セキュリティ人材が足りない―。ITエンジニアの転職動向に詳しいリクルートキャリアの新村 梓氏(中途採用事業本部 サービス統括部 キャリアプロモーションサービス1部 CA3グループ キャリアアドバイザー)は「2014年の後半以降、セキュリティに詳しい人材を中途採用したいという要望が急増した。求人の数に転職希望者の数が全く追いついていない状態が続いている」と話す。

 さまざまな現場で、セキュリティを確保したシステムを開発したり、サイバー攻撃に対応した運用ができたりする“セキュリティ職人”が引っぱりだこになっている。「以前から求人があったセキュリティ企業だけでなく、ユーザー企業やSIベンダーからも求人が増えている」(新村氏)。

 セキュリティ人材の大幅増員を掲げる企業も出てきた。NTTの鵜浦博夫社長は2014年11月に開催した2014年度第2四半期決算の席上で「2020年までに、グループのセキュリティ人材数を現在の約2500人から約1万人にまで増やす」と明言した。NTT広報室は「2020年に東京都でオリンピックが開催される。大きなイベントがあると、サイバー攻撃の件数が急激に増える。顧客へのセキュリティサービスの提供、自社のネットワークの防御を考えると、現在のセキュリティ人材の数では不足する」と説明する。

 ユーザー企業も同様だ。ベネッセや米JPモルガン・チェースなど2014年には大規模な情報漏えい事件が相次いだ。こうした事態を受けて「CSIRT(Computer Security Incident Response Team)を構築する企業が増えている」と、日本情報システム・ユーザー協会(JUAS)常務理事の浜田達夫氏は証言する。CSIRTとはセキュリティの事故(インシデント)に対して迅速に対応するための社内専門チームのこと。情報収集や関係者への情報伝達、対策の実施や調整を担う。

 CSIRTの設置については、行政からの要請も出てきている。金融庁は「監督指針」を今春にも改正し、銀行や保険会社、証券会社にCSIRTの設置を求める文言を追加する計画だ。

 どこもかしこもセキュリティ人材が不足している。内閣官房セキュリティセンター(NISC)や情報処理推進機構(IPA)は「国内における情報セキュリティに従事する技術者約26.5万人のうち、約16万人が質的に不足。さらに約8万人が量的に不足」と公表(図1)。2015年1月9日に施行されたサイバーセキュリティ基本法では、人材育成やスキル向上に官民学で取り組む、という条文を盛り込んだ。

図1●セキュリティ人材が不足
図1●セキュリティ人材が不足
システムを取り巻く環境の変化からセキュリティの重要度は増している。しかし、セキュリティ人材が質、量ともに不足している。数字はIPAの「情報セキュリティ人材育成に関する基礎調査」追加分析から引用
[画像のクリックで拡大表示]

注) SEやプログラマーのセキュリティスキル不足も含むため、大きな数字になっている。IT人材の総数はIT企業とSIベンダーの合計で約110万人。