーセント)、好奇心 (26 パーセント)、コミュニケーション (25 パーセント) など、AI の専門知識を学習または取得する応募者の可能性を示す他のスキル セットを好むことが調査でわかりました。

「雇用していない管理者も、非技術的なスキルの価値を認識している。キャリアを向上させるために必要だと考えている最大のスキルは、強力なコミュニケーション スキルである」と報告書は述べている。 「しかし、雇用をしていない管理者は依然として昇進のための技術スキルを重視しており、昇進にはクラウド コンピューティングと AI が必要であるとも考えています。」

採用プロセスにおいてこれらのソフトスキルを評価することは難しい場合がありますが、不可能ではありません。フランスは、かつてインタビューで聞かれた質問を思い出します。「23 人のテニス選手がいて、ノックアウト テニスをする場合、勝者を宣言するまでに何ラウンドかかりますか?」

候補者に概念的な問題を与え、それを解決するように求めることは、面接プロセス中に人材を選別するのに役立つ方法である可能性があると彼は付け加えました。

「ニューヨークで何人のピアノ調律師が必要か尋ねるのとは違います」とフランスは言う。 「それは、あなたが直面しているかもしれない現実世界の問題やプレッシャーのようなもので、実際には結果ではなくプロセスを見ていることになります。」

フランスはまた、応募者の履歴書の経験的要素に注目し、問題が存在し、応募者がそれを解決するために特定の行動をとったことが強調されている箇所に注目することを推奨しています。

個人のコミュニケーション能力とともにこれらのスキルを評価することは、長期的には利益をもたらす、よりバランスのとれた専門家を生み出すことになるとフランスは付け加えた。

「ご存知のように、テクノロジーがビジネスに統合されるほど、テクノロジーはビジネスに近づき、ビジネスと通信できるようにする必要があります。」と彼は言います。

マネージャーができること

ISC2 レポートは、組織がサイバーセキュリティ チームが直面している課題を認識し、集団セキュリティを強化するための開発への投資を継続することを思い出させる形で締めくくられています。

この取り組みと並行して、サイバーセキュリティ チームが新しいスキルを獲得し、将来のリスクの管理に備えるために管理者が実行できる具体的な手順もあります。

まず、フランスは、正式なトレーニングはチームが使用する汎用ツール キットの一部であるべきだと述べています。認定.

第二に、フランスはチームメンバーに学習の機会を提供することを推奨しています。これには、新しいテクノロジーに関する研究を完了する機会や、日常業務に持ち込める AI の使用方法に関する経験が含まれる可能性があります。

第三に、フランスは、公式または非公式の学習機会を通じてチームメンバーを非技術分野に導くことを提案しています。

「丸みを帯びたチームを構築するには、丸みを帯びたスキルセットが必要です」とフランスは言います。 「そして、開発する必要があるのは技術的なスキルだけではありません。ビジネスや個人的なスキルも同様です。」

この例としては、社内の他のマネージャーが進行中のプロジェクトや収益について話し合っている可能性がある経営会議や取締役会を見学するようチームメンバーを招待することが挙げられます。

「若い頃に私が経験した最高の経験のいくつかは、取締役会のオブザーバーとして座っていたことです。その後マネージャーが『聞いたと思う内容を2ページにまとめて書いてくれ。そうすればそれをチームに届けに行く』と言った」とフランスは振り返る。 「私が気づいたことは、取締役会の他の人が気づいたことではなかったので、非常に目を見張るものがありました。」

これらの手順を実行すると、サイバーセキュリティ チームのメンバーが必要とされるソフト スキルを採用し、将来のテクノロジーを実装する際により戦略的になれるようになります。

「より戦略的ということは、ビジネスレベルで意見を得る必要があることを意味します。そして、ビジネスが何を価値としているのかを理解し、それを保護する必要があります」とフランスは説明します。 「ビジネスにとって何が価値があるのかを実際に理解せずに、どうやってそれができるでしょうか? そのためには、IT チームやセキュリティ チームだけから抜け出し、ビジネスが実際に行っていることの一部を体験しなければなりません。」

 

最も人気のある記事

1. エージェント AI とは何ですか?

2. 人員配置により、幼稚園から高校までの入場警備が引き続き複雑

3. リスクと報酬: Agentic AI を使用する際にセキュリティ リーダーが知っておくべきこと