セキュリティ関連職種の人材はどこから来たのか 経歴の傾向を分析
執筆:天野彩
作図:上石尊弥
リサーチ協力:長峰源樹 / 秋山紘樹
「源流を探る」シリーズでは、採用が難しい人材の「源流」をたどり、希少人材の来歴を調査、分析します。素養をもつ可能性が高い人材の採用と社内での育成に、ぜひお役立てください。
3回目のテーマはセキュリティ関連職種です。
近年急速にニーズが高まっている上に専門人材が少なく、採用に苦戦し、未経験の人材の長期的な育成を検討したい担当者もおられるのではないでしょうか。
今回の分析結果から、様々な分野のエンジニアとして経験を積んだ人材がセキュリティ関連職種に多数転じていることがわかりました。
今後ますます重要性を増すと予測できるセキュリティ対策に力を入れるため、即戦力となる専門人材の採用に注力してもうまくいかない場合は、長期的な視点でポテンシャルのある人材の育成や採用計画を立ててもいいかもしれません。
セキュリティの分類と、関連職種として働くために必要な素養については「セキュリティの分類と、関連職種に求められるスキルと経験とは」をご覧ください。
現職は3職種に大別
ダイレクト採用支援などを手がける株式会社ダイレクトソーシングは、過去のスカウト送信支援実績に基づく自社の集計データをもとに、セキュリティ関連職種の職種カテゴリーを調査しました。
2017年4月1日〜2023年4月30日の期間にスカウトを送信した対象者のうち、現職に「セキュリティ」(表記揺れを含む)と記載があった632人を洗い出しました。
セキュリティ経験人材を採用しようとしても、母集団が少ないためになかなかポジションが充足せず、採用に苦労している企業も多いようです。
まず、スカウトを送信した対象者の現職は「セキュリティエンジニア」(49.8%)、「セキュリティコンサルタント」(35.9%)、「セキュリティアナリスト」(14.2%) に大別できました。
図1 セキュリティ関連職種の現職の内訳(対象者は632人)
一般的には、セキュリティエンジニアはセキュリティに関するリスクを分析・評価し、組織のサービスやシステムの安全を確保します。社内規定の立案、セキュリティ対策の選定と管理を担うこともあります。
セキュリティコンサルタントは、特に上流工程で経営層を支援します。組織のITインフラなどに対してセキュリティ診断を行い、対策を助言・提案し、セキュリティに対するルール作りなどを行います。
セキュリティアナリストは、サイバー攻撃やウイルスの対処の専門家です。攻撃の手法を調査、分析し、解決策の提示や対策を迅速に行う役割を担います。
セキュリティ関係で現在存在する職種は、おおむねこの3職種に分けることができるといえます。
さらにこのうち、1・2件前の経歴として記載があった612件を職種カテゴリーとして整理、集計、分析しました。
図2 セキュリティ関連職種の過去職の職種カテゴリー(表記のあった経歴612件中の割合)
図2では、記載のあった1件前と2件前の経歴計612件のうち、現職に記載があった3職種を含むセキュリティ系の職種、システムエンジニアなどエンジニア系の職種、営業、マネージャーなどビジネス系の職種をそれぞれ色の濃さを分けて記しました。
過去職は3割がセキュリティ系、4割がエンジニア系
その結果、セキュリティ系は現職に記載があった3職種「セキュリティエンジニア / セキュリティコンサルタント / セキュリティアナリスト」(158件、26%)とセキュリティマネージャーや室長など「その他セキュリティ」(38件、6%)を合わせて32%を占めました。
セキュリティエンジニアがセキュリティコンサルタントに転身するなど、セキュリティ関連職種間で肩書きが変わっている例もありました。
小計で42%を占めたエンジニア系では、「システムエンジニア」(68件、11%)、「情報システム / 社内SE」(57件、9%)、「インフラ / ネットワーク」(54件、9%)、「ソフトウェアエンジニア」(37件、6%)、これらに分類できない「その他エンジニア」(44件、7%)と、上流から下流まで様々な経歴のエンジニアの記載がありました。
一般的には、セキュリティはサーバーやネットワークなどのインフラと密接な関係があるため、インフラエンジニアはセキュリティ人材にステップアップしやすいとされています。
実際にはインフラ以外のエンジニア出身者もセキュリティ人材として活躍していることがわかります。
営業やマネージャーといったビジネス系の職種も44件、7%の記載がありました。
この結果から、セキュリティ人材を未経験者から社内で育成する場合、エンジニア経験者を育成するのがコストが比較的少なそうだということがわかります。
セキュリティ領域の専門知識やスキルは基礎的なIT知識の上に成り立っているので、エンジニア未経験者を育成するのは難しいでしょう。
「セキュリティの分類と、関連職種に求められるスキルと経験とは」の記事でご紹介したとおり、素養のある人材には「情報処理安全確保支援士(登録セキスペ)」[1]などの資格を取得してもらい、セキュリティ人材としての専門性を高めてもらうこともできます。
企業に求められるセキュリティ対策は今後ますます高度化・複雑化すると予想されます。
未経験からの専門人材の育成にあたっては、インフラエンジニアだけでなくシステムエンジニアやソフトウェアエンジニアなど、広くエンジニアの素養のある人材から、意欲のある人材を探して育成するのも有力な選択肢となるでしょう。
参考文献
[1] 独立行政法人情報処理推進機構, 情報処理安全確保支援士(登録セキスペ)