セキュリティ人材不足の実態
本題に入る前に、日本における「セキュリティの人材不足」について考えてみよう。セキュリティ人材について議論するときに、その前提として、日本企業におけるセキュリティ人材が大きく不足しているということがここ数年語られている。
よく引用される経済産業省の調査では、2016年時点での日本の情報セキュリティ人材は、約28万人であり、約13万人不足しているという。また、市場の伸びに伴って、2020年時点で、実数は約37万人にまで増える見込みだが、同時に約19万人不足する見込みである(図1)。
この19万人という数字が多いのか少ないのかはなかなかピンとこないかもしれない。例えば、日本の全漁業従事者数15万人(2019年)よりも多いといったら驚くだろうか。つまり、今の漁業従事者を全員セキュリティ人材にしたとしてもまだ足りないのである。
また、本来必要な数に対して、30%以上も人材が不足しているというのも驚きだ。単純計算で、ITセキュリティ部門の皆さんは、その穴を埋めるために通常の1.4倍の仕事をしていることになる。「道理でITセキュリティ部門が、他の部門よりも忙しいわけだ」と思わず納得してしまうのではないか。
しかし、この統計の詳細をよく見てみると、ユーザ企業において一番不足しているのは、実はITセキュリティ部門のセキュリティ人材(0.4万人)ではなく、「IT利活用人材」と呼ばれるIT部門以外でITを利活用するためのセキュリティ人材(12.4万人)であることがわかる。
この「IT利活用人材」は、今回のテーマ対象である「製品・サービス」、「サプライチェーン上流」、「サプライチェーン下流」の管理に責任をもつ社内部門と重なっている。統計の捉え方としては、人材が不足しているというよりは、担当者の知識が不足しているという方が実態に近いだろう。
【経済産業省 「IT 人材の最新動向と将来推計に関する調査結果」(2016年8月)】
(クリックすると拡大)
