「人材不足」は採用設計と職場運用の不具合だ——報酬・エントリー育成・定着が最短の攻め筋です

なぜ重要か

• グローバルではサイバーセキュリティ人材需要が供給を大きく上回り、現場の疲弊と防御力低下が構造化しています。2023年の(ISC)²調査では、世界のサイバーセキュリティ人材は約550万人に達した一方、必要数とのギャップは約400万人と過去最大級です。アジア太平洋（APAC）が最大の不足を抱えると報告され、日本企業も例外ではありません［(ISC)² 2023］(https://www.isc2.org/Research/Workforce-Study)。
• 人材不足は単に「スキルが足りない」問題ではなく、採用要件の過剰設定、誤った職務設計、定着の弱さ（働き方・評価・昇進の仕組み）など、組織設計の問題がボトルネックになりがちです。Hobson氏（PayNearMe CISO）の指摘する報酬の適正化、エントリーレベル育成、定着の仕組み化は、最短距離で有効なテコになります［Help Net Security, 2025-10-20］(https://www.helpnetsecurity.com/2025/10/20/cybersecurity-talent-gap-video/)。
• 不足は事業継続リスクにも直結します。Fortinetのグローバル調査では、84%の組織が「スキル不足に起因する侵害を少なくとも1回経験」と回答しています。人材戦略の意思決定は、技術投資と同等にリスクを左右します［Fortinet 2023］(https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/report-2023-cybersecurity-skills-gap-global-research.pdf)。
• 採用市場の価格弾力性も無視できません。米BLSは情報セキュリティアナリストの2023年中央値賃金を年12万0360ドル、職の増加見通しを2022-2032で+32%と示しています。報酬テーブルの見直しなくして充足は困難です［BLS］(https://www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm)。

詳細分析

事実（データ）

• 需給ギャップ
  • (ISC)² 2023: 世界のサイバーセキュリティ人材は約550万人、必要数とのギャップ約400万人。APACが最大の不足を抱える地域です［(ISC)²］(https://www.isc2.org/Research/Workforce-Study)。
  • 日本固有の統計は定義が揺れますが、経産省はIT全体で2030年に最大約79万人の人材不足を推計しており、セキュリティ専業・兼務を含め企業内で慢性的な不足が続く前提です［経産省 2019］(https://www.meti.go.jp/policy/it_policy/jinzai/houkokusyo.html)。
• インシデント影響との相関
  • Fortinet 2023: 84%が「スキルギャップに起因する侵害」を経験。技術と人の両輪が欠けると防御線が切れやすいことを示します［Fortinet］(https://www.fortinet.com/content/dam/fortinet/assets/analyst-reports/report-2023-cybersecurity-skills-gap-global-research.pdf)。
  • CISAのKEV（既知悪用脆弱性）カタログの継続更新は、限られた人員で優先度付け・迅速な修正（SLA）を回す重要性を示唆します［CISA KEV］(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)。
• 報酬と求人要件
  • 米BLS: 情報セキュリティアナリスト年収中央値$120,360（2023年）、10年成長+32%。日本でもグローバル争奪戦の影響で賃金の硬直性は採用難の主要因になりやすいです［BLS］(https://www.bls.gov/ooh/computer-and-information-technology/information-security-analysts.htm)。
  • ISACA年次調査は、組織の多数が採用・定着に苦戦し、実務経験重視の傾向が強いことを毎年指摘しています（詳細は最新版レポート参照）［ISACA 2023/2024］(https://www.isaca.org/resources/survey-reports/2023/state-of-cybersecurity-2023)。
• 標準フレームワーク
  • NIST CSF 2.0は新たに「Govern（統治）」機能を前面化し、組織能力・人材の整備をセキュリティ運用の基礎として明確化しました［NIST CSF 2.0］(https://www.nist.gov/cyberframework)。
  • NIST NICE（SP 800-181r1）は職務・タスクの共通言語を提供し、求人票・スキルマトリクスの設計指針になります［NIST NICE］(https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181r1.pdf)。

