世界経済フォーラム (WEF) 戦略的サイバーセキュリティ人材フレームワーク (2024.04.29)
こんにちは、丸山満彦です。
サイバーセキュリティの専門人材は日本でも常に不足していると言われていますが、WEFによると世界中では400万人近く不足していると推定しているようですね...
人材不足なので、サイバー人材の給与は増加しているようですね(日本ももう少し上がれば良いですよね...)。日本の場合、人事の反対にあうという話はききます。。。曰く、「セキュリティ人材だけ給与を上げるのは他の職種とのバランス上難しい...」
こういうことをいっている組織では、どんな人材であっても組織が必要としている人材があつまらず、組織としては衰退していくのだろうと思います...(他の職種とのバランス上...というのは、人事部門だけの都合ですからね...)
さて、興味深い内容ですので、目をとおしてみてくださいませ...
● World Economic Forum - Whitepaper
・2024.04.29 Strategic Cybersecurity Talent Framework
| Strategic Cybersecurity Talent Framework | 戦略的サイバーセキュリティ人材フレームワーク |
| Today, there is a shortage of nearly 4 million cybersecurity professionals worldwide and, with a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. This paper is intended to serve as a source of reference for public and private decision-makers concerned by the industry workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 現在、サイバーセキュリティの専門家は世界中で 400 万人近く不足しており、有能な実務家に対する需要は年々増加の一途をたどっているにもかかわらず、その不足は一向に解消される気配がない。本書は、サイバーセキュリティ業界の人材不足を懸念し、各分野でサイバーセキュリティ人材の育成に取り組む官民の意思決定者の参考資料となることを意図している。 |
| Today, there is a shortage of nearly 4 million cybersecurity professionals worldwide and, with a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. This paper is intended to serve as a source of reference for public and private decision-makers concerned by the industry workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 現在、サイバーセキュリティの専門家は世界中で 400 万人近く不足しており、有能な実務家に対する需要は年々増加の一途をたどっているが、この不足は一向に解消される気配がない。本稿は、サイバーセキュリティ業界の人材不足を懸念し、各分野でサイバーセキュリティ人材の育成に取り組む官民の意思決定者の参考資料となることを意図している。 |
| Recognizing that a single actor alone cannot effectively tackle the cybersecurity workforce shortage, the World Economic Forum, in collaboration with more than 50 public and private organizations, has developed a strategic Cybersecurity Talent Framework (CTF) featuring actionable approaches to help organizations build sustainable talent pipelines. The CTF tackles the following four priority areas: | 世界経済フォーラムは、サイバーセキュリティの人材不足に単独で効果的に取り組むことは不可能であるとの認識のもと、50 を超える官民の組織と協力して、組織が持続可能な人材パイプラインを構築するための実行可能なアプローチを取り入れた戦略的サイバーセキュリティ人材フレームワーク(CTF)を策定した。CTFは、以下の4つの優先分野に取り組んでいる: |
| ・Attracting talent into cybersecurity | ・サイバーセキュリティに人材を惹きつける。 |
| ・Educating and training cybersecurity professionals | ・サイバーセキュリティの専門家の教育とトレーニング |
| ・Recruiting the right cybersecurity talent | ・適切なサイバーセキュリティ人材の採用 |
| ・Retaining cybersecurity professionals | ・サイバーセキュリティのプロフェッショナルを維持する |
・[PDF]
目次...
| Executive summary | エグゼクティブサマリー |
| Introduction | 序文 |
| 1 Attracting talent into cybersecurity | 1 サイバーセキュリティに人材を惹きつける |
| 1.1 Key challenges that organizations face when attracting cyber talent | 1.1 サイバー人材を獲得する際に組織が直面する主な課題 |
| 1.2 Consequences of failing to attract talent | 1.2 人材獲得に失敗した場合の結果 |
| 1.3 Approaches to attracting talent | 1.3 人材を惹きつけるためのアプローチ |
| 1.4 Implementing actionable approaches to attract talent | 1.4 人材を惹きつけるための実行可能なアプローチを実施する |
| 2 Educating and training cybersecurity professionals | 2 サイバーセキュリティ専門家の教育と訓練 |
| 2.1 Identifying the gaps in current cybersecurity education and training programmes | 2.1 現在のサイバーセキュリティ教育・訓練プログラムにおけるギャップの識別 |
| 2.2 What should the future of cybersecurity education and training look like? | 2.2 サイバーセキュリティ教育と訓練の将来はどうあるべきか? |
| 2.3 Assessing the effectiveness of cybersecurity education and ensuring better alignment with industry demands | 2.3 サイバーセキュリティ教育の有効性を評価し、業界の需要との整合性を高める |
| 3 Recruiting the right cybersecurity talent | 3 適切なサイバーセキュリティ人材の採用 |
| 3.1 The search for cybersecurity professionals | 3.1 サイバーセキュリティの専門家を探す |
| 3.2 Actionable approaches for evaluation and validation | 3.2 評価と検証のための実行可能なアプローチ |
| 3.3 Is the skills-first approach applicable to cybersecurity? | 3.3 スキルファーストのアプローチはサイバーセキュリティに適用できるか? |
| 4 Retaining cybersecurity professionals | 4 サイバーセキュリティの専門家を維持する |
| 4.1 The causes of cybersecurity employee turnover | 4.1 サイバーセキュリティ従業員の離職の原因 |
| 4.2 Understanding the impact of employee attrition | 4.2 従業員離職の影響を理解する |
| 4.3 Actionable approaches to boost employee retention | 4.3 従業員の定着率を高めるための実行可能なアプローチ |
| 4.4 Prioritizing mental health in cybersecurity | 4.4 サイバーセキュリティにおけるメンタルヘルスを優先する |
| 4.5 Tactics for talent retention | 4.5 人材維持のための戦術 |
| Conclusion | 結論 |
| Appendix: Case studies | 附属書 ケーススタディ |
| Contributors | 寄稿者 |
| Endnotes | 巻末資料 |
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The strategic Cybersecurity Talent Framework should guide public- and privatesector decision-makers in building and sustaining a skilled cybersecurity workforce. | 戦略的サイバーセキュリティ人材フレームワークは、官民の意思決定者が熟練したサイバーセキュリティ人材を育成・維持するための指針となるものである。 |
| In today’s hyperconnected digital landscape, the cybersecurity industry faces a critical global shortage of nearly 4 million professionals. With a consistent year-on-year increase in demand for qualified practitioners, the deficit shows no sign of abating. | 今日の高度に結合したデジタル社会の状況において、サイバーセキュリティ業界は、400万人近い専門家の世界的な不足という危機的状況に直面している。有能な実務家に対する需要は年々増加の一途をたどっているが、この不足は一向に解消される気配がない。 |
| At a time when cyberthreats are increasing in sophistication and frequency, the cybersecurity workforce, as the backbone of organizational security, plays a key role in securing the benefits of the Fourth Industrial Revolution. Failure to ensure a steady supply of cybersecurity professionals may have far-reaching consequences, with organizations worldwide finding themselves vulnerable and understaffed in the face of emerging threats. It is, therefore, imperative for decision-makers to prioritize cybersecurity talent management as a strategic necessity. | サイバー脅威が高度化し、頻度も増加している現在、サイバーセキュリティの人材は、組織のセキュリティの基幹として、第4次産業革命の利益を確保する上で重要な役割を果たしている。サイバーセキュリティの専門家を安定的に確保できなければ、世界中の組織が新たな脅威に直面して脆弱性を抱え、人手不足に陥るという、広範囲に及ぶ結果を招きかねない。したがって、意思決定者にとって、サイバーセキュリティ人材管理を戦略的に必要なものとして優先させることが不可欠である。 |
| Recognizing that a single actor alone cannot effectively tackle the cybersecurity workforce shortage, the World Economic Forum established the Bridging the Cyber Skills Gap initiative. Bringing together more than 50 public and private organizations, the initiative developed a strategic Cybersecurity Talent Framework (CTF) featuring actionable approaches to help organizations build sustainable talent pipelines. | 世界経済フォーラムは、サイバーセキュリティの人材不足に単独で効果的に取り組むことはできないと考え、「サイバー・スキル・ギャップを埋める」イニシアティブを設立した。同イニシアチブは、50を超える官民の組織を結集し、組織が持続可能な人材パイプラインを構築するための実行可能なアプローチを特徴とする戦略的サイバーセキュリティ人材フレームワーク(CTF)を開発した。 |
| More specifically, the CTF is structured around four key priority areas intended to provide a holistic approach to talent management in cybersecurity. | 具体的には、CTFは、サイバーセキュリティの人材管理に対する全体的なアプローチを提供することを目的とした4つの主要優先分野を中心に構成されている。 |
| Among other things, the priority areas explore how: | 特に、優先分野では次のようなことを検討している: |
| – More talent could be attracted into cybersecurity by improving the understanding of what cybersecurity professionals do, removing barriers to entry and improving diversity in the workforce | ・サイバーセキュリティの専門家の業務内容に対する理解を改善し、参入障壁を取り除き、労働力の多様性を改善することで、より多くの人材をサイバーセキュリティに引きつけることができる。 |
| – Cybersecurity education and training could be improved to effectively equip students and professionals with essential skills for a career in the field | ・サイバーセキュリティの教育と訓練を改善し、この分野でのキャリアに不可欠なスキルを学生や専門家に効果的に身につけさせる。 |
| – Recruitment practices could be rethought by addressing challenges such as unrealistic and demanding requirements in job descriptions and misalignment between hiring managers and human resources (HR) departments | ・職務内容における非現実的で厳しい要件や、採用担当者と人事(HR)部門との不一致などの課題に取り組むことで、採用活動を見直すことができる。 |
| – Retention of cybersecurity professionals could be improved by tackling issues such as the lack of appreciation and recognition for the field as well as the high stress levels | ・この分野に対する評価や認知の不足、ストレスレベルの高さといった問題に取り組むことで、サイバーセキュリティの専門家の定着率を改善することができる。 |
| As a universally applicable framework, the CTF is intended to serve as a source of reference for industry leaders, government agencies, civil society and academia – that is, all stakeholders concerned by the cybersecurity workforce shortage and committed to developing and nurturing robust cybersecurity talent across their respective sectors. | 普遍的に適用可能なフレームワークとして、CTF は、産業界のリーダー、政府機関、市民社会、学術界、つまり、サイバーセキュリティ人材不足に関心を持ち、各分野におけるサイバーセキュリティ人材の育成と開発に尽力するすべての利害関係者の参考資料となることを意図している。 |
本文の仮対訳は...↓ ↓
| Introduction | 序文 |
| The cybersecurity industry is affected by the global shortage of workers and urgently needs to take actionable approaches to attract and retain skilled staff. | サイバーセキュリティ業界は、世界的な労働力不足の影響を受けており、熟練した人材を惹きつけ、維持するための実行可能なアプローチを早急に講じる必要がある。 |
| The workforce shortage is a global concern that spans nation states and industries. Estimates suggest that by 2030 there could be a global talent shortage of more than 85 million workers, leading to an estimated loss of $8.5 trillion in unrealized annual revenue.1 | 労働力不足は、国家や業界にまたがる世界的な問題である。推計によると、2030 年までに世界全体で 8、500 万人以上の人材が不足し、年間 8 兆 5、000 億ドルの未実現利益の損失につながる可能性がある1 。 |
| The cybersecurity industry is also affected by this pervasive challenge. While the cybersecurity workforce grew by 12.6% between 2022 and 2023, there is a shortage of nearly 4 million cybersecurity professionals worldwide.2 With a consistent year-onyear increase in demand for qualified practitioners, there is little optimism that the supply will catch up. In fact, only 15% of all organizations are optimistic that cyber skills and education will significantly improve the situation over the next two years.3 | サイバーセキュリティ業界も、この広範な課題の影響を受けている。サイバーセキュリティの労働人口は2022年から2023年の間に12.6%増加したが、サイバーセキュリティの専門家は世界中で400万人近く不足している2。有能な実務家に対する需要は年々一貫して増加しているため、供給が追いつくという楽観的な見方はほとんどない。実際、今後2年間でサイバー・スキルと教育が状況を大きく改善すると楽観視している組織は、全体のわずか15%に過ぎない3。 |
| From a regional perspective, the shortage is most pronounced in Asia-Pacific, which lacks more than 2.5 million cybersecurity workers, followed by North | 地域別に見ると、不足が最も顕著なのはアジア太平洋地域で、250 万人以上のサイバーセキュリティ人材が不足している。 |
| America, which faces a workforce gap of almost 522,000 people.4 In Africa, with a total population of more than 1.4 billion, the number of certified security professionals is estimated to be only around 20,000.5 At a country level, the talent shortage is particularly pronounced in China, India, the US and Brazil. India, despite boasting one of the world’s largest youth populations and 31.7% of science, technology, engineering and mathematics (STEM) graduates worldwide,6, 7 had an estimated 40,000 job openings for cybersecurity professionals in May 2023.8 Due to talent shortages, 30% of these vacancies could not be filled.9 Similarly, as of January 2024 the US has an estimated 448,000 cybersecurity job vacancies across the private and public sectors.10 | 総人口が 14 億人を超えるアフリカでは、認定を受けたセキュリティ専門家の数はわずか 2 万人程度と推定されている5 。国レベルで見ると、人材不足は中国、インド、米国、ブラジルで特に顕著である。インドは、世界最大級の若者人口を誇り、世界の科学・技術・工学・数学(STEM)卒業生の31.7%を占めているにもかかわらず6、 7、2023年5月のサイバーセキュリティ専門家の求人数は推定4万人であった8 。人材不足のため、これらの空席の30%は埋めることができなかった9。 同様に米国では 2024 年 1 月の時点で、民間部門と公的部門全体で 44 万 8、000 人のサイバーセキュリティ職の欠員があると推定されている10。 |
| The cybersecurity workforce shortage is especially apparent in the education, government and healthcare sectors.11 In fact, the Global Cybersecurity Outlook 2024 found that the lack of resources and skills is the biggest challenge when designing for cyber resilience for 52% of public organizations.12 Similarly, small and medium-sized enterprises (SMEs) struggle to digitalize due to a lack of cyber skills. Research shows that 43% of UK SMEs have been unable to hire cybersecurity support due to the shortage of specialists or challenges in attracting, recruiting and retaining cybersecurity practitioners.13 When it comes to specific cybersecurity roles, the workforce shortage is acute in domains such as cloud security, cyberthreat intelligence and malware analysis.14 | 実際、「グローバル・サイバーセキュリティ・アウトルック2024」によると、公共組織の52%にとって、リソースとスキルの不足がサイバーリエンシーを設計する際の最大の課題となっている12 。同様に、中小企業(SME)もサイバー・スキル不足のためにデジタル化に苦戦している。調査によると、英国の中小企業の 43%は、専門家の不足や、サイバーセキュリティの実務家を引き付け、採用し、維持 することの難しさのために、サイバーセキュリティのサポートを雇うことができなかったことがある13 。具体的なサイバーセキュリティの役割に関しては、クラウドセキュリティ、サイバー脅威インテリジェンス、マルウェア分析などの領域で人材不足が深刻化している14。 |
