1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実

サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実

セキュリティニュース

投稿日時: 更新日時:

サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実

近年、日本国内では鉄道や航空、金融、電力・ガスといった重要インフラを狙ったサイバー攻撃が急増しています。2023年に観測されたサイバー攻撃の回数は6000億回を超えたとされ、国家レベルでの対応が求められています。こうした情勢を受けて、公明党は2025年5月、公的見解として「サイバー攻撃に対応できる専門人材の確保を急げ」との主張を発表しました。

一方で、サイバーセキュリティの分野では、「被害がなければ何もしていないように見える」「被害が出れば責任を問われる」という、“見えない仕事”のジレンマが存在します。

特に、企業や組織においてセキュリティインシデントが発生した際、事前にどれだけリスクを予見し、対策を打っていても、その実績が評価されにくいという問題があります。

サイバーセキュリティ専門人材は不足──その数11万人

経済産業省が5月14日に公表した報告書によれば、現在、日本ではサイバーセキュリティ人材が11万人不足していると推計されています。その一方で、企業の9割以上が人材不足を認識しながらも、具体的な対策を講じていないという現実も浮き彫りとなりました。

このような状況を打開するために、国は登録セキスペを2030年までに5万人へ拡充する方針を掲げています。2024年4月時点では約2万4000人が登録済みですが、これは合格者の4割程度にとどまり、過半数が未登録のままです。

公明党はこの資格取得者を有効に活用する事を指摘していますが、本質的な人材不足はセキュリティ人材が評価されない点にありこれは日本ではなく世界的にも指摘されています。

中小企業のセキュリティ業務は多くが兼務

2024年のパロアルトネットワークスによる調査によれば、中小企業でのセキュリティ業務担当者は、IT担当が兼務(40%)、非IT人材が兼務(34%)で専任は15%留まり。担当者不在も9%でセキュリティの専門知識を持つ人材不足の深刻さが明らです。

一方でセキュリティ専任人材を設置しても、後述しているインシデント発生後の解雇や責任追及文化でセキュリティ人材自体が世界的に不足しています。

インシデント発生後にCISO(最高情報セキュリティ責任者)が解雇される

2023年Trellixが13カ国の企業CISO 512名に実施した調査によれば、CISOの66%が重大なセキュリティインシデントを経験した際、自らの職務継続に対して不安を感じたと回答しています。

さらに、36%は実際に自分または同僚が降格または解雇されたと述べており、インシデント発生時にCISOが矢面に立たされやすい現実が浮き彫りとなっています。

特に以下の点が、CISOのキャリアに対するプレッシャーとして指摘されています

  • 経営陣・取締役会からの信頼失墜
    インシデントの対応が後手に回ったり、報告に時間がかかった場合、経営層からの評価が著しく低下することがある。

  • 説明責任の集中
    インシデントの責任がCISO個人に集中しがちで、適切な事前リスク共有や体制整備が不十分な場合、そのまま評価に直結する。

  • キャリアの「傷」
    大規模な漏えいや業務停止が報道された場合、CISO本人のキャリアパスに影響を与えるという懸念も示されていました。

CISOの平均キャリアは他の役員より在職期間が短い

サイバーセキュリティ担当者、特にCISOの職務は、その高いプレッシャーと責任から、キャリアリスクを伴うものとして認識されています。

CISOの平均在職期間は他の役員(CIOの平均54ヶ月)と比較して短く、18〜26ヶ月程度とされています Fortune 500企業のCISOの24%は、わずか1年間しかその職に就いていないというデータも存在します  

一方で、IANS Researchの2024年4月から8月にかけての調査によると、CISOの離職率は2022年の21%から2023年には12%、2024年上半期には年率11%へと大幅に低下しました
この数値は一見するとポジティブな兆候に見えますが、その背景には採用の減速と予算の引き締めにより、CISOが転職意欲を失っているという市場の状況が指摘されています。
これは、必ずしも職務満足度の向上を意味するものではなく、むしろ、高いストレスと燃え尽き症候群を抱えながらも、市場の冷え込みにより「辞めたくても辞められない」状況にあるCISOが存在する可能性を示唆しています。
このような状況は、CISOのキャリアにおける新たなリスクとして捉えることができます。   

