サイバーセキュリティの人材が需要と供給のバランスを崩していることはご存知の方も多いと思いますが、あらゆる規模の組織が直面している無数の危険な脅威を考えると、この事実はより一層悲惨なものとなります。今日はマルウェア対策の日であり、セキュリティの専門家の仕事を認識する日でもあるので、人材不足に関連したデータや、より広くセキュリティの専門家の仕事に関連したデータを見てみるのが適切だと思います。そうすることで、あなたもこの分野でのキャリアを追求したいと思うかどうかを判断する助けになるかもしれません。
数字で見る
セキュリティ認定機関(ISC)による「2019年サイバーセキュリティ労働力調査」2によると、サイバーセキュリティ専門家の世界的な不足は、2018年の290万人から、2017年の180万人から増加し、昨年は400万人を突破しました。米国だけでも、昨年の格差は50万人近くに達しています。世界的な需要を満たすためには、熟練したセキュリティ労働者の数を145%増加させる必要があるだろう。
注目すべきは、いくつかの大陸が他の大陸よりもうまくいっていることです。(ISC)2 の昨年の調査によると、労働力の格差が最も大きいのはアジア太平洋地域(64%)で、次いでLATAM(15%)、北米(14%)、欧州(7%)の順となっている。
その他の特筆すべき調査結果としては、3社に2社が「セキュリティ専門家が不足している」と回答しており、回答者はこの不足を重要な懸念事項として挙げています。また、回答者の半数が「サイバーセキュリティの人材不足により、中程度または極端なリスクにさらされている」と認めていることも驚きではありません。
今年は、COVID-19の大流行により、デジタル・トランスフォーメーションを推進し、在宅勤務を新たな普通の仕事にするなど、リスクはさらに高まりました。攻撃の数と深刻度は増加の一途をたどっており、現在のサイバーセキュリティ作業員への負担は増大しており、セキュリティソリューションやサービスへの需要は増加の一途をたどっています。このような背景から、人手不足は縮小することはありません。むしろ逆に、需要は供給を上回り続けるでしょう。
サイバーセキュリティの学位(または資格)は価値があるのか?
よく出てくる質問の一つに、この分野や関連分野の大学の学位を持っていなくてもセキュリティの仕事に就くことができるのかというものがあります。昨年、この問題に触れましたが、ESETのセキュリティ研究者数名がそれぞれの経験と見解を共有しています。ISC)2によると、セキュリティの専門家は一般的に学士号以上の学位を持っており、その大部分はコンピュータまたは情報科学を専攻しています。
一方で、12%の人が高校の卒業証書を「取得した」だけでコンピュータセキュリティの世界に入ったという結果が出ています。世界中でコンピュータ・セキュリティの学位プログラムを提供する教育機関は増えていますが、まだそのようなプログラムを立ち上げていないところも多くあります。その結果、この分野の専門家の多くは、独学で学ぶか、アカデミックではないコースや資格を取得してキャリアを積んでいるのです。
実際、サイバーセキュリティの認定資格を持つことはますます有用になってきており、セキュリティのプロは、知識、スキル、能力を証明する「バッジ」を平均4つ持っています。また、そのようなバッジを持たないセキュリティ専門家(55,000米ドル)よりも高い給料(年間平均71,000米ドル)を得られる理由でもあります。この格差は、米国とアジア太平洋地域ではさらに顕著である。
そうは言っても、セキュリティ専門家を対象とした別の調査(ISC)2 によると、競争力のある給与は、キャリアパスを選択する際の主な要因ではないことがわかりました。他にもいくつかの属性、特に「自分の意見が真摯に受け止められる」環境で働くことや、「人とデータを守る」ことができる環境で働くことが、より重要であることが明らかになっています。この新しい調査では、回答者の84%が、自分のキャリアで期待していた場所にいると答えています。仕事への満足度が高いことを考えると、セキュリティの専門家にとっては確かにうまくいっているように見えます。
バグバウンティの価値
倫理的なハッカーが組織のコンピュータシステムのセキュリティ脆弱性を報告することで金銭的な報酬を受け取るバグバウンティプログラムは、特に若者の間でセキュリティへの関心を高める重要な手段となっています。バグ・バウンティ・プラットフォームを提供する HackerOne による「2020年ハッカー・レポート」によると、60万人のコミュニティには毎日850人ものホワイトハットが参加しています。
これらのプログラムは、サイバー犯罪を抑止し、人々、特に10代の若者に「暗黒面から光の中へ」渡るように促すという点でも有用であると言ってもいいでしょう。多くの人は、仲間からの賞賛や評価を期待して、幼少期にサイバー犯罪者になり、自分の行動の結果を十分に認識していません。
バグバウンティや同様のプログラムは、増加する人材不足の解決策ではありませんが、組織は倫理的なハッカーの助けを借りることで確かに利益を得ることができます。実際、このような人材プールを活用することで、組織はスキル不足を緩和することができます。
ドアは大きく開いている
最後に、もう一つのデータポイントを紹介しよう。(ISC)2 の調査では、回答者の教育後の最初の仕事がセキュリティ分野であったのはわずか 42%であることがわかりました。言い換えれば、この分野の努力は、セキュリティの専門家として自分自身を再発明しようとしている人たちに広く開かれているということです。
ー以下原文ー
You’re most probably aware of the unbalanced equation between demand and supply in cybersecurity workforce, a fact all the more dire when you consider the myriad hazardous threats facing organizations of all sizes. Since today is Antimalware Day, a day when we recognize the work of security professionals, we think it apt to look at some data relative to the talent crunch and, more broadly, to the work of security pros. Chances are that, in so doing, we’ll help you determine if you too might want to pursue a career in this field of endeavor.