| As organizations confront the complexities of escalating cyberthreats – ranging from sophisticated ransomware attacks to insidious data breaches – the scarcity of qualified cybersecurity practitioners is reaching alarming proportions, and it comes as no surprise that more than two-thirds of organizations face additional risks because of cybersecurity skills shortages.15 | 高度なランサムウェア攻撃から狡猾なデータ侵害まで、深刻化するサイバー脅威の複雑さに組織が直面する中、有能なサイバーセキュリティ専門家の不足は憂慮すべき事態に達しており、組織の3分の2以上がサイバーセキュリティのスキル不足のためにさらなるリスクに直面していることは驚くにはあたらない15。 |
| The root causes of the cybersecurity workforce shortage are many. One key factor is the rapid evolution of the cybersecurity landscape, which outpaces the development of a commensurate workforce. As threat actors continue to refine and innovate their methods of attack, the demand for professionals with both a diverse and specialized skill set outstrips the supply. However, the shortage of skilled professionals capable of defending against increasing cyber risks extends beyond the immediate challenges faced by organizations. As a systemic risk, there is growing concern about the potential impact of the cybersecurity workforce deficit on national security, critical infrastructure and the overall resilience and security of economies and societies. Moreover, the proliferation of cuttingedge technologies – such as generative artificial intelligence (AI), quantum computing and internet of things – introduces new risks, expanding the attack surface and, therefore, further amplifying the need for a cybersecurity workforce equipped with evolving know-how. The cybersecurity sector also has a pronounced lack of diversity – including the representation of women, migrants, ethnic minorities and neurodiverse employees – so it should come as no surprise that 91% of organizations believe that there is a need to push for a more diverse range of people in the cybersecurity field.16 | サイバーセキュリティの人材不足の根本的な原因は数多くある。重要な要因の 1 つは、サイバーセキュリティの状況が急速に進化し、それに見合った人材の育成が追いついていないことである。脅威行為者が攻撃方法を洗練させ、革新し続ける中、多様で専門的なスキルを持つ専門家の需要は供給を上回っている。しかし、増大するサイバーリスクを防御できる熟練した専門家の不足は、組織が直面する当面の課題にとどまらない。システミックリスクとして、サイバーセキュリティ人材の不足が国家安全保障、重要インフラ、経済・社会の全体的なレジリエンスとセキュリティに及ぼす潜在的な影響に対する懸念が高まっている。さらに、生成的人工知能(AI)、量子コンピューティング、モノのインターネットなどの最先端技術の普及は、新たなリスクをもたらし、攻撃対象領域を拡大するため、進化するノウハウを備えたサイバーセキュリティ人材の必要性をさらに増幅させている。サイバーセキュリティ分野では、女性、移民、少数民族、神経障害のある従業員など、多様性の欠如も顕著であるため、組織の91%がサイバーセキュリティ分野でより多様な人材の登用を推進する必要があると考えているのも当然だろう16。 |
| Other factors contributing to the workforce shortage include issues such as the inability of certain employers, primarily from the public sector, to compete with the salaries offered by other organizations; misalignment among educational programmes; the evolving needs of the cybersecurity industry; and the lack of clarity about career opportunities in the field. | 人材不足のその他の要因としては、主に公共部門の特定の雇用主が他の組織が提示する給与に対抗できないこと、教育プログラム間の不整合、サイバーセキュリティ業界のニーズの進化、この分野におけるキャリアの機会に関する明確性の欠如などの問題が挙げられる。 |
| To address the cybersecurity workforce gap, the following strategic Cybersecurity Talent Framework (CTF) aims to present actionable approaches and best practices to public and private decision-makers worldwide on how to cultivate and sustain a pipeline of skilled professionals. | サイバーセキュリティ人材の格差に対処するため、以下の戦略的サイバーセキュリティ人材フレームワーク(CTF)は、熟練した専門家のパイプラインを育成・維持する方法について、世界中の官民の意思決定者に実行可能なアプローチとベストプラクティスを提示することを目的としている。 |
| The cybersecurity workforce landscape is multifaceted and involves a diverse array of actors forming a dynamic and interconnected network dedicated to securing an increasingly digitalized world. | サイバーセキュリティ人材の状況は多面的であり、多様な関係者がダイナミックかつ相互接続されたネットワークを形成し、デジタル化が進む世界の安全確保に尽力している。 |
| Finding a common language | 共通言語を見つける |
| When discussing the cybersecurity workforce deficit, terms such as “skills shortage”, “talent shortage”, “capacity shortage” and “experience shortage” are often used interchangeably despite their distinct nuances. This inaccuracy leads to confusion and misunderstanding regarding the specific type of scarcity that the industry faces. | サイバーセキュリティの人材不足について議論する際、「スキル不足」、「人材不足」、「能力不足」、「経験不足」といった用語は、それぞれのニュアンスが異なるにもかかわらず、しばしば同じ意味で使われている。この不正確さは、業界が直面している具体的な不足のタイプに関する混乱と誤解を招く。 |
| Taking a closer look at the different types of deficits, a “skills shortage” typically refers to a dearth of specific technical and soft competencies or abilities required for particular roles within the cybersecurity field. In this context, organizations may struggle to find an individual proficient in a specific programming or foreign language. On the other hand, a “talent shortage” suggests a lack of individuals possessing the broader set of skills, knowledge and attributes needed to excel in diverse cybersecurity roles. The term “capacity shortage” extends beyond cybersecurity staff and encompasses aspects such as the digital infrastructure and regulatory frameworks needed to establish and maintain robust security measures in the digital landscape. Finally, “experience shortage” refers to a lack of practical and hands-on expertise in dealing with real-world cybersecurity problems. In addition to these types of scarcities, organizations are increasingly struggling to find individuals with the right drive and motivation. | さまざまなタイプの不足を詳しく見てみると、「スキル不足」とは一般的に、サイバーセキュリティ分野の特定の役割に必要な特定の技術仕様やソフトコンピテンシー、能力が不足していることを指す。この文脈では、組織は特定のプログラミングや外国語に堪能な人材の確保に苦労するかもしれない。一方、「人材不足」は、多様なサイバーセキュリティの職務で活躍するために必要な、より広範なスキル、知識、特性を備えた人材の不足を示唆する。「能力不足」という用語は、サイバーセキュリティ・スタッフにとどまらず、デジタル環境における強固なセキュリティ対策の確立と維持に必要なデジタル・インフラストラクチャや規制の枠組みなどの側面をも包含している。最後に、「経験不足」とは、実際のサイバーセキュリティ問題に対処するための実践的かつ実践的な専門知識の不足を指す。 このような人材不足に加え、組織は適切な意欲とモチベーションを持つ人材の確保にますます苦慮している。 |
| To devise efficient and effective solutions to the problems at hand, there is a need to identify the precise nature of the shortage that a given geography, industry or organization is encountering. It is important to note that in cybersecurity multiple shortages can manifest simultaneously and in an interconnected manner. For instance, recent graduates may possess the right skills but lack real-life experience. On the other hand, experienced professionals may lack skills because many organizations struggle to invest in upskilling initiatives. Finally, qualified professionals with the right skills and experience tend to seek higher salaries, and organizations may find themselves experiencing a workforce shortage simply because they cannot afford to hire the talent. | 目の前の問題に対する効率的かつ効果的な解決策を考案するためには、特定の地域、業界、組織が遭遇している不足の性質を正確に特定する必要がある。サイバーセキュリティでは、複数の人材不足が同時に、しかも相互に関連しながら顕在化する可能性があることに注意することが重要である。例えば、新卒者は適切なスキルを持っていても、実際の経験が不足している可能性がある。一方、経験豊富な専門家は、多くの組織がスキルアップの取り組みへの投資に苦慮しているため、スキルが不足している可能性がある。最後に、適切なスキルと経験を持つ有能なプロフェッショナルは、より高い給与を求める傾向があり、組織は、単に人材を雇用する余裕がないために、労働力不足に陥る可能性がある。 |
| Adopters and enablers | 採用者と実現者 |
| The cybersecurity workforce landscape is multifaceted and involves a diverse array of actors forming a dynamic and interconnected network dedicated to securing an increasingly digitalized world. | サイバーセキュリティ人材の状況は多面的であり、デジタル化が進む世界の安全確保に特化したダイナミックで相互接続されたネットワークを形成する多様なアクターが関与している。 |
| At the forefront are adopters of the CTF. In essence, any public or private organization facing a shortage of cybersecurity talent can be an adopter of the CTF. More specifically, adopters acknowledge that attracting, educating, recruiting and retaining talent is a strategic imperative that demands actionable approaches. | その最前線にいるのが、CTF を採用する企業である。要するに、サイバーセキュリティの人材不足に直面している官民の組織であれば、誰でも CTF の採用者になり得る。より具体的には、採用企業は、人材の獲得、教育、採用、維持が戦略上の必須事項であり、実行可能なアプローチが必要であることを認識している。 |
| In parallel, certain adopters may also choose to play the role of an enabler, acting as catalysts for the successful implementation and continuous improvement of the CTF. Enablers possess specialized knowledge, resources and tools that can help navigate the complexities of cybersecurity talent management to yield tangible results. Enablers include: | これと並行して、CTF の実施と継続的改善を成功に導く触媒として、イネーブラー(実現者) の役割を果たすこともできる。イネイブラーは、専門的な知識、リソース、ツールを有しており、サイバーセキュリティ人材管理の複雑さを乗り越えて、具体的な成果を生み出すのに役立つ。イネイブラーには以下が含まれる: |
| Government entities: Responsible for defining and setting policies and regulations in cybersecurity workforce development according to supply and demand, government entities may also provide funding, grants and resources for cybersecurity training programmes and initiatives. Relevant examples of government entities include national cybersecurity bodies, ministries of education, ministries of information and technology and ministries of labour and employment. | 政府組織: サイバーセキュリティ人材育成に関する政策や規制を需給に応じて定め、設定する責 任を負うとともに、サイバーセキュリティ研修プログラムやイニシアティブに資金、助成金、 リソースを提供することもある。政府機関の関連例としては、国のサイバーセキュリティ団体、教育省、情報技術省、 労働雇用省などがある。 |
| Private sector: The private sector, which is usually the biggest employer of cybersecurity professionals, plays a critical role in enabling cyber talent development by supporting and promoting training programmes and offering a diverse range of avenues for practical development of competencies through internships and apprenticeships. | 民間部門: 通常、サイバーセキュリティ専門家の最大の雇用主である民間部門は、研修プログラムを支援・推進し、インターンシップや実習を通じて能力を実践的に開発するための多様な手段を提供することによって、サイバー人材の育成を可能にする上で重要な役割を果たす。 |
| International/regional organizations and development agencies: Organizations such as the European Union, the International Telecommunication Union, the Organization of American States, the World Bank and the United Nations help build a cyber-savvy workforce through a number of activities, including shaping policies, facilitating capacity-building programmes and providing technical and financial assistance. | 国際/地域機関および開発機関:欧州連合(EU)、国際電気通信連合(IU)、米州機構(OSA)、世界銀行、国連などの組織は、政策の策定、能力開発プログラムの促進、技術的・財政的支援の提供など、多くの活動を通じて、サイバーに精通した人材の育成を支援している。 |
| Educational institutions: Formal education on cybersecurity occurs in a systematic, structured environment and comprises primary, secondary and tertiary levels. Non-formal training consists of programmes and courses designed to provide learners with cybersecurity skills, knowledge and competencies outside the formal education system, including community education, boot camps and hands-on competitions as well as professional development courses. | 教育機構: サイバーセキュリティに関する正式な教育は、体系的かつ構造化された環境で行われ、初等、中等、高等の各レベルで構成される。非形式的な訓練は、コミュニティ教育、ブートキャンプ、実地競技会、専門能力開発コースなど、 形式的な教育システムの外で学習者にサイバーセキュリティのスキル、知識、能力を提供することを目的としたプログラムやコースで構成される。 |
| Civil society: Civil society organizations enable the development of a cybersecurity workforce by providing affordable and accessible education and training, supporting under-represented groups such as women and youth through mentorship opportunities, hosting networking events and advocating for supportive policies. | 市民社会: 市民社会組織は、手頃な価格で利用しやすい教育やトレーニングを提供し、メンターシップの機会を通じて女性や若者のような代表者の少ないグループを支援し、ネットワーキング・イベントを開催し、支援政策を提唱することによって、サイバーセキュリティ人材の育成を可能にする。 |
| The synergy between adopters and enablers of the CTF forms the cornerstone of a comprehensive approach to cybersecurity workforce development. | CTF の導入者と実現者の相乗効果は、サイバーセキュリティ人材育成の包括的アプローチの礎石となる。 |
| FIGURE 1 Enablers of the Cybersecurity Talent Framework | 図 1 サイバーセキュリティ人材フレームワークのイネイブラー |
| Adopters and enablers | 採用者と実現者 |
| Government entities : | 政府事業体: |
| Government entities, such as national cybersecurity bodies and ministries, define cybersecurity policies, provide funding and resources for training programmes, etc. | 国のサイバーセキュリティ団体や省庁などの事業体は、サイバーセキュリティ政策を定め、訓練プログラムなどに資金やリソースを提供する。 |
| Private sector : | 民間セクター |
| In addition to attracting and recruiting cybersecurity talent, the private sector provides training and development programmes. | 民間セクターは、サイバーセキュリティ人材の誘致や採用に加え、研修や育成プログラムを提供する。 |
