RSS
Human Hardeningとサイバー判断力

攻撃に対して「ハックされにくい人間」に

停滞:なぜサイバー人材は思うように増えないのか

»

進化が止まった"守り手"たち

u5292553157_httpss.mj.runrUbGSM8adMw_Refine_it_--v_7_3f025aaf-6b2a-404d-b8ec-5b8365218d27_3.png

サイバー攻撃は、止まらない。

AIを活用したフィッシング、ディープフェイクを用いた詐欺、国家レベルのサイバー作戦。

その巧妙さと速度は、年々加速しています。

しかし、それに立ち向かう「人」はどうでしょうか。

量の面でも、質の面でも、攻撃と同じ速度で進化しているとは言い難いのが現実です。

この分野に入って以来、私は何度も同じ言葉を聞いてきました。

「サイバーセキュリティ人材が足りない」

技術は劇的に進化した。
それでも、このフレーズだけは変わらない。

そこには単なる「人数不足」では説明できない、もっと根深い"停滞"があるのではないでしょうか。

「不足」から「スキル欠如」へ:問題の本質的転換

この構造変化は、最新の調査でも明確に示されています。

ISC2 の 2025 Cybersecurity Workforce Studyは、これまでの議論を大きく転換しました。

もはや問題は「人数」ではありません。

スキルの欠如(skills gap)こそが最大の課題である

主なポイントは以下の通りです:

  • 95%の組織が何らかのスキル不足を抱えている
  • 59%が「重大または深刻なスキル不足」と回答(前年比44%→59%)
  • 人員数ではなく「専門性の不足」が最大の懸念にシフト
  • 48%のセキュリティ人材が「疲弊している」と回答

(ISC2, 2025)

さらに重要なのは、次の点です。

72%の回答者が「セキュリティ人材削減は侵害リスクを高める」と認識し、88%が「スキル不足による実害」を既に経験している

つまり、人材の停滞は、すでに"リスク"ではなく"現実の被害"になっている。

停滞の正体:構造的に進化できないシステム

では、なぜ人材は進化しないのか。

これは個人の問題ではありません。構造の問題です。

  1. 経済的プレッシャー:育成よりも「削減」

世界的な経済不安の中で、

  • 採用凍結
  • 予算削減
  • レイオフ

が発生しています。

ISC2の調査でも、36%の組織が予算削減を経験しています。

結果として何が起きるか。

「未来の人材」を育てる余裕が消える

短期的なコスト最適化が、長期的なセキュリティリスクを増幅させているのです。

  1. スキルミスマッチ:理想と現実の断絶

企業が求めるのは「即戦力」。

しかし現実は、

  • AIセキュリティ
  • クラウドセキュリティ
  • AppSec
  • リスク評価

といった高度かつ横断的なスキルです。

一方で、現場には以下のギャップが存在します:

  • IT出身のジェネラリスト
  • コンサル中心の構造
  • 実運用経験の不足

特に日本では、

「セキュリティはITの一部」という構造が、専門性の形成を阻害している

これは、国際的にも指摘されている問題です(NIST NICE Framework等)。

  1. 参入障壁のパラドックス

多くの求人が「未経験歓迎」と書きながら、実際には:

  • 3年以上の経験
  • 複数の資格
  • 英語力

を要求しています。

これは典型的な構造的矛盾です。

経験を積むには仕事が必要
仕事に就くには経験が必要

このループが、新規参入を阻害しています。

  1. 日本特有の構造問題

ここに、日本独自の問題が重なります。

  • メンバーシップ型雇用
  • 年齢・キャリアの固定観念
  • 海外人材・リターン人材の排除
  • 大学教育における専攻不足

結果として:

「専門家が育たない構造」と「専門家を受け入れない構造」が同時に存在している

さらに深刻なのは、社会が準備できていない状態で、政策だけが先行していることです

国家レベルで人材フレームワークが整備されても、現場で受け入れる仕組みがなければ機能しません。

見落とされている視点:人材ではなく「人間」

ここまでの議論はすべて、「人材」という言葉で語られてきました。

しかし、本当に重要なのはそこではありません。

ISC2の調査でも明らかなように:

48%が疲弊している

これは単なる労働問題ではありません。

サイバー人材の停滞の本質

それは、人間の限界を無視した設計にある

  • 常に高ストレス環境
  • 終わらないインシデント
  • 判断ミスが許されない文化
  • 責任は重いが評価はされない

この状態で、「もっと学べ」「もっとスキルを上げろ」と言っても、成長は起きません。

人間中心のインシンデント対応(HCIR:Human-Centered Incident Response )の視点

ここで、人間中心のサイバーセキュリティ(HCC: Human-Centered Cybersecurity) の視点が重要になります。

人材不足ではない

人間の限界設計の問題である

守るべきは、

  • スキルだけではない
  • 人数でもない

判断できる状態の人間

では、どうすればよいのか。

  • なぜ人は疲弊するのか
  • なぜ判断力は失われるのか
  • どうすれば回復できるのか

次のブログでは、「守る人が壊れていく構造」を、さらに深く掘り下げます。

References

  • ISC2 (2025). Cybersecurity Workforce Study
  • National Institute of Standards and Technology (NICE Framework)
  • IBM (2024). Cost of a Data Breach Report
  • World Economic Forum (2024). Global Cybersecurity Outlook

蓮見祥子 2026/04/20 06:26:00 Comment(0)

コメント

コメントを投稿する