組織がより多くのクラウドサービスを採用し、デジタルフットプリントを拡大する中、デジタル脅威は増大しています。また、スピード、可視性、専門知識のあらゆるギャップを悪用する、ますます高度化する敵対者にも直面しています。世界経済フォーラムの「グローバルサイバーセキュリティ展望2025」は、さらなる課題を強調しています:セキュリティ目標を達成するために必要な人材を持っていると報告している企業はわずか14%です。
攻撃対象領域が拡大し、熟練した防御者が不足する中、多くの組織は従来の採用パイプラインを見直し、見つけにくい専門家だけに頼らずに防御力を強化する創造的な方法を模索しています。以下では、フォーブス・テクノロジー・カウンシルのメンバーが、企業が能力ギャップを埋め、既存のチームを強化し、継続的な人材不足の中でも強固なサイバーセキュリティを維持するために使用できる非従来型のアプローチを共有しています。
サイバーギルドエコシステム
サイバーセキュリティ人材ギャップを埋める非従来的でありながらタイムリーな方法は、「サイバーギルドエコシステム」を育成することです。これは、ゲーマー、倫理的ハッカー、さまざまな領域の専門家のエネルギーをミッション主導型チームに融合させる、AIがサポートする動的なコミュニティです。これらのギルドは、AIシステムがメンターや共同防衛者として機能する中で、人々が共に学び、競争し、問題解決する環境を作り出すことができます。-ディープ・ナラヤン・ミシュラ氏、ウォルマート
継続的な制御検証のためのエージェント型AI
人材が制約された世界では、先進的な組織はより多くのアナリストを雇用するのではなく、エージェント型AIを導入して、重要な場面で制御が機能したという継続的で暗号的な証明を生成しています。この防御可能な自動化により、侵害の影響、保険会社との摩擦、取締役会のリスクが軽減されます—人員増加は不要です。-JJトンプソン氏、スペクトラム・ラボ
アーキテクチャとエンジニアリングのレビューボード
現在および将来の技術設計がすべて通過する必要があるアーキテクチャとエンジニアリングのレビューボード(AERB)を作成しましょう。AERBが最高のエンジニア、開発者、ネットワークエンジニア、セキュリティ専門家の小グループで構成されていることを確認してください。このグループは年に複数回会合し、すべての技術スタッフはAERBに参加して聞き、貢献するためにローテーションする必要があります。-ジョナサン・ドーティ氏、メンタット
組織全体でのセキュリティ所有権
サイバーセキュリティは全員の仕事です。単一の部門のためのサイロを作るのではなく、すべての部門のトレーニングとガードレールに投資しましょう。セキュリティチームが高影響の問題に集中し、他の全員が基本的なセキュリティ衛生に責任を持つ文化を構築します。-コディ・ピアース氏、ネオン・サイバー
セキュリティ・バイ・デザインの実践の組み込み
セキュリティを後から追加するのではなく、製品設計に組み込みましょう。保護を自動的に強制する事前定義された制御とポリシーテンプレートを通じて業界のベストプラクティスを組み込み、その後、深い領域固有の洞察でその基盤を拡張できる信頼できる専門家とパートナーシップを結びます。これらの戦略を組み合わせることで、希少な人材を増幅された能力に変えることができます。-ガネーシュ・キルティ氏、トラストロジックス
AI駆動の自動化と社内クロストレーニング
現在のサイバーセキュリティチームを最大限に活用する最良の方法は、AIを活用して定型業務を自動化し、人材をより影響力の大きい戦略的な業務に解放することです—これには、ITやデータの役割からサイバーセキュリティの役割への社内スタッフのクロストレーニングも含まれます。社内でのトレーニングは外部の人材を採用するよりも迅速であり、より回復力があり、適応力があり、統一されたチームをもたらします。-エヤル・ベニシュティ氏、アイアンスケールズ
問題ベースのサイバーアウェアネストレーニング
意識とノウハウを通じて技術チームを強化しましょう。問題ベースの学習などの意識向上テクニックを使用すると、トレーニングがビジネスが直面している実際の問題に基づいているため、「レーザーフォーカス」を生み出すことができます。率直に言って、一般的な意識向上トレーニングは人々の興味を失わせます。問題ベースのトレーニングは、最近のフィッシング攻撃の試みやコードの脆弱性などの最近の出来事に焦点を当てることができます。-イーオン・キアリー氏、エッジスキャン
量子レディネスの追求
量子レディネスのマインドセットを採用しましょう。ポスト量子時代に備えることで、組織は自動化、回復力、継続的な学習を重視する適応性のある将来性のあるセキュリティフレームワークを構築することを余儀なくされます。このアプローチは、チームが少ないリソースでより多くのことを行いながら、新たな脅威に先んじることを支援します。-ジェイソン・セイビン氏、デジサート
学際的なセキュリティ文化
ITだけでなく、部門を超えて既存の従業員のスキルを向上させ、学際的なセキュリティ文化を作りましょう。脅威検出と対応の自動化のためにAI駆動のツールとチームを活用します。専門企業とのパートナーシップを育成し、内部でのクロストレーニングを奨励して、進化するセキュリティ要求の中でギャップを埋め、回復力を強化します。-マシュー・ピーターズ氏、CAI
アイデンティティガバナンスとアクセスインテリジェンスへの焦点
