サイバーセキュリティは、単なる技術的課題ではない。人材の課題なのだ。
毎年、企業はツール、プラットフォーム、AI駆動型防御システムに数十億ドルを投資している。それでも情報漏洩は続き、ランサムウェアは進化し、デジタル環境を守るために必要な人材は依然として見つからない。CISO(最高情報セキュリティ責任者)や採用担当者に、夜も眠れないほど悩んでいることを尋ねれば、おそらく同じ答えが返ってくるだろう。「適切な人材が見つからない」と。
しかし、問題は人材そのものではないのかもしれない。人材を見つけるために使われているシステムに問題があるのかもしれない。
真の問題は人材不足ではなく、採用プロセスの崩壊だ
10年以上にわたり、我々は「サイバーセキュリティのスキルギャップ」という神話を聞かされてきた。しかし、私がこれまで見てきたこと、そして直接経験してきたことから言えば、適格な人材は十分に存在しているように思える。問題はパイプラインよりも深いところにある。
サイバーセキュリティ専門家を採用する方法が、根本的に欠陥を抱えているのだ。
雇用主は、3つの役割分の責任を1つにまとめた、ユニコーンのような求人票を掲載する。適格な候補者は、自動スキャンによって除外されるか、履歴書が非現実的な期待に合わないという理由で不採用になる。面接は急ぎ足で行われ、ミスマッチが生じ、場合によっては文字通り偽装されることさえある。
一方で、熱心に働きたいと考えている熟練した専門家の多くは、ノイズの海の中で迷子になり、自分の能力やキャリア目標に合った機会とつながることができない。経済的不確実性、AIによる混乱、働き方の変化などが加わり、従来の採用手法がもはや機能していないことは明らかだ。
労働力は進化した
リモートワーク、フリーランスの柔軟性、ギグエコノミーの台頭により、サイバーセキュリティの労働力の姿は変化した。多くの専門家は、もはや従来の9時から5時までの役割を望んでいないし、必要ともしていない。収入を補っている人もいる。転職の合間にいる人もいる。単に、何をいつ働くかを自分で選びたいという自由を求めている人もいる。
しかし、ほとんどの採用システムは依然として硬直的な前提で運用されている。「採用される」か「されない」かのどちらかだ。求人票に合うか合わないかのどちらかだ。この柔軟性の欠如により、企業は過剰採用、リソース不足、あるいは「適切な人材」を探している間に重要なセキュリティ業務を遅らせることを余儀なくされることが多い。
さらに悪いことに、AIが生成した履歴書や偽のプロフィールの流入により、信頼を得ることがより困難になっている。問題は、候補者が書類上で良く見えるかどうかだけではない。実際に仕事をする人物が、あなたが審査した人物と本当に同一人物なのかどうかが問題なのだ。
信頼を守ることを基盤とする業界において、この採用環境はますます維持不可能になっている。
モデルの再考:信頼、柔軟性、専門知識
我々には新しいアプローチが必要だ。採用プロセスの中心に信頼を置き、柔軟なエンゲージメントモデルを受け入れ、実際のサイバーセキュリティ専門知識に焦点を当てるアプローチだ。
909Selectのようなプラットフォームが、そうしたサービスの提供を始めている。経験豊富なセキュリティリーダーによって構築された909Selectは、サイバーセキュリティ専門家向けの米国拠点のフリーランサーマーケットプレイスだ。大規模なギグプラットフォームとは異なり、意図的に焦点を絞り、意図的に審査され、意図的にセキュアに設計されている。
フリーランサーは、本人確認、バックグラウンドチェックを受け、実際のリクルーターによる面接を経て、キーワードマッチングアルゴリズムだけでなく、サイバーセキュリティ実務者によって評価される。(パートナーであるInterviewSafeを通じた)プロキシ対策面接記録や相互評価システムなどの不正防止ツールが、双方に説明責任をもたらす。
このモデルは、私個人にも響くものがあった。
長年にわたり、私は予算内で迅速な支援が必要なときに、FiverrやUpworkのようなサービスを利用してきた。時折、必要なものを正確に提供してくれる人を見つけることができた。しかし、多くの場合、的外れだったり、能力を過大に売り込んだりする大量の応募を選別することになった。確かに評価システムはあるが、私の経験では、それらは頻繁に操作されているか、誤解を招くものだった。
最近のポッドキャストエピソードで、人材派遣・採用の専門家であるローナ・リッチ氏も同様の考えを共有していた。「私は毎日Upworkを使っています。あそこは過酷です。私が注目しているサイバーセキュリティの仕事はどれも、70件ほどの応募があるのに、どれにも返信がありません。圧倒的です。世界中の人々がスパムのようなものを送ってきて、信頼できない。頭痛の種です」
私がこれまでに受け取った最も一貫性があり、高品質な仕事は、検索バーからではなく、私が知っていて信頼している人々からの口コミ推薦から来たものだった。
909Selectは、その体験をデジタル化しようとする試みのように感じられる。
「サイバーセキュリティにおいて、我々はゼロトラストの世界で活動しています。しかし、採用プロセスは歴史的に盲目的な信頼に依存してきました」と、909Cyberの創業者兼CEOであるデン・ジョーンズ氏は語る。「909Cyberでは、そのシナリオを覆すために909Selectを構築しました。我々は、信頼は獲得され、検証され、企業が人材とつながるすべてのステップに組み込まれるべきだと信じています。これは単に役割を埋めることではなく、組織を内側から守ることなのです」
ユニコーンから適材適所のリソーシングへ
この壊れたシステムを修正することの一部は、そもそも役割に何を期待するかを再考することを意味する。
ジョーンズ氏は、すべてのセキュリティ機能を単一の求人票に詰め込んで奇跡を期待する代わりに、企業はニーズをモジュール化すべきだと考えている。1カ月間のペネトレーションテスターが必要か?2週間のコンプライアンス専門家が必要か?ゼロトラスト戦略をレビューするセキュリティアーキテクトが必要か?これらのタスクを完了させるために、フルタイムで雇用する必要はないはずだ。
909Selectのようなプラットフォームにより、雇用主は特定のニーズに対して、時間単位、パートタイム、またはプロジェクトベースで信頼できる専門家を起用できる。これは、雇用主により多くのコントロールを、人材により多くの機会を、セキュリティチームにより多くの回復力を提供するモデルだ。
より信頼できるサイバー人材エコシステムの構築
サイバーセキュリティの労働力の課題を解決することは、求人掲示板や履歴書フィルターを倍増させることからは生まれない。しかし、企業は、明確性、柔軟性、相互信頼をもって、人々を重要な仕事につなげる方法を再構築することで、正しい方向に物事を動かすことができるかもしれない。
新しいプラットフォーム、新しいパートナーシップ、または新しい社内採用戦略を通じて、雇用主はチームを構築する際にCISOのように考える必要がある。推測するな。検証せよ。信頼せよ、しかし検証せよ。
古い採用ゲームを続けるには、あるいは「サイバーセキュリティのスキルギャップ」という神話を繰り返し、必要な人材が単に存在しないかのように肩をすくめ続けるには、リスクが高すぎる。