編集部インサイト（採用・育成・定着の分解）

• 採用は「設計＞スクリーニング＞選考＞オファー」の各段で詰まります。特に初期設計（必須要件・報酬帯・タスク分解）の誤りは母集団を激減させます。NICEフレームワークに沿って「できるようになるタスク」を列挙し、資格・年数は代替条件（OR条件）に落とすと候補者プールが広がります。
• L1の24/7監視や定型調査はマネージドサービスや自動化（SOAR・SIEMの相関強化・EDRのルール基盤化）に委譲し、社内は検知工学（Use Case/Detection Engineering）や脅威ハンティング、アイデンティティ防御など高付加価値に集中する分業が効果的です。これにより「少数精鋭でも効く構造」に変わります。
• 定着は処遇だけでなく、オンコール負担の透明化・手当、昇格要件の可視化、キャリアパス（IC/マネジメント両軸）の設計、ピアメンタリングの制度化で大きく改善します。離職は賃金のみで起こるわけではなく、役割の曖昧さ・業務過多・評価不信が複合的に効きます。
• 多様性は「善」だけでなく実利があります。新しい視点（オフェンシブ思考、オペレーション、法務・監査、地域・言語の多様性）は検知・対応の盲点を埋め、知識共有のうねりを生みます。Hobson氏のメンタリング強調は、暗黙知の伝承速度を上げる現実解です。

本件メトリクスの読み解き（score 9.20 他）

• score 9.20（総合評価が高い）: 経営議題として直ちに扱う価値が高いニュースです。施策を年度内ロードマップに即時反映すべきレベル感です。
• scale 8.50（波及規模が大）: 企業規模・業種を問わず影響し、サプライチェーンの脆弱性にも連鎖します。単社最適より共同対処（教育・インターン・地域連携）を考える示唆です。
• magnitude 8.50（影響強度が高）: 監視・脆弱性管理・IRのSLOに直接響きます。KPI劣化（MTTD/MTTR悪化、バックログ滞留）が見えたら優先度を上げるべきです。
• novelty 7.50（新規性は中程度）: 新概念ではありませんが、実装・運用の手触りに落とし込むフェーズです。ベストプラクティスの「横展開」が効きます。
• immediacy 8.50（即時性が高）: 2025年の規制対応・監査（例：PCI DSS v4.0移行など）と直結し、今年の予算・人繰りに跳ねます。
• actionability 9.00（実行可能性が高）: 報酬テーブル更改、求人票再設計、L1外部化、メンタリング制度化など、明日から始められる具体策が豊富です。
• positivity 9.00（前向き）: 対策の効果が見込め、AI/自動化と育成でレバレッジが効く分野です。悲観ではなく攻めの人材戦略が妥当です。
• probability 9.50（発生確度が高）: 採用難・離職はほぼ確実に顕在化します。リスク前提でSLA・運用設計を組むべきです。
• credibility 9.50（信頼性が高）: 一次情報（CISO発言）と業界標準調査（(ISC)² 等）の整合性が高いです。経営説明の根拠として使いやすいです。

脅威シナリオと影響

• 脆弱性バックログの滞留
  • 状況: 人手不足で優先度付けと修正のSLAが破綻、CISA KEV対応が後手に回る。
  • 影響: 既知悪用のウィンドウが拡大し、侵入→横展開→ランサムの時間が短縮します。監査不適合（PCI DSS/ISO）リスクも増します。
• クラウド誤設定の常態化
  • 状況: IaCレビューやCSPMのファインチューニングに時間が割けない。
  • 影響: ストレージ公開、過剰権限、脆弱なトラストポリシーが残存し、データ漏えいの温床になります。
• SOC飽和による見逃し
  • 状況: L1の警戒疲れ（alert fatigue）で優先度の見極めが鈍化、プロセス遵守が形骸化。
  • 影響: 高忠実度アラートの見落とし、平均検知時間（MTTD）悪化、初動の遅れによる被害拡大が起こります。
• アイデンティティ侵害の拡大
  • 状況: IDM/IGAの運用が手薄で過剰権限・孤児アカウントが放置。
  • 影響: フィッシングからのセッション乗っ取り、ラテラルムーブメントが容易になり、検知困難な恒常化が進みます。
• サードパーティ・シャドーIT
  • 状況: 契約審査・SaaSオンボーディング審査が追いつかず、未評価のベンダー・SaaSが増殖。
  • 影響: 供給網を踏み台にした侵入、データの無断転送・保存が生じ、外部要因の管理不能領域が拡大します。