希少な人材を追い求めるのではなく、企業は可視性とコンテキストに焦点を当てるべきです。ほとんどの侵害はゼロデイではなく、未知のアイデンティティと未チェックのアクセスに起因します。アイデンティティガバナンスとアクセスインテリジェンスを強化することで、組織は小規模なセキュリティチームの影響を倍増させ、人員ではなく知識を最大の防御に変えることができます。-ピーター・ヒル氏、ギャシッド
AI駆動のセキュリティコパイロット
非従来的なアプローチの一つは、人間のアナリストを置き換えるのではなく、補完するAI駆動のセキュリティコパイロットを活用することです。これらのツールは、定期的な監視、脅威検出、インシデントのトリアージを自動化し、熟練したスタッフが複雑な問題に集中できるようにします。限られた人間の専門知識とインテリジェントな自動化を組み合わせることで、企業はサイバーセキュリティ能力をより速く、よりスマートに拡張できます。-イラキヤ・ウラガナサン氏、JPモルガン・チェース
権限の可視性の強化
サイバーセキュリティ人材不足に対抗する一つの方法は、予防に焦点を当てることです。誰がアクセスできるかだけでなく、彼らが実際に何ができるかを理解しましょう。組織がシステム全体の権限の可視性を獲得すると、複雑さ、リスク、手作業の労力が減少し、多くの場合、可視性と自動化で解決できる作業のための採用の必要性が減少します。-タルン・タクール氏、ヴェザ
サイバーセキュリティを戦略的でイノベーション志向のイニシアチブとして扱う
3つの解決策を提案します。まず、サイバーセキュリティはスケーラブルなアーキテクチャ、段階的な近代化、AI駆動の自動化に基づく戦略的イニシアチブとして見るべきです。第二に、ビジネスとエンジニアリングチーム内に機能横断的なセキュリティチームを組み込み、セキュリティをコストではなくイノベーションとして扱います。最後に、採用と人材維持を強化し、サイバーセキュリティをKPIにリンクさせて、安全でインテリジェントな企業に対する説明責任を強化します。-サウラブ・グプタ氏
「プレイヤー/コーチ」モデル
「プレイヤー/コーチ」モデルを採用しましょう:単にタスクを完了するだけでなく、作業を提供しながら内部チームを積極的に指導する外部の専門家を招きます。これにより、長期的な採用タイムラインなしに即時の専門知識が提供され、短期的なニーズに対応しながら既存のチームのスキルが向上します。完成したプロジェクトだけでなく、成果物とより強力な内部チームを得ることができます。-シェーン・オドネル氏、セントリック・コンサルティング
「高度なジェネラリスト」
企業は、構造化されたローテーション、AI駆動の自動化バックフィル、ターゲットを絞ったトレーニングを通じて既存の人材のスキルを向上させるべきです。これには、企業全体でAI、データ、リスクを橋渡しする「高度なジェネラリスト」—新興リーダーの育成が含まれます。信頼できるプロバイダーとのパートナーシップと、適応性と問題解決能力に基づく採用は、サイバーセキュリティの回復力をさらに強化します。-フレッチャー・カイスター氏、GTTコミュニケーションズ
マネージドセキュリティサービスとのパートナーシップ
セキュリティチームが手薄になっている状況で、組織はサイバーセキュリティスタックを強化するためにマネージドセキュリティサービスに投資することでスマートにアウトソーシングすべきです。信頼できるプロバイダーとのパートナーシップは、人員を増やすことなく専門知識と24時間365日のカバレッジを追加し、内部チームが日常的な消火活動ではなく、積極的な防御と戦略に集中できるようにします。-フラン・ロッシュ氏、インプリバータ
短期プロジェクトとメンタリングを通じた社内トレーニング
サイバーセキュリティ人材不足に対処する実用的な方法は、社内でサイバーセキュリティの人材とスキルセットを開発することです。専門家を雇用するのを待つのではなく、企業は短期的なセキュリティプロジェクトやメンタリングプログラムを通じてエンジニア、アナリスト、ITスタッフをトレーニングできます。これにより実世界のスキルが構築され、コラボレーションが強化され、専門家だけでなく全員がセキュリティについて考える文化が作られます。-ウメシュ・チャウハン氏、アメリカン・エキスプレス
現在の脅威状況の評価
ゼロからセキュリティチームを設立する前に、組織の現在の脅威状況を評価するためにコンサルタントを招くことをお勧めします。まず特定のリスクを理解し、その後ターゲットを絞った緩和戦略を計画することは、一般的なアドバイスに基づいて解決策を急ぐよりも効果的です。-ヴァサンス・ムダヴァトゥ氏、デル・テクノロジーズ
サイバーセキュリティを取締役会の優先事項にする
サイバーセキュリティのスキルギャップに対処することは優先事項である必要があります。取締役会が企業リスクレポートを受け取っていることを確認するか、年次監査チェックの一部であることは、この問題が当然の注目を集めることを確実にする素晴らしい方法です。そうでなければ、「あれば良いもの」のバケットに入れられてしまいます。財務および保険の要件に結びつけましょう。-フランク・カーネヴァーレ氏、iグリーンツリー
資格ではなく可能性に基づく採用
認証ではなく、好奇心と学習能力に基づいて応募者を選考しましょう。若手人材をその能力を増幅するAI駆動のセキュリティツールとペアにします。専門知識をすでに持っている人よりも、専門知識に成長できる能力を持つ人の方が多いことがわかるでしょう。成長は不足を打ち負かします。-ニール・モリス氏、リダプティブ