| International and regional organizations and development agencies : | 国際機関、地域機関、開発機関 |
| International bodies such as the EU, ITU, OAS, World Bank and UN aid in cyber workforce development through policy-making, capacity-building and financial support. | EU、ITU、OAS、世界銀行、国連などの国際団体は、政策立案、能力開発、財政支援を通じて、サイバー人材の育成を支援している。 |
| Educational institutions : | 教育機構: |
| Formal and informal educational institutions provide relevant learning programmes and practical experience on cybersecurity. | 正規・非正規の教育機関は、サイバーセキュリティに関する適切な学習プログラムや実務経験を提供している。 |
| Civil society | 市民社会 |
| Civil society organizations enable cybersecurity workforce development by providing education and training, supporting under-represented groups, hosting networking events and advocating for supportive policies. | 市民社会組織は、教育や訓練の提供、代表者の少ないグループの支援、ネットワーキング・イベントの開催、支援政策の提唱を通じて、サイバーセキュリティ人材育成を可能にする。 |
| Four priority areas | 4 つの優先分野 |
| To address the different types of shortages comprehensively and to build sustainable cybersecurity talent pipelines, it is imperative to identify and address the underlying reasons contributing to the broader cybersecurity workforce gap. | さまざまなタイプの人材不足に包括的に対処し、持続可能なサイバーセキュリティ人材のパイプラインを構築するためには、サイバーセキュリティ人材の格差の原因となっている根本的な理由を識別し、対処することが不可欠である。 |
| The World Economic Forum’s Bridging the Cyber Skills Gap initiative brings together more than 50 global public and private organizations committed to building sustainable cybersecurity talent pipelines. Complementary to and in alignment with existing World Economic Forum efforts on skills, including the Reskilling Revolution and Skills-First,17 the initiative has identified the following four priority areas central to the CTF: | 世界経済フォーラムの「Bridging the Cyber Skills Gap」イニシアティブは、持続可能なサイバーセキュリティ人材パイプラインの構築に取り組む50以上のグローバルな官民組織を結集している。このイニシアティブは、スキルに関する既存の世界経済フォーラムの取り組み(Reskilling Revolution や Skills-First など17 )を補完し、これと連携する形で、CTF の中核となる以下の 4 つの優先分野を特定した: |
| – Attracting talent into cybersecurity | ・サイバーセキュリティに人材を呼び込む |
| – Educating and training cybersecurity professionals | ・サイバーセキュリティの専門家の教育と訓練 |
| – Recruiting the right cybersecurity talent | ・適切なサイバーセキュリティ人材の採用 |
| – Retaining cybersecurity professionals | ・サイバーセキュリティの専門家を確保する |
| It is important to note that the four priority areas should not be viewed in isolation but as interconnected components of a comprehensive cybersecurity talent-management approach. | この 4 つの優先分野は、単独で捉えるのではなく、サイバーセキュリティ人材管理の包括的なアプ ローチを構成する相互に関連した事業者として捉えることが重要である。 |
| FIGURE 2 Visual representation of the Cybersecurity Talent Framework | 図 2 サイバーセキュリティ人材フレームワークの視覚的表現 |
| Cybersecurity Talent Framework | サイバーセキュリティ人材フレームワーク |
| The four priority areas should not be viewed in isolation but as interconnected components of a comprehensive cybersecurity talent-management approach. | 4 つの優先分野は、単独で捉えるのではなく、サイバーセキュリティ人材管理の包括的なアプローチを構成する相互に関連する要素として捉えるべきである。 |
| Attracting talent into cybersecurity | サイバーセキュリティに人材を惹きつける |
| Despite the fact that cybersecurity careers tend to be well paid, purposeful and offer opportunities for career development, the industry struggles to attract talent. A lack of understanding of what cybersecurity professionals do in their daily work, coupled with insufficient awareness of how to enter the cybersecurity sector and what career opportunities may be available, discourages individuals from pursuing a career in cybersecurity. Moreover, a lack of diversity (which makes the talent pool of available workers smaller than it need be), fierce competition for niche talent and the evolving job demands exacerbate organizations’ difficulties in attracting skilled talent. | サイバーセキュリティのキャリアは高給で、やりがいがあり、キャリア開発の機会を提供する傾向があるにもかかわらず、業界は人材の獲得に苦戦している。サイバーセキュリティの専門家が日常業務でどのようなことを行っているのかが理解されていないことに加え、サイバーセキュリティ分野に参入する方法やどのようなキャリアの機会があるのかについての認識が不十分であるため、サイバーセキュリティのキャリアを目指す意欲が削がれている。さらに、多様性の欠如(これは、利用可能な労働者の人材プールを必要以上に小さくしている)、ニッチな人材をめぐる熾烈な競争、進化する職務上の要求が、熟練した人材を惹きつけるという組織の困難を悪化させている。 |
| What measures could be taken to attract cybersecurity talent? | サイバーセキュリティの人材を惹きつけるためには、どのような対策が考えられるだろうか。 |
| Educating and training cybersecurity professionals | サイバーセキュリティの専門家の教育と訓練 |
| Irrespective of whether they are intended for primary- or secondary-school students, university students or professionals, educational programmes on cybersecurity face numerous challenges, including outdated and misaligned curricula, a shortage of qualified instructors and a lack of structured mentorship programmes. Such setbacks are exacerbated even further by the frequent demand for expensive cybersecurity degrees and certifications with varying levels of recognition and relevance. The limited supply of training that recognizes the diversity of learners’ needs, backgrounds and learning preferences also hinders the effectiveness of cybersecurity education. | 初等・中等教育、大学生、専門家のいずれを対象としているかにかかわらず、サイバーセキュリティに関する教育プログラムは、時代遅れでずれたカリキュラム、資格のある講師の不足、体系的な指導プログラムの欠如など、数多くの課題に直面している。このような弊害は、認知度や関連性がさまざまなレベルの高価なサイバーセキュリティの学位や資格に対する需要が頻繁に発生することによって、さらに悪化している。学習者のニーズ、背景、学習嗜好の多様性を認識するトレーニングの供給が限られていることも、サイバーセキュリティ教育の効果を妨げている。 |
| How can cybersecurity education be improved to equip students and professionals effectively with essential skills? | 学生や専門家が必要不可欠なスキルを効果的に習得できるようにするには、サイバーセキュリティ教育をどのように改善すればよいのだろうか。 |
| Recruiting the right cybersecurity talent | 適切なサイバーセキュリティ人材の採用 |
| While many cyber skills are transferable, employers’ demand for formal cybersecurity education creates a barrier to entry. In addition, many potential (entry-level) candidates are discouraged from applying for cybersecurity roles due to the extensive requirements listed in job descriptions, including certifications and several years of experience. One of the underlying reasons for such unrealistic and demanding requirements is because HR departments often do not understand the jobs for which they are recruiting and do not speak the language of cybersecurity. | サイバーセキュリティのスキルの多くは転用可能であるが、雇用主は正式なサイバーセキュリティ教育を求めているため、サイバーセキュリティ教育への参入障壁となっている。さらに、潜在的な(エントリーレベルの)候補者の多くは、資格や数年の経験など、職務記述書に記載されている広範な要件のために、サイバーセキュリティの職務に応募することを躊躇している。このような非現実的で厳しい要件が求められる根本的な理由の 1 つは、人事部門が募集している職務を理解していないことが多く、サイバーセキュリティの用語が通じないことである。 |
| How can organizations rethink recruitment and talent-sourcing practices? | 企業は、採用や人材確保の方法をどのように見直せばよいのだろうか。 |
| Retaining cybersecurity professionals | サイバーセキュリティの専門家の確保 |
| Continued stress, fatigue and pressure experienced by cyber professionals result in high employee attrition rates. Another factor that leads to short tenures within cybersecurity is a lack of appreciation of and recognition for cybersecurity staff. Sometimes individuals leave their cybersecurity roles for other internal opportunities, seeking a change in responsibilities, while others quit the organization altogether. The departure of cybersecurity experts not only has financial implications for organizations as they try to replace talent but also contributes to the loss of invaluable institutional knowledge and can have implications for the security posture of affected organizations. | サイバー専門家が経験する継続的なストレス、疲労、プレッシャーは、従業員の高い離職率につながる。サイバーセキュリティにおける勤続年数の短さにつながるもう 1 つの要因は、サイバーセキュリティ・スタッフに対する評価と認知の不足である。サイバーセキュリティの職務を離れて他の社内機会を得たり、責任の転換を求めたりする人もいれば、組織を完全に辞めてしまう人もいる。サイバーセキュリティの専門家の離職は、組織が人材を補充しようとする際に財務的な影響を及ぼすだけでなく、貴重な機構知識の喪失にもつながり、影響を受ける組織のセキュリティ態勢にも影響を及ぼす可能性がある。 |
| How can organizations create incentives for talent and retain their staff? | 組織は、どのようにすれば人材にインセンティブを与え、スタッフを維持できるのだろうか。 |
| 1. Attracting talent into cybersecurity | 1. サイバーセキュリティに人材を惹きつける |
| Cybersecurity professionals have a meaningful impact on the digital world, protecting it from cyberthreats. Yet despite the fact that this is valuable work with major benefits for wider society, the industry struggles to attract talent. | サイバーセキュリティの専門家は、デジタルの世界をサイバー脅威から守るという重要な影響力を持っている。しかし、これはより広い社会にとって大きな利益をもたらす貴重な仕事であるにもかかわらず、この業界は人材の獲得に苦戦している。 |
| A number of reasons contribute to this difficulty, including the flawed perception that cybersecurity roles are highly technical. Moreover, about 85% of cybersecurity professionals believe that individuals are often discouraged from pursuing a career in the sector because they lack insights into the field’s variety of potential roles and opportunities for upward mobility.18 The challenge is also visible at an organizational level. With an estimated 78% of organizations reporting that they do not have the in-house skills to fully achieve their cybersecurity objectives,19 talent attraction becomes increasingly difficult, with organizations – irrespective of their size, industry or geography – competing for mission-driven professionals who care about creating better outcomes for their organizations and broader communities. | この困難には、サイバーセキュリティの職務は高度な技術を要するという誤った認識など、さまざまな理由がある。さらに、サイバーセキュリティの専門家の約 85% は、この分野の多様な潜在的役割や上昇志向の機会に対する見識が乏しいため、この分野でのキャリアを目指す意欲が削がれることが多いと考えている18。組織の推定 78%が、サイバーセキュリティの目標を完全に達成するためのスキルを社内に持ち合わせていないと回答している19 ことから、人材の確保はますます難しくなっており、組織の規模、業種、地理に関係なく、組織やより広範なコミュニティのためにより良い成果を生み出そうとする使命感にあふれた専門家を求めて、組織が競争を繰り広げている。 |
| 1.1 Key challenges that organizations face when attracting cyber talent | 1.1 サイバー人材を獲得する際に組織が直面する主な課題 |
| The increasingly complex cybersecurity landscape demands both individuals with highly technical skills to navigate intricate systems and networks and others with non-technical skills such as risk management and policy development to address strategic cybersecurity challenges. | 複雑化するサイバーセキュリティの状況では、複雑なシステムやネットワークを操る高度な技術的スキルを持つ人材と、サイバーセキュリティの戦略的課題に対処するためのリスクマネジメントや政策立案などの非技術的スキルを持つ人材の両方が求められている。 |
| Many organizations seeking to attract cybersecurity talent struggle to: | サイバーセキュリティ人材の獲得を目指す多くの組織は、次のような点で苦労している: |
| – Compete with other organizations in terms of proposed salaries and benefits, especially in the age of remote working, which gives them wider options. This challenge may be experienced particularly by SMEs, public organizations in the Global South and highly regulated industries such as finance and healthcare. | ・給与や福利厚生の面で他の組織と競合すること。特に、リモートワークが普及し、選択肢の幅が広がっている現在ではなおさらである。この課題は、特に中小企業、グローバル・サウス(南半球)の公的機関、金融や医療などの規制の厳しい業界が経験している可能性がある。 |
| – Evaluate the educational qualifications of applicants due to a lack of standardized education pathways. | ・標準的な教育経路がないため、応募者の学歴を評価する。 |
| – Craft precise job descriptions as HR teams may have limited abilities to translate technical requirements into appealing narratives. Moreover, hiring managers within cybersecurity departments often struggle to communicate desired skills and competencies in non-technical language. | ・人事チームは、技術的要件を魅力的な物語に翻訳する能力が限られている可能性があるため、正確な職務記述書を作成する。さらに、サイバーセキュリティ部門の採用担当者は、非技術的な言葉で希望するスキルや能力を伝えるのに苦労することが多い。 |
| – Manage the expectations of early-career talent in terms of promotions, work location and so forth. – Find highly experienced cybersecurity professionals and specialized talent in emerging technologies. | ・昇進や勤務地など、キャリアの浅い人材の期待を管理する。・経験豊富なサイバーセキュリティの専門家や、新興技術に特化した人材を発掘する。 |
| – Recognize the need for a broader spectrum of cybersecurity talent, beyond highly specialized experts, by acknowledging the critical role of technicians who perform essential operational and intermediate tasks. | ・重要な運用作業や中間作業を行う技術者の重要な役割を認識することで、高度に専門化された専門家だけでなく、より広範なサイバーセキュリティ人材の必要性を認識する。 |
| – Integrate diversity and inclusion due to insufficient outreach efforts targeting under-represented groups (e.g. lack of gender-sensitive language in job descriptions), inadequate representation of diversity in leadership positions, insufficient support for work–life balance, language barriers and so forth. | ・代表者の少ないグループを対象としたアウトリーチ活動が不十分であること(職務記述書に性別に配慮した文言がないなど)、指導的地位における多様性の代表者が不十分であること、ワークライフバランスへの支援が不十分であること、言語の壁などが原因で、ダイバーシティとインクルージョンが統合されない。 |