By the numbers
The 2019 Cybersecurity Workforce Study by the security certifications organization (ISC)2, the global shortage of cybersecurity professionals topped 4 million last year, having risen from 2.9 million in 2018 and from 1.8 million in 2017. In the United States alone, the gap last year was nearly 500,000. To meet the global demand, the number of skilled security workers would need to grow by 145%.
It’s worth noting that some continents are faring better than others. Per last year’s study by (ISC)2, the APAC makes up the largest proportion of the workforce gap (64 percent), followed by LATAM (15 percent), North America (14 percent) and Europe (7 percent).
Among other notable findings, two in every three organizations said that they have a shortage of security practitioners, and the respondents singled out this shortage as their key concern. It’s hardly a surprise then that one-half of them admitted that their organization is “at moderate or extreme risk due to cybersecurity staff shortage”.
This year, the COVID-19 pandemic raised the stakes further, including by pushing the digital transformation into overdrive and making work from home the new normal. Attacks have continued to increase in number and severity, the strain on current cybersecurity workers has increased, and the demand for security solutions and services has been on the way up. Against this backdrop, the workforce shortfall isn’t going to shrink. Rather the contrary, the demand will continue to outpace the supply.
Is a cybersecurity degree (or certification) worth it?
One question that often pops up is whether you can get a job in security without a college degree in this or a related field. We touched on the issue last year, where several ESET security researchers share their own experience and views. Per ISC)2, security professionals typically do have a bachelor’s degree or higher, and a large portion of them majored in computer or information sciences.
On the other hand, 12 percent got into computer security with “only” a high-school diploma. This is hardly a surprise, though: while more and more academic institutions worldwide offer degree programs in computer security, there are still many that have yet to launch such programs. As a result, many experts in the field are self-taught and/or prepared for their careers via non-academic courses and certifications.
RELATED READING: A beginner’s guide to starting in InfoSec
Indeed, holding a cybersecurity certification is becoming increasingly useful, and security pros have an average of four such “badges” that prove their knowledge, skills and abilities. It’s also why they command higher salaries (US$71,000 on average per year) than fellow security practitioners with no such badges (US$55,000). The gap is even more pronounced in the US and Asia-Pacific.
Having said that, another (ISC)2 survey among security professionals found that competitive salaries weren’t the main factor informing their choice of a career path. Several other attributes – especially working in an environment “where their opinions are taken seriously” and where they can “protect people and their data” – turned out to matter even more. In the new study, 84 percent of the respondents said that they are where they expected to be in their careers. Given their high job satisfaction levels, things indeed seem to work well for security practitioners.
The worth of bug bounties
Bug bounty programs, where ethical hackers receive financial rewards for reporting security vulnerabilities in organizations’ computer systems, have been an important way of increasing the interest in security, especially among young people. According to the 2020 Hacker Report by bug bounty platform provider HackerOne, as many as 850 white hats are joining the ranks of the 600,000-strong community every day.
It’s safe to say that these programs are also useful when it comes to deterring cybercrime and getting people, especially teens, to cross “from the dark side into the light”. Driven by prospects of receiving praise and recognition from their peers, many people become cybercriminals at a very young age, without fully realizing the consequences of their actions.
While bug bounty or similar programs are by no means the solution for the growing talent crunch, organizations can certainly benefit from help by ethical hackers. Indeed, tapping into this pool of talent can help organizations alleviate the skills shortage.
The door wide open
In closing, here’s perhaps one more data point to consider. The survey by (ISC)2 found that only 42% of the respondents’ first jobs after education were in security. In other words, this field of endeavor is widely open to people who are looking to reinvent themselves as security professionals.
Happy Antimalware Day!