インシデント発生時に誰が責任を取る?経営陣からセキュリティ人材がスケープゴートに

Fastlyの調査によれば、セキュリティインシデント発生時に「誰が最終的に責任を負うのか」明確に定義されている組織はわずか36%にとどまりました。一方、46%は「責任の所在が不明確」と回答しています。

インシデント発生時の責任者として最も多く挙げられたのは「セキュリティマネージャー」(21%)で、「セキュリティエンジニア」(19%)、「CISO」(14%)が続きます

これは、法的・規制上の焦点がCISOに当たっている一方で、組織内部では責任がより現場レベルに分散しているという認識があることを示唆しています。

この乖離は、インシデント発生後の混乱や、不公平な責任追及につながる可能性を秘めています。

CISOが法的責任を負う一方で、現場レベルの担当者がより直接的な責任を負うと認識されているという状況は、組織内の緊張を高め、効果的なインシデント対応を阻害する可能性があります。  

誰が悪い?責任追及文化

インシデント発生時の責任追及文化は難しい問題です。

古い調査ですが、2022年のGigamon社の調査によれば、グローバルで88%のセキュリティチームが「自社にはインシデント発生時に犯人探しをするブレームカルチャー(責任追及文化)が存在する」と回答しています。

こうした責任追及の文化は、インシデント対応において関係者が互いに責任回避に走り、対応の遅れやチームワークの阻害を招く要因になるとも指摘されています。

評価=“インシデントを起こさないこと”ではないが・・・

セキュリティインシデントが起きなければCISOの仕事は「見えにくく」、しかし一度起きれば責任を問われる——このような構造がCISOのキャリアリスクを高めています。実際、CISOにとってインシデントは「評価を下げるイベント」であり、特に米国では前段の解説の通りインシデント後にCISOが解任される事例も少なくありません

この構造的課題を解消するには、経営層が「リスクベースの可視化」を理解する必要があります。つまり、CISOが行うセキュリティ投資のROI(費用対効果)を、単なる防御コストではなく、企業成長の“守り”として定量的に説明しなければなりませんが、実態としては厳しいのが現実です。

まとめ

本記事で取り上げた通り、サイバーセキュリティを担う人材、特にCISOをはじめとする責任者たちは、日々見えにくいリスクと戦いながらも、評価されづらく、インシデント時には厳しい責任を問われる立場に置かれています。
このような構造を変えていくためには、単なる人材確保だけではなく、経営層や組織全体が「セキュリティは経営課題である」と再認識し、可視化されたリスク情報に基づいて、正当な評価と支援体制を構築していく必要があります。

関連記事

セキュリティ評価サービス(SRS)とは?概要や種類、事例を解説セキュリティ評価サービス(SRS)とは?概要や種類、事例を解説 シスコ、10年前の脆弱性を悪用する攻撃に関して注意喚起(CVE-2014-2120)シスコ、10年前の脆弱性を悪用する攻撃に関して注意喚起(CVE-2014-2120) ランサムウェア グループ「ダークエンジェルズ」が過去最高額の身代金約7500万ドル(約11.2億円)の支払いを受け取るランサムウェア グループ「ダークエンジェルズ」が過去最高額の身代金 約7500万ドル(約11.2億円)の支払いを受け取る AIの脱獄(ジュエルブレイク)テストでDeepSeekがChatGPT、Geminiと比較AIの脱獄(ジュエルブレイク)テストでDeepSeekは攻撃成功率が100% ISMS認証はどうやって取得する?取得までの流れを解説ISMS認証はどうやって取得する?取得までの流れを解説 採用担当者の47%がAI生成による履歴書やポートフォリオを確認-ディープフェイクによるビデオ面談も採用担当者の47%がAI生成による履歴書やポートフォリオを確認-ディープフェイクによるビデオ面談も トヨタ自動車へ不正アクセス 約240GBの情報漏洩 疑惑トヨタ自動車へ不正アクセス 約240GBの情報漏洩の可能性 フォルクスワーゲンへランサムウェア「8Base」がハッキングとデータ窃取を表明フォルクスワーゲンへランサムウェア「8Base」がハッキングとデータ窃取を表明 ノキア、不正アクセスによる顧客や企業の情報漏洩は確認できずノキア、不正アクセスによる顧客や企業の情報漏洩は確認できず