| 1.2 Consequences of failing to attract talent | 1.2 人材獲得に失敗した結果 |
| The World Economic Forum’s Future of Jobs Report 2023 found that in the next five years the inability to attract talent will constitute one of the most important barriers to industry transformation.20 In cybersecurity, failure to attract talent can result in several consequences for organizations, including: | 世界経済フォーラム(World Economic Forum)の「雇用の未来レポート 2023」によると、今後 5 年間で、人材を引きつけることができないことが、業界の変革にとって最も重要な障壁の 1 つになるとされている20 : |
| – Overstretched staff who are unable to focus on their respective roles and professional growth. This, in turn, can decrease an individual’s ability to perform and meet goals and objectives. In the long run, overstretched staff can lead to reduced innovation and delays in development, production and launch of products and services. | ・人材が過剰になり、それぞれの役割や専門的な成長に集中できなくなる。その結果、個人の能力が低下し、目標や目的を達成できなくなる。長期的には、スタッフの過度な緊張は、技術革新の低下や、製品・サービスの開発・生産・発売の遅れにつながる可能性がある。 |
| – Difficulty in implementing cybersecurity regulations and meeting compliance requirements. | ・サイバーセキュリティ規制の実施やコンプライアンス要件の遵守が困難になる。 |
| – Inadequate prioritization and diversion of attention away from essential cybersecurity measures and investments. | ・優先順位付けが不十分で、必要不可欠なサイバーセキュリティ対策や投資から注意がそれる。 |
| – Financial losses due to a lack of sufficient cybersecurity personnel available for monitoring, responding to and mitigating the consequences of cybersecurity incidents. | ・サイバーセキュリティインシデントの監視、対応、および結果の低減に利用できるサイバーセキュリティ要員の不足による財務的損失。 |
| – Reputational damage for organizations unable to hire the right talent to respond to emerging cybersecurity threats. | ・新たなサイバーセキュリティの脅威に対応するための適切な人材を雇用できないことによる、組織の風評被害。 |
| 1.3 Approaches to attracting talent | 1.3 人材獲得のためのアプローチ |
| To tackle the previously mentioned challenges and mitigate the negative effects of the failure to attract talent, organizations need to think carefully about how to equip themselves with the right cybersecurity workforce. Broadly speaking, every approach to attracting cybersecurity talent should seek to market cybersecurity as value-based work that helps protect sensitive data, intellectual property and digital infrastructure, emphasizing its profound impact on wider society. Moreover, it should promote the multidisciplinary nature of cybersecurity and the ability to pursue a career in cybersecurity across different industries and contexts. | 先に述べた課題に取り組み、人材を確保できないことによる悪影響を軽減するために、組織は適切なサイバーセキュリティ人材をどのように確保するかを慎重に考える必要がある。大まかに言えば、サイバーセキュリティの人材を獲得するためのあらゆるアプローチは、サイバーセキュリティを、機密データ、知的財産、デジタルインフラの保護に役立つ価値ある仕事として売り込むことを目指すべきであり、より広い社会に与える影響の大きさを強調すべきである。さらに、サイバーセキュリティの学際的な性質と、さまざまな業界や状況にまたがってサイバーセキュリティのキャリアを追求する能力を促進すべきである。 |
| While there is no “one-size-fits-all” solution, a robust approach to attracting talent should incorporate practices that help organizations identify and engage individuals who would not only fill a role but who would also stay with the organization. | 万能の解決策」は存在しないが、人材を確保するための強固なアプローチには、組織がその役割を果たすだけでなく、その組織に留まり続けてくれるような人材を特定し、引き込むための手法を取り入れるべきである。 |
| BOX 1 Characteristics of attracting talent | BOX 1 人材獲得の特徴 |
| Approaches to attracting talent should: | 人材を惹きつけるアプローチは、次のようなものでなければならない: |
| – Be flexible and adaptable to reflect the rapidly evolving landscape of threats, technologies and skill requirements. | ・脅威、テクノロジー、スキル要件など、急速に進化する状況を反映できるよう、柔軟性と適応性を持たせる。 |
| – Make the most of the corporate brand and reputation based on values and commitment to cybersecurity excellence. | ・サイバーセキュリティの卓越性に対する価値観とコミットメントに基づいて、企業ブランドと評判を最大限に活用する。 |
| – Prioritize diversity and inclusion by setting diversity goals as well as demonstrating and highlighting commitment to inclusion at all levels of the organization. | ・ダイバーシティ(多様性)の目標を設定し、組織の全レベルでインクルージョン(受容)へのコミットメントを示し、強調することで、ダイバーシティとインクルージョンを優先する。 |
| – Incorporate partnerships with groups or institutions working with under-represented stakeholder groups in cybersecurity, such as women in cyber, refugees and military veterans. By broadening outreach efforts and promoting inclusive practices, organizations can tap into a more diverse talent pool through recruiting outside of traditional computer science graduate cohorts, enhancing innovation and problem-solving capabilities within their cybersecurity teams. | ・サイバーセキュリティ業界における女性、難民、退役軍人など、サイバーセキュリティ業界において十分に代表されていないステークホルダー・グループと協力しているグループや機構とパートナーシップを組む。アウトリーチ活動の幅を広げ、包括的な実践を推進することで、組織は、従来のコンピュータサイエンスの新卒者集団以外の採用を通じて、より多様な人材プールを活用し、サイバーセキュリティチーム内のイノベーションと問題解決能力を高めることができる。 |
| – Offer competitive salaries and comprehensive benefits packages – including healthcare cover, onsite childcare and hybrid working options – to access a wider talent pool and promote work–life balance. | ・競争力のある給与と包括的な福利厚生制度(医療保険、事業所内託児所、ハイブリッド勤務オプションなど)を提供することで、幅広い人材プールにアクセスし、ワークライフバランスを促進する。 |
| – Highlight learning and career-development opportunities within the organization. By offering professional development programmes, mentorship initiatives and opportunities for advancement, organizations can demonstrate their commitment to nurturing talent and developing long-term career growth in cybersecurity. | ・組織内での学習とキャリア開発の機会を強調する。専門能力開発プログラム、メンターシップ・イニシアチブ、昇進の機会を提供することで、組織は、人材を育成し、サイバーセキュリティ分野で長期的なキャリア成長を実現するというコミットメントを示すことができる。 |
| – Focus on developing in-house talent by investing in training, upskilling and promotion from within to cultivate a strong pipeline of cybersecurity professionals who are already familiar with the company’s culture, processes and systems. This not only enhances employee loyalty and engagement but also ensures continuity and stability within the cybersecurity workforce. | ・研修、スキルアップ、社内からの昇進に投資して社内の人材育成に注力し、会社の文化、プロセス、システムにすでに精通しているサイバーセキュリティの専門家の強力なパイプラインを育成する。これにより、従業員の忠誠心とエンゲージメントが高まるだけでなく、サイバーセキュリティ人材の継続性と安定性も確保される。 |
| 1.4 Implementing actionable approaches to attract talent | 1.4 人材を惹きつけるための実行可能なアプローチを導入する |
| Defining actionable approaches to attracting talent is just the tip of the iceberg. For long-term wins in cybersecurity workforce growth, predefined approaches need to be paired with an implementation plan. | 人材を惹きつけるための実行可能なアプローチを定義することは、氷山の一角にすぎない。サイバーセキュリティ人材の成長を長期的に勝ち取るためには、事前に定義されたアプローチを実施計画と組み合わせる必要がある。 |
| BOX 2 Features of an implementation plan | BOX 2 実施計画の特徴 |
| An implementation plan should: | 実施計画には次のような特徴がある: |
| – Ensure that executive leadership recognizes the critical importance of cybersecurity and is fully committed to addressing cybersecurity workforce needs. According to Fortinet research from 2023, more than 90% of boards of surveyed organizations across North America, Latin America, Europe, Middle East and Africa and Asia-Pacific were inclined to push for adding cybersecurity headcount.21 Leadership can show commitment by prioritizing cybersecurity, providing the necessary resources and tools to cybersecurity professionals and by actively supporting efforts to attract talent within the organization. | ・経営幹部がサイバーセキュリティの重要性を認識し、サイバーセキュリティ人材のニーズへの対応に完全にコミットしていることを確認する。2023 年のフォーティネットの調査によると、北米、中南米、欧州、中東・アフリカ、アジア太平洋地域の調査対象組織の取締役会の 90%以上が、サイバーセキュリティの人員増員を推進する意向を示している21 。リーダーシップは、サイバーセキュリティを優先し、サイバーセキュリティの専門家に必要なリソースやツールをプロバイダとして提供し、組織内で人材を獲得する取り組みを積極的に支援することで、コミットメントを示すことができる。 |
| – Allocate sufficient budget to the recruitment of cybersecurity professionals. To that end, organizations should research market rates to offer competitive compensation, account for recruitment costs, allocate resources for training and development programmes to upskill or reskill existing talent and collaborate with finance and HR teams to align the budget with organizational constraints and strategic priorities. | ・サイバーセキュリティの専門家の採用に十分な予算を割り当てる。そのためには、競争力のある報酬を提供するために市場相場を調査し、採用コストを考慮し、既存の人材をスキルアップまたは再スキルアップするためのトレーニングと能力開発プログラムにリソースを割り当て、財務チームや人事チームと協力して、予算を組織の制約や戦略的優先事項と整合させる。 |
| – Use a common-language framework to enhance the precision of job descriptions and relevant required competencies for each job role to facilitate effective communication among recruiters, hiring managers and candidates. This framework should standardize terminology and qualifications related to cybersecurity roles, ensuring that job descriptions accurately reflect the skills and experience required for each position. | ・採用担当者、採用マネージャー、候補者間の効果的なコミュニケーションを促進するために、共通言語のフレームワークを使用して、職務内容や各職務に関連する必要なコンピテンシーの精度を高める。この枠組みは、サイバーセキュリティの役割に関連する用語や資格を標準化し、職務記述書に各職務に必要なスキルや経験が正確に反映されるようにする。 |
| – Foster collaboration with academic institutions to promote cybersecurity career opportunities and attract qualified candidates. Organizations can reach out to primary and secondary schools, universities and vocational schools to communicate the demand for cybersecurity professionals, participate in career fairs and industry events, offer internships and apprenticeships and provide guest lectures or workshops to educate students about career paths in cybersecurity. | ・サイバーセキュリティのキャリアの機会を促進し、有能な候補者を惹きつけるために、学術機関との協力を促進する。プロバイダは、初等・中等学校、大学、専門学校に働きかけ、サイバーセキュリティの専門家に対する需要を伝え、キャリアフェアや業界イベントに参加し、インターンシップや実習を提供し、サイバーセキュリティのキャリアパスについて学生を教育するためにゲスト講義やワークショップを提供することができる。 |
| – Ensure HR and recruitment teams are equipped with the necessary skills and training to execute the strategy effectively. | ・人事・採用チームが、戦略を効果的に実行するために必要なスキルとトレーニングを備えていることを確認する。 |
| 2. Educating and training cybersecurity professionals | 2. サイバーセキュリティの専門家の教育と訓練 |
| Cybersecurity education is a very broad discipline that encompasses a wide range of actors contributing to the skilling and training of the cybersecurity workforce. | サイバーセキュリティ教育は、サイバーセキュリティ人材の育成と訓練に貢献する幅広い関係者を包含する、非常に広範な分野である。 |
| Training in cybersecurity may begin in primary and secondary schools and continues in universities, vocational schools, online learning platforms, cybersecurity academies established by the public or private sector, on-the job training and other formal and informal educational settings. | サイバーセキュリティの教育は、初等・中等教育から始まり、大学、職業訓練校、オンライン学習プラットフォーム、官民が設立したサイバーセキュリティ・アカデミー、職業訓練、その他の公式・非公式の教育環境で継続的に行われる。 |
| 2.1 Identifying the gaps in current cybersecurity education and training programmes | 2.1 現在のサイバーセキュリティ教育・訓練プログラムにおけるギャップの識別 |
| At the primary- and secondary-school level, cybersecurity education is increasingly being recognized as essential in equipping students with the knowledge and skills to navigate the digital landscape safely. While some schools may offer basic courses on digital safety and security – including best practices for creating strong passwords, recognizing phishing scams and protecting personal data – technical knowledge such as malware analysis and encryption often remains overlooked. A survey conducted in the US and the UK in 2023 revealed that 62% of respondents agreed that if they or their child had had a more comprehensive cybersecurity education in school they would have considered pursuing a career in the field.22 The same survey also found that 90% of respondents believed that insufficient efforts are being made to educate students on the opportunities that exist in cybersecurity. | 初等・中等教育レベルでは、サイバーセキュリティ教育は、デジタル環境を安全に操るための知識とスキルを生徒に身につけさせるために不可欠であるとの認識が高まっている。一部の学校では、強力なパスワードの作成、フィッシング詐欺の認識、個人データの保護などのベストプラクティスを含む、デジタルの安全性とセキュリティに関する基本的なコースを提供しているかもしれないが、マルウェア分析や暗号化などの技術的な知識は見過ごされがちである。2023 年に米国と英国で実施された調査によると、回答者の 62%が、自分自身または自分の子供が学校でもっと包括的なサイバーセキュリティ教育を受けていれば、この分野でのキャリアを追求することを考えたと回答している。22 同調査では、回答者の90%が、サイバーセキュリティに存在する機会について学生を教育する努力が十分でないと考えていることもわかった。 |