セキュリティ担当者のアクション

• 0–30日（即応）
  • 求人票をNICE準拠で再設計（必須はタスク基準、資格・学位は「尚可」へ）。CISSPなど上位資格をジュニア必須から外します。
  • 報酬テーブルの市場整合性を点検（BLS/国内相場を参照）し、オンコール・夜勤の手当を明文化します。
  • 運用の分業計画を策定：L1監視はMSSP/共通運用へ、社内は検知工学・IR・IAM強化に集中します。
  • 現状KPIのベースライン取得：MTTD/MTTR、アラート処理SLA、パッチSLA、脆弱性バックログ、SOC一人当たり案件数、初年度離職率。
• 30–90日（立ち上げ）
  • エントリープログラムを実装：12週間のオンボーディングカリキュラム（演習＋ピアメンタリング）、ローテーション（SOC→IR→クラウド）の設計。
  • 自動化着手：SOARで定型応答（隔離・チケット化・通知）をプレイブック化、EDR/メールセキュリティの相関強化。
  • 脆弱性の「リスクベース」運用に移行：KEV優先、資産重要度×露出で四半期目標を設定（例：KEV該当は7日以内90%解消）。
  • 中途採用は「隣接スキル」からも動員（SRE/ネットワーク/ヘルプデスク出身者）。スキルブリッジ枠を明記します。
• 90–180日（定着）
  • キャリアラダーと昇格要件（スキルマトリクス）を公開し、評価の透明性を担保します。IC/マネージャー双方の道を用意します。
  • メンタリング制度を制度化（1:多のコホート制、週次オフィスアワー、評価連動ポイント）。知識の属人化を解消します。
  • L1外部化の効果測定と再配分：自社はハンティング、アタック面縮減、アイデンティティ防御（MFA強制・JIT/JEA）へ人員を再配置します。
  • 採用KPIをダッシュボード化：Time-to-Fill、オファー受諾率、90日/12か月定着率、内部異動率、研修修了率、アラート滞留日数。
• 原則（継続）
  • 「人で解く」対象を厳選し、それ以外は自動化か委託に回します。AI/LLMはトリアージ補助や要約に使いつつ、人による検証・承認を必須にします（過信は禁物です）。
  • 多様性の実装は採用チャネル多角化（リターンシップ、就業地の柔軟化、コミュニティ採用）から始めます。結果はKPIで可視化します。

推測・仮説の注記:

• 日本市場の賃金・求人要件の詳細統計は業界・地域差が大きく、最新の国内横断的な一次統計は限定的です。上記はグローバル指標と国内政策資料からの推測も含みます。各社で自社データ（採用KPI・離職理由・給与レンジ）による補正が必要です。

参考情報 (リンク付き箇条書き)

• Help Net Security: Cybersecurity talent gap（Carol Lee Hobson氏インタビュー）
• (ISC)² Cybersecurity Workforce Study 2023（世界の人材規模とギャップ）
• Fortinet 2023 Cybersecurity Skills Gap Global Research（スキル不足と侵害経験）
• U.S. Bureau of Labor Statistics: Information Security Analysts（給与・成長見通し）
• NIST Cybersecurity Framework 2.0
• NIST NICE Framework（SP 800-181r1）
• CISA Known Exploited Vulnerabilities (KEV) Catalog
• ISACA State of Cybersecurity（年次調査）
• 経済産業省：IT人材需給に関する調査（2019）
• IPA セキュリティセンター（白書・統計）