「人手不足」は終わったが「スキル不足」が企業を壊す？ ISC2が突き付ける2025年の残酷な現実

　サイバーセキュリティの専門家で構成される国際的な非営利団体ISC2は2025年12月16日、最新の「サイバーセキュリティ人材調査 2025年版」を発表した。 【画像】セキュリティ専門家たちが直面しているのは人材不足よりスキル不足 　世界約1万6000人の専門家を対象とした同調査から見えてきたのは、長年叫ばれてきた課題であるセキュリティ人材の不足が「数」から「質（スキル）」という、より深刻なフェーズに移行したという事実だった。 　ISC2のクレイトン・ジョーンズ氏（APACマネージングディレクター）は発表会の冒頭、同調査の信頼性と網羅性について強調した。今回の調査対象は、全世界で約1万6000人のサイバーセキュリティ実務家を対象としており。そのうち日本からは1225人が参加している。サンプル選定において同氏が最も重視したのは「企業規模と業種のバランス」だ。 　「日本においてもNTTや日立といった大企業から、リソースの限られた中小企業までを幅広くカバーしている。大企業の担当者と中小企業の担当者が直面する課題は本質的に異なるからだ。それぞれがどのような問題を抱え、いかに解決に取り組んでいるかを正確に把握することを目指した」とジョーンズ氏は語る。

　過去18カ月にわたる追跡調査の結果、ジョーンズ氏が指摘したのはリスクの所在が劇的に変化したことだ。 　これまでサイバーセキュリティの最大の懸念は「人材の絶対数」の不足であった。しかし2025年現在、その懸念は「スキル不足」へと明確にシフトしている。 　「人材の数自体は、以前より若干増加傾向にある。しかし、日々進化するテクノロジーや巧妙化する脅威に対し、既存チームのスキルが追い付いていない。この『スキルのミスマッチ』こそが、現在の企業が直面している最大のリスクだ」（ジョーンズ氏） 　調査によれば、実に59％の担当者が「重大または深刻なスキル不足」を抱えていると回答した。これは2024年から上昇しており、さらに「少なくとも1つの領域でスキルが不足している」と答えた企業は95％に達する。もはや、完璧なスキルセットを維持できている組織は絶滅危惧種と言っても過言ではない。 　スキル不足は、単なる「学習の遅れ」では済まない実害をもたらしている。ジョーンズ氏は具体的な悪影響として「システムの不適切な設定」「新たなテクノロジーの活用不全」「外部ベンダーへの過度な依存」「インシデント管理・対応時間の増大」などを挙げる。 　ジョーンズ氏は「AIが発展してもそれを使いこなすスキルがなければ、むしろ組織にとっての『非効率』と『リスク』に変貌してしまう。これが2025年のパラドックスだ」と警鐘を鳴らす。 　もちろん企業としても自社の穴を埋めるスキルを持つ人材を確保したい。しかしここにも課題がある。調査によると、それぞれ30％の回答者が「必要なスキルを有する人材が見つからない」「雇用するための予算がない」と答えたという。 　市場は依然として「売り手」がコントロールしており、企業は提示できる給与や条件において劣勢に立たされている。ジョーンズ氏は「今、組織内でトレーニングプランを立てて人材を育成しなければ、ギャップの幅は広がる一方になる」と、人材育成の重要性を説く。