| While cybersecurity may be more integrated into university-level curricula, challenges related to the practical application of knowledge persist. To illustrate, at the European Union level, only 34% of cybersecurity programmes feature a compulsory internship for students.23 This lack of practical experience can make it more difficult for graduates to land a job in cybersecurity. Higher education also performs rather poorly on professional certification, with only 23% of EU programmes preparing students for specific professional certifications.24 What is more, cybersecurity education can be unaffordable for many. Research shows that EU citizens have to pay for 71% of cybersecurity programmes at bachelor, master and postgraduate levels in order to enrol.25 | サイバーセキュリティが大学レベルのカリキュラムに組み込まれつつあるとはいえ、知識の実践的応用に関する課題は依然として残っている。例を挙げると、欧州連合(EU)レベルでは、サイバーセキュリティのプログラムのうち、学生を対象としたインターンシップが必修となっているのは34%に過ぎない。23 このような実務経験の不足は、卒業生がサイバーセキュリティの仕事に就くことを難しくしている。また、高等教育は専門的な資格取得に関してもかなり劣っており、EUのプログラムのうち、特定の専門的な資格取得を目指す学生を対象としているのはわずか23%にすぎない。24 さらに、サイバーセキュリティ教育は、多くの人々にとって手が届かないものである可能性がある。調査によると、EU 市民は、学士、修士、大学院レベルのサイバーセキュリティ・プログラムの 71%に登録するために費用を支払わなければならない25 。 |
| Despite the fact that the informal cybersecurity education landscape is characterized by greater accessibility and flexibility, it also faces challenges of its own. With a plethora of curricula and programmes, choosing the most relevant becomes a daunting task. | 非公式なサイバーセキュリティ教育の状況は、アクセシビリティと柔軟性が高いという特徴があるにもかかわ らず、独自の課題にも直面している。カリキュラムやプログラムが氾濫しているため、最も適切なものを選択するのは困難な作業となる。 |
| A closer look at cybersecurity education reveals the following: | サイバーセキュリティ教育を詳しく見てみると、次のようなことが明らかになる: |
| – An absence of comprehensive cybersecurity curricula at primary- and secondary-school and university levels results in cybersecurity talent lacking either technical or soft skills. This ultimately results in failure to adequately prepare students for the task of securing digital systems and a lack of leadership buy-in to positioning cybersecurity as a strategic imperative. | ・初等・中等教育や大学レベルで包括的なサイバーセキュリティ教育カリキュラムが存在しないため、サイバーセキュリティの人材は技術的スキルもソフトスキルも不足している。その結果、デジタルシステムの安全性を確保するための準備を学生に十分にさせることができず、サイバーセキュリティを戦略的な必須事項として位置づけることに対するリーダーシップの賛同が得られない。 |
| – Limited commitment to and funding for cybersecurity education and training hinders the development of robust programmes and limits the resources available for educators and students. | ・サイバーセキュリティの教育と訓練に対する取り組みと資金が限られているため、強固なプログラムの開発が妨げられ、教育者と学生が利用できるリソースも限られている。 |
| – A lack of practical learning opportunities limits exposure to the challenges and complexities of cybersecurity and hands-on experiences that allow the application of knowledge in realworld scenarios. | ・実践的な学習の機会が不足しているため、サイバーセキュリティの課題や複雑性にさら されたり、実社会のシナリオで知識を応用できるような実践的な経験が得られなかったりする。 |
| – A shortage of qualified professionals who can effectively teach cybersecurity concepts and technologies to students in primary and secondary schools, universities and vocational schools. This lack is primarily due to the fact that cybersecurity is still a relatively nascent field. Addressing this gap is key to empowering the next generation with the necessary critical thinking and technical proficiency. | ・初等・中等教育、大学、専門学校の生徒にサイバーセキュリティの概念や技術を効果的に教えることのできる有資格の専門家が不足している。この不足は主に、サイバーセキュリティがまだ比較的新しい分野であるという事実に起因する。このギャップに対処することは、次世代に必要な批判的思考と技術的熟練を身につけさせるための鍵となる。 |
| – Insufficient guidance about which training courses and mechanisms are best suited for different cybersecurity roles can lead to confusion and ineffective training programmes. | ・さまざまなサイバーセキュリティの役割に最適なトレーニングコースや仕組みに関するガイダンスが不十分なため、トレーニングプログラムが混乱し、効果が上がらない可能性がある。 |
| – The absence of a standardized approach to cybersecurity education across institutions worldwide contributes to inconsistent learning outcomes and accreditation criteria as well as industry misalignment. This, in turn, impedes efforts to produce a cohesive workforce equipped to address the diverse and evolving challenges posed by cyberthreats. | ・サイバーセキュリティ教育に対する標準的なアプローチが世界中の機構に存在しないことは、学習成果や認定基準に一貫性がないだけでなく、業界の足並みを乱す一因にもなっている。その結果、サイバー脅威がもたらす多様で進化する課題に対処できる結束力のある人材を育成する取り組みが阻害されることになる。 |
| It is important to note that the question of whether cybersecurity curricula and education programmes should be standardized is a topic of debate within the industry. While some argue that a certain degree of customization is needed to reflect a given organization’s culture and meet the specific needs of the target group, others believe that standardization is necessary to ensure consistency and alignment with industry requirements. | サイバーセキュリティのカリキュラムや教育プログラムを標準化すべきかどうかという問題は、業界内で議論の的となっていることに留意することが重要である。ある組織の文化を反映し、対象者の特定のニーズを満たすためには、ある程度のカスタマイズが必要であるという意見がある一方で、業界の要件との整合性と一貫性を確保するためには標準化が必要であるという意見もある。 |
| 2.2 What should the future of cybersecurity education and training look like? | 2.2 サイバーセキュリティ教育と訓練の将来はどうあるべきか? |
| The lack of adequate education and training programmes on cybersecurity can have far-reaching impacts on organizations in diverse industries and geographies. To illustrate, a study by the Organization of American States revealed that in Latin America the lack of availability of cyber-specific educational opportunities, together with high employee attrition rates, affect the region’s ability to execute other strategic goals such as economic growth, national security and infrastructure modernization.26 | サイバーセキュリティに関する適切な教育・訓練プログラムの欠如は、多様な業界や地域の組織に 広範な影響を及ぼす可能性がある。例えば、米州機構(Organization of American States)の調査によると、ラテンアメリカでは、サイ バーに特化した教育機会の不足が、従業員の高い離職率とともに、経済成長、国家安全保障、インフ ラの近代化といった他の戦略的目標の実行能力に影響を与えていることが明らかになった26。 |
| BOX 3 Acting on cybersecurity education and training | BOX 3 サイバーセキュリティの教育と訓練に取り組む |
| Public and private organizations responsible in one way or another for cybersecurity education should therefore take actions to: | サイバーセキュリティ教育に何らかの形で責任を負う公的機関や民間企業は、次のような行動をとるべきである: |
| – Integrate cybersecurity education across different disciplines (e.g. healthcare, law, political science and so forth). | ・サイバーセキュリティ教育をさまざまな分野(医療、法学、政治学など)に統合する。 |
| – Incorporate industry-recognized international professional certifications into training programmes, culminating in certification exams that learners can take upon completion. | ・業界で認知された国際的な専門資格認定を研修プログラムに組み込み、修了時に学習者 が受験できる認定試験を実施する。 |
| – Mobilize greater efforts to incorporate cybersecurity education in primary and secondary schools. Training on cybersecurity should be provided to all students engaging with digital technologies. | ・初等・中等教育でサイバーセキュリティ教育を取り入れる取り組みを強化する。デジタル技術に携わるすべての生徒にサイバーセキュリティに関するトレーニングを提供する。 |
| – Ensure cybersecurity curricula are flexible and adaptable to the changing cyber landscape. For example, they should include materials on emerging technologies such as AI. | ・サイバーセキュリティのカリキュラムが、変化するサイバー環境に柔軟に対応できるようにする。例えば、AI などの新たなテクノロジーに関する教材を含めるべきである。 |
| – Provide continuous education opportunities for experienced professionals to stay updated on the latest trends and best practices. | ・経験豊富な専門家が最新のトレンドやベストプラクティスを常に把握できるよう、継続的な教育の機会を提供する。 |
| – Aggregate freely accessible cybersecurity training resources into a structured one-stop shop where individuals interested in pursuing cybersecurity careers or cybersecurity professionals can conveniently access them. | ・自由にアクセスできるサイバーセキュリティ・トレーニング・リソースを、サイバーセキュリティ・キャリアの追求に関心のある個人やサイバーセキュリティ専門家が便利にアクセスできる構造化されたワンストップ・ショップに集約する。 |
| – Make use of gamification and immersive learning (e.g. incorporating virtual reality and augmented reality tools) in education programmes to stimulate motivation and engagement among learners. | ・ゲーミフィケーションや没入型学習(仮想現実や拡張現実ツールの活用など)を教育プログラ ムに活用し、学習者の意欲や関心を高める。 |
| – Provide specialized training on advanced technical skills, strategic thinking, risk management and leadership abilities for individuals aspiring to become future security leaders. | ・将来のセキュリティリーダーを目指す個人を対象に、高度な技術スキル、戦略的思考、リスクマネジメント、リー ダーシップ能力に関する専門トレーニングをプロバイダとして提供する。 |
| – Be cognisant of different learning styles and offer personalized learning experiences through adaptive learning platforms that tailor content and delivery methods based on the learner’s preferences and progress. | ・学習スタイルが異なることを認識し、学習者の嗜好や進捗状況に応じてコンテンツや提供方法を調整するアダプティブ・ラーニング・プラットフォームを通じて、個別化された学習体験を提供する。 |
| To ensure that individuals are equipped with the right skill set and that cybersecurity education is current and innovative, organizations must work to proactively identify emerging technologies and cybersecurity trends. | 個人が適切なスキルセットを身に付け、サイバーセキュリティ教育が最新かつ革新的なものとなるよう、組織は、新たなテクノロジとサイバーセキュリティのトレンドを積極的に識別することに取り組む必要がある。 |
| BOX 4 Identifying emerging technologies and trends | BOX 4 新たなテクノロジとトレンドを識別する |
| To make sure they spot key technologies and trends, organizations should: | 重要な技術とトレンドを確実に把握するために、組織は次のことを行う: |
| – Develop and maintain a national or global repository with insights on emerging technologies and associated cybersecurity issues. This repository can serve as a centralized knowledge hub, providing upto-date information on the latest threats and vulnerabilities. Such a repository could help ensure better alignment between education programmes and the demands of the industry. | ・新たなテクノロジとそれに関連するサイバーセキュリティの問題に関する見識をまとめた国またはグローバルのリポジトリを作成し、維持する。このリポジトリは、一元化されたナレッジハブとして機能し、最新の脅威と脆弱性に関する最新情報を提供することができる。このようなリポジトリがあれば、教育プログラムと産業界の需要との整合性を高めることができる。 |
| – Invite guest speakers from the industry to share the latest cybersecurity insights. Academic organizations should also explore partnerships with the private sector to develop cybersecurity curricula that align with industry requirements. | ・産業界からゲスト講演者を招き、サイバーセキュリティに関する最新の知見を共有する。また、学術機関は、民間部門との連携を模索し、業界の要件に沿ったサイバーセキュリティのカリキュラムを開発すべきである。 |
| – Break down training materials into smaller modules, to easily revise and update specific components as new threats emerge. | ・トレーニング教材をより小さなモジュールに分割し、新たな脅威の出現に応じて特定のコンポーネントを容易に改訂・更新できるようにする。 |
| – Seek learner feedback to understand the scope of competencies and gain valuable insights into the effectiveness of current training programmes. | ・受講者のフィードバックを求めて、コンピテンシーの範囲を理解し、現行の研修プログラムの有効性についての貴重な洞察を得る。 |
| – Develop strong public–private partnerships and focus on practical, hands-on training. Opportunities for in-person or virtual internships or apprenticeships allow learners to tackle work challenges in a managed environment. | ・強力な官民パートナーシップを構築し、実践的な実地研修に重点を置く。対面またはバーチャルなインターンシップや実習の機会を設けることで、学習者は管理された環境で仕事の課題に取り組むことができる。 |
| – Implement a 70:20:10 learning model where 70% of the skills are gained through job projects, 20% through interactions with others and 10% through formal training. | ・スキルの70%を職業プロジェクトを通じて、20%を他者との交流を通じて、10%を公式トレーニングを通じて習得する70:20:10学習モデルを導入する。 |
| 2.3 Assessing the effectiveness of cybersecurity education and ensuring better alignment with industry demands | 2.3 サイバーセキュリティ教育の効果を評価し、業界の需要との整合性を高める |
| With an estimated 91% of organizations willing to pay for the training and certification of their employees,27 cybersecurity education is a priority for many organizations. That said, cybersecurity talent prefers to have a certain degree of autonomy when it comes to selecting cybersecurity training. In fact, 80% of cybersecurity professionals would prefer to choose their own training programmes.28 | 従業員の研修や資格取得のために費用を支払うことをいとわない組織は 91% に上ると推定され27 、サイバーセキュリティ教育は多くの組織にとって優先事項となっている。とはいえ、サイバーセキュリティの人材は、サイバーセキュリティのトレーニングを選択する際に、ある程度の自主性があることを好む。実際、サイバーセキュリティの専門家の 80% が、自分でトレーニングプログラムを選択することを希望している28 。 |
| To evaluate the effectiveness of cybersecurity education and training programmes and identify areas for improvement, organizations should: | サイバーセキュリティ教育とトレーニングプログラムの有効性を評価し、改善すべき領域を特定するために、組織は次のことを行うべきである: |
| – Establish clear and measurable learning targets for cybersecurity education and training programmes. | ・サイバーセキュリティ教育・訓練プログラムの有効性を評価し、改善点を特定するために、組織は次のことを行う。 |
| – Implement pre- and post-education/training assessments, such as open-book practical lab-based exams or projects and hackathons, to measure individual progress and identify knowledge gaps. Specific role-based assessments could be used (e.g. targeting penetration testers or incident responders) to determine competency levels and identify skill shortages. On the back of such assessments, tailored education and training could be crafted. | ・個人の進捗状況を測定し、知識のギャップを特定するために、オープンブック形式の実技試験やプロ ジェクト、ハッカソンなど、教育・研修の事前・事後評価を実施する。特定の役割に基づく評価(例えば、侵入テスト担当者やインシデント対応担当者を対象としたもの)を用いて、コンピテンシーレベルを決定し、スキル不足を特定することができる。このような評価に基づき、個々の状況に応じた教育や訓練を実施する。 |
