背景

現在直面している複雑なセキュリティ上の課題を解決するために、企業、政府機関、教育機関はサイバー セキュリティ専門家の数を大幅に増やさなければなりません。 業界の参入障壁をなくし、多様な背景の有能な人材が確保できるようにする必要があります。また、人材不足を補うために、教育機会も増やす必要があります。 熟練した専門家も不足していますが、この点を補うには、高度なソリューションを自動化する必要があります。

サイバーセキュリティの人材不足は、複雑さを増す情報ネットワークのセキュリティ管理に影響を及ぼしています。 マカフィーと Center for Strategic and International Studies (CSIS) が 2016 年に発表した調査報告書"人材不足の解消"によると、サイバーセキュリティの人材不足は特定の地域や国に限定されたものではなく、グローバルな問題であることが判明しました。 回答者の 82% は、組織内でサイバーセキュリティの人材不足していると答え、71% は人材不足が原因で攻撃を受けやすくなっていると答えています。

この状況は、この数年でさらに悪化するでしょう。 2017 年 2 月に (ISC)2 が公開した『Global Information Security Workforce Study』によると、2022 年には 180 万人の熟練労働者が不足します。 この問題を解決するには、政府機関が人口の多い若い世代に技術職業、特にサイバー セキュリティに従事するように奨励する必要があります。

サイバー セキュリティの人材不足は、連邦政府でも深刻な問題となっています。 Tony Scott 元米国最高情報責任者 (CIO) によると、 連邦政府ではサイバー セキュリティ専門職に 1 万人を募集しましたが、条件を満たす十分な人材を確保できませんでした。 国防総省や国土安全保障省 (DHS) などの機関は、米国の安全保障上、重要な役割を担っていますが、この人材不足は大きな問題であり、何らかの対策を講じる必要があります。

2017 年 5 月、ドナルド・トランプ米大統領は、サイバーセキュリティに関する大統領令を発令し、商務長官と国土安全保障庁長官に対し、将来の米国のサイバーセキュリティを担う人材の育成に対する評価を行うように命じました。 対象は初等教育から高等教育までで、教育カリキュラム、トレーニング、実習プログラムの調査を行うように指示されました。

マカフィーにおける重要性

マカフィーでは、サイバーセキュリティのあらゆるレベルにおいて優秀な人材を育成し、供給し続けることを最優先のイニシアチブにしています。 長期にわたる人材不足を解消するため、マカフィーは公共機関や民間企業と協力し、政策に対する提言を行ったり、大学などの教育機関と提携を結んでいます。 また、人材不足解消のため、事業所のある地域社会と強い結びつきを強め、企業の成長と繁栄に欠かせない人材の募集を行っています。

サイバー セキュリティ業界をリードするマカフィーは、人材不足の軽減ではなく、解消を目指しています。 マカフィーは、日常的な作業に従事する人材の配置換えを行い、統合環境で自動的に配信されるインテリジェントを使うべきだと考えています。 これは、組織の防衛力を向上するだけでなく、インテリジェントに基づいて設定済みのポリシーを実行したり、コンテキストに基づいて自動化を行うことができます。ユーザーは必要に応じて操作を実行できます。まず、行動する前に考えることが重要です。

キーポイント

官民の交流

マカフィーは、公共機関と民間企業での間で人材の交流を進めるべきだと考えています。特に、重大なセキュリティ インシデントが発生した場合は優秀な人材が必要になります。 サイバー セキュリティは急激な変化を遂げている領域で、今日有効なものでも明日になると置き換わってしまうものもあります。 攻撃者は常に最新の手口やツールを駆使し、攻撃を仕掛けてきます。一方、民間企業の側も防衛能力の向上に努めています。 政府のサイバー専門家は、民間部門の支援がなければ、変化の激しい環境に追いつけないと考えています。 マカフィーでは、政府機関が最新の情報を持つ専門家を常に確保できるように、サイバー専門家(アナリストやアナリスト用の訓練を受けている人物)が公的機関と民間企業の間を頻繁に行き来できる仕組みを作るべきだと考えています。

この目的を実現する一つの方法は、DHS や企業、大学と提携し、サイバーセキュリティの専門家(オペレーター、アナリスト、研究者など)を雇用し、民間企業と政府機関の間で自由に移動できるように許可する方法です。 このような専門家(特に民間企業に在籍する専門家)をすばやく呼び出し、影響を受けた組織と政府機関は主要なハッキングに対して適宜、適切な対応を行うことができます。 政府機関と民間企業のサイバーセキュリティ専門家はともに毎年 2~3 週間、職場を替えることができます。 このような交流は、技術、ビジネス プロセス、人事管理などの分野で情報を共有する場合に有効な手段となります。 DHS は、サイバーセキュリティの採用契約と維持計画を書き直し、官民の柔軟な人材プールを追加します。 DHS でまだ準備が整わない場合は、議会が官民の専門家から構成される有識者会議を開催し、優秀な人材の交流を柔軟に行えるようにする方法を検討します。 州兵のように、柔軟な人員確保のアプローチは、卓越したモデルになる可能性もあります。