| – Track the number of individuals educated and successfully employed in the cybersecurity industry. This can be accomplished through the use of tools such as centralized databases and job-placement statistics as well as check-ins with students to determine how prepared they feel for their roles. | ・サイバーセキュリティ業界で教育を受け、雇用に成功した人の数を追跡する。これは、一元化されたデータベースや就職統計などのツールの使用や、学生との面談を通じて、彼らが自分の役割に対してどの程度の準備ができていると感じているかを判断することによって達成できる。 |
| – Establish a “Cyber Industry Review Board” to review and evaluate cybersecurity courses offered by universities and award a badge to ensure alignment with industry needs and standards. | ・大学が提供するサイバーセキュリティコースを審査・評価する「サイバー業界審査委員会」を設置し、業界のニーズや標準との整合性を確認するためのバッジを授与する。 |
| – Conduct short-term and long-term evaluations to track the number of participants who transition to full-time employment following completion of cybersecurity education or training or to monitor the performance of employees based on the type of education they receive. | ・短期的・長期的な評価を実施し、サイバーセキュリティ教育や研修の修了後に正規雇用に移行 した受講者の数を追跡したり、受講した教育の種類に基づいて従業員の業績を監視したりする。 |
| 3. Recruiting the right cybersecurity talent | 3. 適切なサイバーセキュリティ人材の採用 |
| Recruitment is essential for building a competent and skilled workforce that can contribute to the overall growth, success and sustainability of an organization. | 採用は、組織の全体的な成長、成功、持続可能性に貢献できる有能で熟練した労働力を構築するために不可欠である。 |
| The stages of the recruitment process – candidate sourcing, applicant evaluation, interviewing and assessments, background checks, final selection and onboarding – must be carried out thoroughly to recruit candidates with the right skill set and experience who demonstrate alignment with organizational culture and values. However, many employers tend to expedite recruitment processes in order to deploy new hires as soon as possible. Rushed recruitment may result in hasty decisions and, ultimately, wrong hires. | 採用プロセスの各段階(候補者のソーシング、応募者の評価、面接と評価、身元調査、最終選考、オンボーディング)は、組織文化と価値観に合致した適切なスキルと経験を持つ候補者を採用するために、徹底的に実施されなければならない。しかし、多くの雇用主は、できるだけ早く新入社員を配置するために、採用プロセスを急ぐ傾向がある。採用活動を急ぐと、性急な決断を迫られ、最終的には誤った採用を行うことになりかねない。 |
| In cybersecurity, recruitment is often perceived as a challenge. Research from 2023 shows that 56% of organizations struggle to recruit cybersecurity professionals,29 and the underlying reasons for this include: | サイバーセキュリティでは、採用はしばしば課題として認識される。2023 年の調査によると、56% の組織がサイバーセキュリティの専門家の採用に苦戦しており29 、その根本的な理由には次のようなものがある: |
| – The shortage of qualified candidates in the job market protracts the recruitment process, creating a competitive hiring landscape where organizations need to invest additional time to identify, attract and engage cybersecurity professionals. On average, 67% of cyber leaders state that their organizations take at least three months to fill non-entry-level positions.30 | ・雇用市場における有能な候補者の不足は、採用プロセスを長引かせ、組織がサイバーセキュリティの専門家を特定し、引き付け、従事させるためにさらなる時間を投資する必要があるような、競争の激しい採用状況を生み出している。平均して、サイバーリーダーの 67% が、自分の組織では非エントリーレベルのポジションを埋めるのに少なくとも 3 カ月かかると回答している30。 |
| – Miscommunications and misunderstanding between cybersecurity hiring managers and HR teams is a problem. Data shows that only 25% of cyber leaders feel that their HR teams understand cybersecurity hiring needs sufficiently to properly prescreen candidates.31 | ・サイバーセキュリティの採用マネジャーと人事チームの間のコミュニケーションや誤解が問題になっている。データによると、サイバーセキュリティの採用ニーズを人事チームが十分に理解し、候補者を適切に事前スクリーニングできていると感じているサイバーリーダーの割合はわずか 25% にすぎない31 。 |
| – The lack of diversity and inclusion exacerbates challenges for organizations in recruiting talent by narrowing the field of potential candidates. To illustrate, in the under-30 age group, women represent 26% of the cybersecurity workforce. This number is lower for age groups 30–38 and 39–49, where women account for only 22% and 14% of cybersecurity professionals respectively.32 The inclusion of ethnic minorities in cybersecurity is also a concern, with the industry struggling to ensure representation of individuals from diverse backgrounds. | ・ダイバーシティとインクルージョンの欠如は、潜在的な候補者の分野を狭めることによって、人材採用における組織の課題を悪化させる。例えば、30 歳未満の年齢層では、サイバーセキュリティ人材の 26%を女性が占めている。この数字は、30~38 歳と 39~49 歳の年齢層ではより低く、サイバーセキュリティの専門家に占める女性の割合は、それぞれ 22%と 14%にすぎない32 。サイバーセキュリティに少数民族を含めることも懸念事項であり、業界は多様な背景を持つ個人の代表性を確保することに苦慮している。 |
| – Strict organizational policies impede the hiring of cybersecurity professionals. About 45% of hiring managers state that their organizations are too reluctant to hire entry-level employees or that they rely too heavily on education/degrees when looking for cybersecurity applicants.33 | ・厳しい組織の方針がサイバーセキュリティの専門家の雇用を妨げている。採用担当者の約 45% が、サイバーセキュリティの応募者を探す際に、自分の組織は新入社員の採用に消極的であるか、学歴や学位に過度に依存していると述べている33 。 |
| – The rigorous security clearances required for some cybersecurity roles due to the sensitive nature of the work are a problem. | ・サイバーセキュリティの職務の中には、機密性の高い業務であるために厳格なセキュリティ・クリアランスが要求されるものがあるが、これは問題である。 |
| As the cybersecurity job market becomes increasingly competitive, organizations need to ensure that they have comprehensive recruitment approaches in place to help ensure better preparedness and minimize rushed hiring processes that can result in hiring mismatches. Actionable approaches on recruitment should define who, why, how and where organizations should hire. Approaches should also outline a clear career path for hired individuals. | サイバーセキュリティの雇用市場の競争が激化する中、組織は、包括的な採用アプローチを確実に実施することで、より良い準備態勢を確保し、雇用のミスマッチを招きかねない性急な採用プロセスを最小限に抑える必要がある。採用に関する実行可能なアプローチは、組織が誰を、なぜ、どのように、どこで採用すべきかを明確にする必要がある。また、採用した人材の明確なキャリアパスの概要を示すべきである。 |
| 3.1 The search for cybersecurity professionals | 3.1 サイバーセキュリティの専門家の探索 |
| When identifying skills, attention should be paid to those that are must-have and those that are simply niceto-have. | スキルを識別する際には、必ず持っていなければならないスキルと、単に持っていればよいスキルに注意を払う必要がある。 |
| With the cybersecurity landscape evolving rapidly, organizations face difficulty not only in finding and employing the right talent but also in foreseeing future trends and shifts that may affect demand for organizational talent. Before embarking on the quest for cybersecurity talent, organizations should: | サイバーセキュリティの状況は急速に進化しているため、組織は、適切な人材を見つけ、雇用することのみならず、組織の人材に対する需要に影響を与える可能性のある将来のトレンドやシフトを予見することも困難な状況に直面している。サイバーセキュリティ人材の確保に乗り出す前に、組織は次のことを行うべきである: |
| – Identify which technical and soft skills and experience are essential for their respective contexts and based on the current cybersecurity landscape. | ・現在のサイバーセキュリティ情勢を踏まえ、どのような技術的・ソフト的スキルと経験がそれぞれの状況に不可欠であるかを識別する。 |
| – Anticipate which skills and experience will be needed in the future as the cybersecurity landscape evolves. Organizations can make use of industry assessments and reports that track the evolution of the cybersecurity landscape to do this. | ・サイバーセキュリティの状況が進化するにつれて、将来的にどのスキルと経験が必要になるかを予測する。そのためには、サイバーセキュリティの状況の変遷を追跡した業界評価やレポートを活用することができる。 |
| When identifying skills, attention should be paid to those that are must-have and those that are simply nice-to-have. In general, organizations should avoid demanding skills unrelated to the role, which can lead them to recruit candidates who are not the best fit for the job. Similarly, organizations should refrain from requiring credentials, including degrees or certifications, that do not match the experience and hiring level of the role for which they are recruiting, as doing so can limit the pool of qualified candidates and may result in them overlooking highly skilled individuals. | スキルを識別する際には、必ず必要なスキルと、単にあればよいスキルに注意を払う必要がある。一般に、組織は、職務に無関係なスキルを要求することは避けるべきである。これは、職務に最適でない候補者を採用することにつながる可能性がある。同様に、組織は、募集している職務の経験や採用レベルに見合わない学位や資格などの資格を要求することは控えるべきである。なぜなら、そうすることで、適格な候補者のプールが制限され、高いスキルを持つ人材を見落とすことになりかねないからである。 |
| These considerations can help in crafting more realistic job descriptions, ultimately ensuring that there is a common language when discussing the requirements for the role. Once they have mapped the needed skills and experience, organizations should: | このような配慮は、より現実的な職務記述書を作成する際に役立ち、最終的には、職務の要件について話し合う際の共通言語を確保することができる。 必要なスキルと経験をマッピングしたら、組織は次のことを行う: |
| – Assess their current cybersecurity workforce and evaluate the skills and capabilities of existing employees to identify any gaps or areas for improvement. HR and the cybersecurity team should work together to determine the top skills in which they should invest. | ・現在のサイバーセキュリティ要員を評価し、既存の従業員のスキルと能力を評価して、ギャップや改善点を特定する。人事部門とサイバーセキュリティチームが協力して、投資すべき上位のスキルを決定する。 |
| – Make use of cybersecurity skills frameworks – the Workforce Framework for Cybersecurity (NICE Framework), the European Cybersecurity Skills Framework (ECSF), the SFIA Framework for Cybersecurity Skills, the Operational Technology Cybersecurity Competency Framework (OTCCF), for example – to pinpoint the specific skills, competencies and knowledge needed for prioritized cybersecurity jobs and roles. | ・サイバーセキュリティ・スキルフレームワーク(NICEフレームワーク)、欧州サイバーセキュリティ・スキルフレームワーク(ECSF)、サイバーセキュリティ・スキルのためのSFIAフレームワーク、オペレーショナル・テクノロジー・サイバーセキュリティ・コンピテンシー・フレームワーク(OTCCF)など)を活用し、優先的に取り組むべきサイバーセキュリティの職務や役割に必要な特定のスキル、能力、知識を特定する。 |
| To optimize the recruitment process further, organizations should also assess which specific skills and competencies can be acquired in-house and which cybersecurity roles require external hiring. | 採用プロセスをさらに最適化するために、組織は、社内で習得可能な特定のスキルやコンピテンシーと、社外からの採用が必要なサイバーセキュリティの役割を評価する必要もある。 |
| Organizations can often hire internally for nontechnical roles such as governance, risk and compliance, as well as cybersecurity awareness and training specialists. These roles can be filled by individuals within the organization who have a good existing knowledge of company policies, procedures and culture. On the other hand, for technical and specialized roles, it may be more appropriate to hire externals who have experience in dealing with complex cybersecurity incidents and can provide valuable insights and support to the organization. | 政府は、ガバナンス、リスク、コンプライアンスなどの非技術的な役割や、サイバーセキュリティ意識向上およびトレーニングのスペシャリストを社内で採用できる場合が多い。このような役割には、会社のポリシー、手順、文化に関する既存の知識を十分に持つ組織内の人材を充てることができる。一方、技術的で専門的な役割については、複雑なサイバーセキュリティインシデントへの対処経験があり、組織に貴重な洞察とサポートを提供できる外部の人材を採用する方が適切な場合もある。 |
| Even though finding external hires can be advantageous for introducing new perspectives and diversifying the available skill set across the organization, knowing where and how to look for talent can be an overwhelming task. | 外部人材の採用は、新たな視点を導入し、組織全体で利用可能なスキルセットを多様化する上で有利であるにもかかわらず、どこで、どのように人材を探せばよいかを知ることは、圧倒的に困難な作業になりかねない。 |
| There are several avenues that organizations can pursue to source candidates: | 組織が候補者を調達するために追求できる手段はいくつかある: |
| – Online employment platforms can be used to find a broad range of candidates for cybersecurity roles and positions. | ・オンラインの雇用プラットフォームを利用すれば、サイバーセキュリティの役割やポジションの候補者を幅広く見つけることができる。 |
| – Head-hunters and recruitment agencies can help identify passive candidates | ・ヘッドハンターや人材紹介会社は、積極的に求職活動をしていない受動的な候補者を特定するのに役立つ。 |
| – those who aren’t actively looking for a new job – and help organizations hire high-quality candidates. | ・ヘッドハンターや人材紹介会社は、積極的に新しい仕事を探していない受動的な候補者を特定し、組織が質の高い候補者を採用できるように支援する。 |
| – Cybersecurity conferences and events allow organizations to recruit professionals already engaged in the field. | ・サイバーセキュリティの会議やイベントによって、組織はすでにこの分野に従事している専門家を採用することができる。 |
| – Hackathons and capture-the-flag events (cybersecurity competitions that challenge participants to find and exploit vulnerabilities) can be used by recruiters to identify and potentially hire individuals with the right skill set. | ・ハッカソンやキャプチャー・ザ・フラッグ・イベント(参加者が脆弱性を発見して悪用することに挑戦するサイバーセキュリティ競技会)は、採用担当者が適切なスキルセットを持つ人材を特定し、採用するために利用できる。 |
| – Referral programmes enable organizations to capitalize on the professional network of their employees and hire qualified like-minded candidates seeking opportunities in cybersecurity. | ・紹介プログラムによって、組織は従業員の専門的なネットワークを活用し、サイバーセキュリティの機会を求めている志を同じくする有能な候補者を採用することができる。 |
| – Networking groups dedicated to specific communities (women or military veterans, for example) can provide access to skilled candidates with non-traditional profiles. | ・特定のコミュニティ(女性や退役軍人など)に特化したネットワーキンググループは、従来とは異なるプロフィールを持つスキルの高い候補者へのアクセスを提供できる。 |
| To build a sustainable cybersecurity talent pipeline, organizations should seek out candidates who have the potential to learn quickly and demonstrate a growth mindset. Moreover, when searching for talent, organizations should consider diversity and inclusion (for gender, race and neurodiversity among others) and integrate them into their recruitment efforts. | 持続可能なサイバーセキュリティ人材のパイプラインを構築するために、組織は、迅速に学習し、成長マインドを実証する可能性のある候補者を探し求めるべきである。さらに、人材を探す際には、多様性と包括性(性別、人種、神経多様性など)を考慮し、採用活動に組み込むべきである。 |
| By embracing diversity, whether through the use of inclusive language in job advertisements, practising blind hiring or ensuring that hiring managers are reflective of diversity and trained in unconscious bias, organizations can tap into a broader talent pool. EU-based research also shows that employing women in STEM roles could improve the EU’s GDP per capita by between 2.2% and 3% by 2050.34 | 求人広告に包括的な表現を使ったり、ブラインド採用を実践したり、採用担当者に多様性を反映させ、無意識バイアスの訓練を受けさせるなど、多様性を受け入れることで、組織はより幅広い人材を活用することができる。また、EU に基づく調査によると、STEM の役割に女性を雇用することで、2050 年までに EU の 1 人当たり GDP を 2.2%~3%改善できる可能性があることが示されている34。 |
| Cybersecurity is often misunderstood as a discipline, and many tend to regard it solely as a technical field. From the recruitment perspective, this misperception can result in inaccurate assessments of the required skills and experience. According to a 2021 survey,35 29% of cyber leaders noted that HR departments at their organizations likely do not understand the skills necessary to work in cybersecurity and consequently exclude strong job candidates. Moreover, 25% of surveyed cyber leaders also find that job postings at their organization tend to be unrealistic and demand too much in the way of experience, certifications and specific technical skills. | サイバーセキュリティは、学問分野として誤解されることが多く、多くの人が単に技術的な分野と見なす傾向がある。採用の観点からは、このような誤解は、必要なスキルや経験に対する不正確な評価につながりかねない。2021 年の調査によると35 、サイバーリーダーの 29%が、所属する組織の人事部門がサイバーセキュリティの仕事に必要なスキルを理解していない可能性が高く、その結果、優秀な求職者を排除していると指摘している。さらに、調査対象となったサイバーリーダーの25%は、所属する組織の求人情報が非現実的で、経験や資格、特定の技術仕様を過度に要求する傾向があることも感じている。 |
| Cybersecurity is often misunderstood as a discipline, and many tend to regard it solely as a technical field. | サイバーセキュリティは、学問分野として誤解されることが多く、多くの人が技術分野としてのみ捉えている傾向がある。 |
| BOX 5 Addressing misperceptions | BOX 5 誤解に対処する |
| To tackle misperceptions, organizations should: | 誤解に対処するために、組織は次のことを行う: |
| – Create a recruiter toolkit with key messages and an employee value proposition (EVP). Such toolkits can provide guidance (for screening and interviewing, for example) on how to find the right people for cybersecurity roles. – Build relationships and direct communication channels between recruiters and hiring managers to ensure a better understanding of the role. | ・キーメッセージと従業員価値提案(EVP)を盛り込んだ採用担当者用ツールキットを作成する。このようなツールキットは、サイバーセキュリティの職務に適任の人 材を見つける方法に関するガイダンス(スクリーニングや面接など)を提供できる。・採用担当者と採用マネジャーとの間にコミュニケーションチャネルを構築し、職務に対する理解を深める。 |
| – Involve cybersecurity and HR teams in the development of job descriptions, skills specifications and qualification/ certification requirements to ensure that the job prerequisites and expectations are accurately represented. | ・職務内容、スキル仕様、資格・認定要件の作成にサイバーセキュリティチームと人事チームを関与させ、職務の前提条件と期待事項が正確に表現されていることを確認する。 |
| – Provide foundational cybersecurity training (e.g. workshops) for HR professionals involved in the hiring of cybersecurity professionals. Learning opportunities can help HR understand the industry better as well as the skills and qualifications required for different roles. Ultimately, greater awareness of cybersecurity can allow HR teams to find candidates who match the requirements. | ・サイバーセキュリティの専門家の採用に携わる人事担当者に、サイバーセキュリティの基礎的なトレーニング(ワークショップなど)を提供する。学習の機会を設けることで、人事担当者が業界をよりよく理解し、さまざまな役割に必要なスキルや資格を理解することができる。最終的には、サイバーセキュリティに対する認識が高まることで、人事チームは要件に合致する候補者を見つけることができるようになる。 |
| – Update traditional HR processes and requirements that may not be necessary or relevant in the cybersecurity field – for example, by opening up internship opportunities for high-school students rather than just university graduates. | ・例えば、大卒者だけでなく高校生にもインターンシップの機会を与えるなど、サイバーセキュリティの分野では必要でない、または関連性がない可能性のある従来の人事プロセスや要件を更新する。 |
| – Develop a cybersecurity culture across the organization by building awareness about the potential threats and highlighting the importance of cybersecurity in all aspects of the business. This will help HR teams understand the significance of cybersecurity roles and the need to prioritize them in recruitment efforts. | ・潜在的な脅威についての認識を高め、事業のあらゆる側面におけるサイバーセキュリティの重要性を強調することによって、組織全体でサイバーセキュリティ文化を発展させる。そうすることで、人事チームがサイバーセキュリティの役割の重要性を理解し、採用活動においてサイバーセキュリティの役割を優先する必要性を理解するようになる。 |
| 3.2 Actionable approaches for evaluation and validation | 3.2 評価と検証のための実行可能なアプローチ |
| Evaluation of know-how is a critical aspect that involves a thorough assessment of practical skills, hands-on experience and the ability to apply knowledge in the real world. In cybersecurity, a great deal of attention is paid to technical skills – such as network security, penetration testing, encryption, incident response and so forth – that allow cybersecurity professionals to defend against cyberthreats and secure digital assets. | ノウハウの評価は、実践的なスキル、実務経験、知識を実社会で応用する能力を徹底的に評価する重要な側面である。サイバーセキュリティでは、ネットワークセキュリティ、侵入テスト、暗号化、インシデント対応など、サイ バーセキュリティの専門家がサイバー脅威から身を守り、デジタル資産を保護するための技術的スキルに大きな注意が払 われている。 |
| BOX 6 Technical and non-technical skills | BOX 6 技術的スキルと非技術的スキル |
| To evaluate technical skills, recruiters and hiring managers can: | 技術的スキルを評価するために、採用担当者と雇用管理者は次のことを行うことができる: |
| – Make use of scenarios, cyber ranges and other immersive simulations. For candidates who may not have sufficient experience in a specific domain (IT graduates, for example), case studies or scenarios can be a good way of assessing technical abilities. These scenarios can be completed by candidates in their own time before an interview and can help candidates demonstrate their thought processes as well as practical skills while solving real-world cybersecurity problems. | ・シナリオ、サイバー演習場、その他の没入型シミュレーションを活用する。特定の領域で十分な経験を積んでいない候補者(例えばIT新卒者)にとって、ケーススタディやシナリオは技術的能力を評価する良い方法となる。これらのシナリオは、面接前に候補者が自分の時間で完成させることができ、候補者が現実世界のサイバーセキュリティ問題を解決しながら、思考プロセスだけでなく実践的なスキルを実証するのに役立つ。 |
| – Request evidence of participation in technical competitions or challenges related to the field. Such evidence can help gauge candidates’ levels of knowledge and expertise. | ・その分野に関連する技術コンテストや課題に参加した証拠を要求する。このような証拠は、候補者の知識や専門知識のレベルを測るのに役立つ。 |
| – Ask technical questions in interviews to determine whether candidates have the necessary expertise or simply an interest in cybersecurity. Technical questions should be asked in the context of previous experience and responsibilities. | ・面接で技術的な質問をし、候補者が必要な専門知識を持っているのか、単にサイバーセキュリティに関心を持っているだけなのかを判断する。技術的な質問は、これまでの経験や職責を踏まえて行う。 |
| – Look for or request industry certifications that can demonstrate proficiency in specific areas of cybersecurity. | ・サイバーセキュリティの特定分野に精通していることを証明できる業界認定資格を探すか、要求する。 |
| While technical skills are important in cybersecurity, it is also crucial to consider other non-technical skills, such as communication skills, problem-solving abilities and teamwork. Hiring candidates solely based on their technical skills may overlook individuals who possess strong soft skills. Combined with technical skills, nontechnical competencies contribute to a wellrounded cybersecurity workforce. | サイバーセキュリティでは技術的スキルが重要であるが、コミュニケーションスキル、問題解決能力、チームワークなど、技術以外のスキルも考慮することが極めて重要である。技術的スキルだけで候補者を採用すると、強力なソフトスキルを持つ人材を見落としてしまう可能性がある。技術的スキルと組み合わせることで、非テクニカル・コンピテンシーは、充実したサイバーセキュリティ人材に貢献する。 |
| To assess non-technical skills, recruiters and hiring managers can: | 非技術的スキルを評価するために、採用担当者と採用マネジャーは次のことを行うことができる: |
| – Conduct psychological assessments to evaluate candidates’ personality traits and leadership skills. While these assessments are commonly used for candidates filling managerial positions, they can also provide valuable insights into a candidate’s suitability for other cybersecurity roles. This is because such assessments can help determine if a candidate has the necessary qualities, such as self-management and adaptability, to thrive in the field. | ・心理アセスメントを実施して、候補者の性格特性やリーダーシップ・スキルを評価する。このような評価は、管理職の候補者に一般的に使用されるが、他のサイバーセキュリティ職務に対する候補者の適性についても貴重な洞察を与えることができる。なぜなら、このような評価は、候補者が自己管理や適応性など、この分野で活躍するために必要な資質を持っているかどうかを判断するのに役立つからである。 |
| – Ask competency-based interview questions about previous projects and how their behaviour and actions contributed to the success (or not) of the projects. Such questions allow recruiters to assess problem-solving abilities, decision-making skills and the ability to work effectively in a team. Moreover, by delving into past experiences, employers can gain insights into candidates’ critical thinking, communication and collaboration skills. | ・コンピテンシー・ベースの面接では、過去のプロジェクトと、その行動や言動がプロジェクトの成功(または失敗)にどのように貢献したかについて質問する。このような質問によって、採用担当者は問題解決能力、意思決定能力、チームで効果的に働く能力を評価することができる。さらに、過去の経験を掘り下げることで、採用担当者は候補者のクリティカルシンキング、コミュニケーション、コラボレーションのスキルを見抜くことができる。 |
| – Request writing samples to evaluate written communication skills, attention to detail and ability to articulate complex ideas. These are crucial for cybersecurity roles in which strong communication skills are desired. | ・文書によるコミュニケーション能力、細部へのこだわり、複雑なアイデアを明確に表現する能力を評価するために、文書のサンプルを要求する。これらは、強力なコミュニケーション・スキルが求められるサイバーセキュリティの職務にとって極めて重要である。 |
| – Make use of scenarios to also assess candidates’ critical-thinking skills, decisionmaking abilities and problem-solving approaches in real-world situations. By evaluating responses, recruiters can gauge their ability to analyse risks, make sound judgements and handle challenging situations. | ・シナリオを活用して、候補者の批判的思考スキル、意思決定能力、現実の状況での問題解決アプローチも評価する。回答を評価することで、採用担当者はリスクを分析し、適切な判断を下し、困難な状況に対処する能力を測ることができる。 |
| – Have candidates deliver short presentations to showcase their research skills and ability to answer unexpected questions as well as their confidence in presenting information. | ・候補者に短いプレゼンをさせ、リサーチスキルや予想外の質問に答える能力、情報プレゼンへの自信をアピールする。 |
| 3.3 Is the skills-first approach applicable to cybersecurity? | 3.3 スキル優先のアプローチはサイバーセキュリティにも適用できるか? |
| Today, many cybersecurity jobs still require a university degree. A survey from 2022 found that 71% of respondents from Africa required a university degree to obtain a job in cybersecurity.36 In Asia and Latin America, 68% and 61% of respondents confirmed the same requirement.37 | 現在でも、サイバーセキュリティの仕事の多くは大卒を必要としている。2022 年に実施された調査では、アフリカの回答者の 71%がサイバーセキュリティの仕事に就くために大 学の学位を必要としていた36 。アジアとラテンアメリカでは、回答者の68%と61%が同じ要件を確認している37。 |
| The situation is somewhat different in other regions of the world. For example, in Europe and North America, 45% and 49% of surveyed individuals respectively noted that a university degree was a prerequisite for a placement in cybersecurity.38 The demand for a university degree was the lowest in Oceania, where only 27% of respondents stated that a university degree was required by the employer to obtain a job in the cybersecurity sector.39 Such a trend could be explained by increasing recognition that cybersecurity professionals must continuously adapt to emerging risks and acquire hands-on knowledge that extends beyond the confines of a formal degree in computer science, software engineering or information technology. | 世界の他の地域では、状況は多少異なっている。例えば、ヨーロッパと北米では、調査対象者のそれぞれ 45%と 49%が、サイバーセキュリティの仕事に就くためには大卒であることが前提条件であると述べている38。大卒の学位に対する需要はオセアニアで最も低く、回答者のわずか 27%が、サイバーセキュリテ ィ分野の仕事に就くために雇用主から大卒の学位が必要であると回答したのみであった39 。このような傾向は、サイバーセキュリティの専門家が新たなリスクに継続的に適応し、コン ピュータ科学、ソフトウェア工学、情報技術などの正規の学位にとらわれない実践的な知識を身につけ なければならないという認識が高まっているためと考えられる。 |