 

CyberCorps プログラムの拡大

National Science Foundation (NSF) CyberCorps Scholarship for Service (SFS) プログラムは、政府のシステムとネットワークを保護する連邦情報保証スペシャリストの幹部候補を要請するプログラムです。連邦政府は SFS プログラムの支援を約束しました。 2015 年に 4,500 万ドル、2016 年に 5,000 万ドル、2017 年に 7,000 万ドル、FY18 の予算要求で 4,000 万ドルを計上しています。 約 1,500 人以上の学生が奨学金プログラムを完了するため 4,000 万ドルの投資を行います。 人材不足の規模を考えれば、政策立案者はプログラムの規模を大幅に拡大する必要があります。 1 億 8,000 万ドルの投資では約 6,400 の奨学金を支援できますが、スキルのギャップは短期的で解消されるものではありません。

 

コミュニティ カレッジ プログラムの作成

コミュニティ カレッジには、高校を卒業したばかりの若者や退役軍人、社会人などが、キャリアパスの変更に必要な専門的な知識を取得するために通っています。コミュニティ カレッジにはその性格上、様々な学生が集まってきます。 公共や民間からの投資により、コミュニティ カレッジは IT とサイバーセキュリティに特化した研究を行うことができます。 関心のある学生は大学の施設でも、民間企業の研修室でも講義を受けることができます。過程を修了すると、2 年間の証明書を受け取ることができます。この証明書は、就職間近の大学 4 年生に譲渡できます。 Cyber Corps プログラムと同様に、卒業生が連邦政府に就職し、奨学金期間と同じ時間を政府内で働くことができます。 このようなプログラムは、既存の CyberCorps SFS プログラムに代わるものではなく、既存のプログラムを補完するものです。

 

K-12 教育

サイバーセキュリティは社会に貢献できる魅力的なキャリアであることを K-12 の学生に伝えることは重要です。 マイクロソフトの最近のデータによると、ヨーロッパの女子は 11 歳の頃に STEM に興味を持ち始めますが、15 歳までには関心がなくなってしまいます。この時期の女性に催場セキュリティの必要性を伝えることは重要な対策となるでしょう。

教員を増やす必要がありますが、サイバーセキュリティは独自の研究分野であり、教えるにも独特なアプローチが必要になります。 経験豊富な実務家であれば、相手を飽きさせずに、サイバーセキュリティの専門家になる方法を伝えることができるでしょう。現場での豊富な経験がないと、臨場感のある話はできません。

 

ダイバーシティの推進

サイバーセキュリティ業界は、ダイバーシティの恩恵を受けています。 Center for Cyber Safety and Education と Executive Women’s Forum on Information Security, Risk Management and Privacy の『Women in Cybersecurity』によると、この業界で働く女性の数は世界全体で 11% に過ぎません。 北米では、女性のサイバー セキュリティ専門家はわずか 14% です。 アフリカ系アメリカ人の割合はさらに低く、労働統計局の統計によると、米国の情報セキュリティ アナリストに占める割合は 3% です。 性別や人種に関係なく、広く人材を募集し、トレーニングを行うことは人材不足の解消に役立ちます。 興味深いことに、「女性的」な特性は、サイバーセキュリティ、コラボレーション、チームワーク、創造性において非常に向いている特性とされています。

さらに、より多くの女性にサイバー セキュリティの仕事がどのように社会の役に立っているのかを説明することで、より強く訴えかけることができます。 たとえば、工学部を卒業した女子学生の中では、生物医工学と環境工学の専攻が最も多く、これは人の生活に役立つ学問を先行した学生が多いことを意味します。 サイバー セキュリティは人々の生活を守り、豊かにする仕事であることは間違いありません。 ドメインを効果的にブランド化すれば、有能な女性を確保するだけでなく、150 万人の不足を解消できるかもしれません。

 

繰り返し行う作業の自動化

サイバーセキュリティの人材不足を解消するための最後の対策は、システムの自動化です。特に、機械学習や人工知能などを利用した高度なシステムは有効です。 自動化されたアーキテクチャは、サイバーセキュリティと IT スタッフの日々の作業を軽減し、人間の判断を必要とする分析と修復策の決定に専念することができます。 自動化された高度なソリューションは必要不可欠です。 技術は急速に向上していますが、人材不足の解決には至っていません。 サイバーセキュリティ専門家の訓練と日常業務の自動化を並行して進めることが重要です。