| Put differently, practitioners in the field can emerge from unconventional paths, including non-academic courses, self-teaching and certifications that take a fraction of the time and financial investment to complete compared to a formal degree. Some 56% of cybersecurity professionals believe that a degree is not needed for a successful career in cybersecurity.40 | 別の言い方をすれば、この分野の実務家は、正規の学位取得に比べればわずかな時間と金銭的投資で修了できる非学術的コース、独学、資格取得など、従来とは異なる道から頭角を現す可能性がある。サイバーセキュリティの専門家の約 56%は、サイバーセキュリティの分野で成功するために学位は必要ないと考えている40 。 |
| The World Economic Forum report Putting Skills First: A Framework for Action asserts that by focusing directly on skills that individuals actually have – rather than on how they were acquired – organizations can improve economic opportunities and pathways to good jobs for many more people than traditional approaches have done.41 The study concludes that by prioritizing a skills-first approach, more than 100 million people across 18 different countries could be added to the global talent pool spanning businesses and industries. | 世界経済フォーラムの報告書『Putting Skills First: A Framework for Action)は、個人が実際に持っているスキルに直接焦点を当てることで、そのスキルがどのように習得されたかに焦点を当てるのではなく、組織は従来のアプローチよりも多くの人々の経済的機会と良い仕事への道筋を改善することができると主張している41。この研究では、スキル・ファーストのアプローチを優先することで、18カ国にまたがる1億人以上の人々を、企業や産業にまたがるグローバルな人材プールに加えることができると結論づけている。 |
| In cybersecurity, the skills-first approach emerges as a compelling solution to the shortage of available talent. Organizations can implement this approach by: | サイバーセキュリティでは、スキル最優先のアプローチが、人材不足に対する有力な解決策となる。組織は、次のような方法でこのアプローチを実施することができる: |
| – Accepting certifications, microcredentials and other evidence of knowledge (such as participation in capture-the-flag competitions) that can showcase a candidate’s skills and identify areas where they need further development. | ・認定資格、マイクロクレデンシャル、その他の知識の証拠(旗取り競争への参加など)を受け入れ、候補者のスキルをアピールし、さらなる能力開発が必要な分野を特定する。 |
| – Encouraging job rotation for employees with a passion for technical domains in order to increase exposure and facilitate the development of expertise. | ・技術的な領域に熱意のある従業員に対しては、ジョブローテーションを奨励することで、エクスポージャを増やし、専門知識の開発を促進する。 |
| – Decentralizing security responsibilities and involving employees from different backgrounds and departments. Introducing competitions and challenges, such as hackathons, helps in identifying and nurturing talent from within the organization. It also allows organizations to bridge the gap between employees who may not traditionally work together, developing a culture of teamwork and shared responsibility. | ・セキュリティの責任を分散させ、異なる経歴や部門の従業員を参加させる。ハッカソンなどのコンペティションやチャレンジを導入することで、組織内から才能を発掘し、育成することができる。また、従来は一緒に仕事をすることがなかった従業員間のギャップを埋めることで、チームワークと責任を共有する文化を醸成することができる。 |
| Cybersecurity professionals must continuously adapt to emerging risks and acquire handson knowledge that extends beyond the confines of a formal degree in computer science, software engineering or information technology. | サイバーセキュリティの専門家は、新たなリスクに絶えず適応し、コンピュータ・サイエンス、ソフトウェア・エンジニアリング、情報技術の正規の学位の枠を超えた実践的な知識を習得しなければならない。 |
| 4. Retaining cybersecurity professionals | 4. サイバーセキュリティの専門家の確保 |
| From the perspective of cybersecurity, employee retention is an issue across most roles. | サイバーセキュリティの観点から見ると、従業員の定着は、ほとんどの職務に共通する問題である。 |
| Employee retention refers to an organization’s ability to keep productive and talented workers engaged and motivated to stay. This often involves efforts to reduce turnover by creating a positive work environment, offering opportunities for growth and addressing factors that make employees seek better opportunities elsewhere. | 従業員の定着とは、生産的で優秀な従業員の意欲を維持するための組織の能力を指す。これには多くの場合、前向きな職場環境を作り、成長の機会を提供し、従業員が他により良い機会を求める要因に対処することによって、離職率を低下させる取り組みが含まれる。 |
| In cybersecurity, some research shows that the average tenure of the chief information security officer (CISO) is 18 months, which is short compared to that of other executives.42 Similarly, 56% of cybersecurity leaders have difficulty retaining qualified cybersecurity professionals,43 and nearly half of cybersecurity leaders are expected to change jobs by 2025.44 | サイバーセキュリティ分野では、最高情報セキュリティ責任者(CISO)の平均在職期間が 18 カ月であり、他の経営幹部と比べて短いという調査結果もある42 。同様に、サイバーセキュリティリーダーの 56% が有能なサイバーセキュリティ専門家の確保に苦労しており43 、サイバーセキュリティリーダーの半数近くが 2025 年までに転職すると予想されている44 。 |
| Cybersecurity workforce retention is particularly challenging for organizations in developing and emerging regions such as Africa, the Western Balkans and Latin America.45, 46 , 47 Motivated by higher incomes and better job opportunities, many skilled professionals transition from cybersecurity careers in the public sector to similar roles in private industry or decide to migrate to other countries, resulting in the cybersecurity brain drain. This not only decreases the talent pool but also contributes to a decline in domestic innovation and economic contribution. | サイバーセキュリティ人材の確保は、アフリカ、西バルカン、ラテンアメリカなどの発展途上地域や新興地域の組織にとって特に困難である 45,46,47。より高い収入とより良い雇用機会に動機づけられ、多くの熟練した専門家が、公共部門におけるサイバーセキュリティのキャリアから民間企業における同様の役割に移行したり、他国への移住を決めたりして、サイバーセキュリティの頭脳流出を引き起こしている。これは、人材プールを減少させるだけでなく、国内のイノベーションと経済貢献の低下にもつながる。 |
| 4.1 The causes of cybersecurity employee turnover | 4.1 サイバーセキュリティ従業員の離職の原因 |
| In an increasingly competitive and fast-moving cybersecurity labour market, it is critical for organizations to understand why some employees go and others stay. While individual motivations for departure may differ, some of the main causes for attrition among cybersecurity professionals include: | 競争が激化し、変化の激しいサイバーセキュリティの労働市場において、ある従業員が離職し、ある従業員が残留する理由を理解することは、組織にとって極めて重要である。離職の動機は個人によって異なるかもしれないが、サイバーセキュリティの専門家が離職する主な原因には次のようなものがある: |
| – Insufficient appreciation of and recognition for cybersecurity professionals, which, in turn, contributes to a decreased sense of achievement and demotivation. | ・サイバーセキュリティの専門家に対する評価や認知が不十分で、その結果、達成感が低下し、意欲が低下する。 |
| – An unhealthy and unsupportive working culture characterized by unrealistic expectations and poor work–life balance. A study found that 99% of CISOs work extra hours every week and about one in 10 CISOs work an extra 20–24 hours per week.48 | ・非現実的な期待やワークライフバランスの悪さを特徴とする、不健全で支持されない労働文化。ある調査によると、CISOの99%は毎週超過勤務をしており、CISOの約10人に1人は週に20~24時間超過勤務をしている48。 |
| – Poor leadership and management, which results in disengagement, lack of connection and dissatisfaction among cybersecurity employees who seek more positive and supportive work environments. | ・リーダーシップとマネジメントが不十分で、その結果、より前向きで協力的な職場環境を求めるサイバーセキュリティ従業員の離職、つながりの欠如、不満が生じる。 |
| – Limited organizational budgets, resulting in salary constraints in a competitive cybersecurity marketplace, which can prompt staff to seek alternative employment options that are more attractive financially. | ・組織の予算が限られているため、競争の激しいサイバーセキュリティ市場で給与が抑制され、その結果、職員は経済的に魅力的な別の雇用形態を求めるようになる。 |
| – Prolonged exposure to stress, which not only results in a decline in individual performance and overall workplace happiness but can also have serious implications for employees’ physical and mental health, in the form of burnout. Such a demanding work environment affects the productivity of 64% of cybersecurity professionals and is also said to be responsible for nearly 30% of security breaches in organizations across the Asia-Pacific region.49, 50 | ・ストレスに長期間さらされることで、個人のパフォーマンスや職場全体の幸福度が低下するだけでなく、燃え尽き症候群という形で、従業員の心身の健康に深刻な影響を及ぼす可能性がある。このような厳しい職場環境は、サイバーセキュリティの専門家の 64% の生産性に影響を与え、アジア太平洋地域の組織におけるセキュリティ侵害の約 30% の原因とも言われている49、 50。 |
| 4.2 Understanding the impact of employee attrition | 4.2 従業員離職の影響を理解する |
| In general, high levels of employee turnover can affect organizations in various ways, including the loss of institutional knowledge, high replacement costs associated with recruiting new employees and rushed hiring processes. In the context of cybersecurity, employee attrition can: – Delay the development and implementation of projects and stall innovation across the organization. – | 一般に、従業員の離職率が高水準になると、制度的な知識の喪失、新規従業員の募集に伴う高 い代替コスト、雇用プロセスの停滞など、さまざまな形で機構に影響を及ぼす可能性がある。サイバーセキュリティの文脈では、従業員の離職は以下のような可能性がある: ・プロジェクトの開発と実施を遅らせ、組織全体のイノベーションを停滞させる。- |
| Contribute to the loss of intellectual property and confidential information, especially in organizations dealing with proprietary technologies and equipment. | 特に独自の技術や機器を扱う組織では、知的財産や機密情報の損失につながる。 |
| – Increase the risk of security breaches and compliance violations, ultimately affecting the corporate brand and client trust. | ・セキュリティ侵害やコンプライアンス違反のリスクを高め、最終的に企業ブランドや顧客の信頼に影響を与える。 |
| – Affect team morale and performance by increasing workloads and imposing more stress and pressure on remaining cybersecurity professionals. | ・仕事量を増やし、サイバーセキュリティの専門家にさらなるストレスとプレッシャーを課すことで、チームの士気とパフォーマンスに影響を与える。 |
| – Contribute to gaps in expertise and loss of niche skills that are not easily replaceable. This can have implications for an organization’s ability to perform its operations and may affect the delivery of products or services. | ・専門知識の格差が生じ、簡単に代替できないニッチなスキルが失われる。これは、組織の業務遂行能力に影響を及ぼし、製品やサービスの提供に影響を及ぼす可能性がある。 |
| – Increase the pressure on hiring managers and HR to rush recruitment processes in order to fill vacant positions quickly and prevent any workflow disruptions. This can result in the recruitment of less qualified candidates who may not be the best fit for roles. | ・欠員を迅速に補充し、ワークフローの混乱を防ぐために、採用マネージャーや人事が採用プロセスを急ぐプレッシャーが高まる。その結果、職務に最適でない候補者を採用する可能性がある。 |
| That said, it is worth highlighting that employee turnover is not always a negative occurrence and can also have a healthy impact on organizational dynamics. It can bring new talent with a different skill set, which, in turn, can provide new momentum and help promote innovation. Moreover, it can create growth opportunities for remaining professionals, who may get a chance of promotion in order to fill existing vacancies. | とはいえ、従業員の離職が必ずしもネガティブな出来事とは限らず、組織の力学に健全な影響を与えることもあることを強調しておきたい。従業員の入れ替わりは、異なるスキルを持つ新たな人材をもたらす可能性があり、その結果、新たな勢いをもたらし、イノベーションを促進する一助となる。さらに、既存の欠員を埋めるために昇進のチャンスを得ることもあり、残ったプロフェッショナルに成長の機会をもたらすこともある。 |
| 4.3 Actionable approaches to boost employee retention |
4.3 従業員の定着率を高めるための実践的アプローチ |
| To increase employee retention, organizations should cultivate a culture that inspires and motivates employees. While such a culture should encourage high performance by setting clear expectations for staff and rewarding achievement, it should go beyond simply driving productivity. |
従業員の定着率を高めるために、組織は従業員を鼓舞し、やる気を起こさせるような文化を培うべきである。このような文化は、従業員に対する明確な期待を設定し、達成に報いることによって、高い業績を奨励するものでなければならないが、単に生産性を促進するだけにとどまらないものでなければならない |
| A culture that inspires and motivates people should also create an environment in which employees feel empowered and have the opportunity to nurture a sense of purpose and belonging. |
人を鼓舞し、やる気を起こさせるような文化は、従業員が力を与えられ、目的意識と帰属意識を育む機会を得られるような環境も作り出すべきである。 |
| BOX 7 Boosting employee retention | BOX 7 従業員の定着率を高める |
| To boost employee retention, organizations, together with their leadership and executives, should: | 従業員の定着率を高めるために、組織はリーダーシップや経営幹部とともに以下を行うべきである: |
| – Assess employee skills to ensure people are placed in the job that will best maximize their skill set. This exercise can also be used to determine what additional training an employee may need to thrive in their current position. | ・従業員のスキルを評価し、そのスキルを最大限に活かせる職務に就けるようにする。この訓練は、従業員が現在の職務で活躍するためにどのような追加トレーニングが必要かを判断するためにも利用できる。 |
| – Provide individual development plans rather than predefined career paths that do not account for enough flexibility and adaptability to address the different needs and aspirations of employees. Organizations should ensure clarity in terms of promotion and empower employees to craft their own job roles. | ・従業員のさまざまなニーズや希望に対応するための十分な柔軟性や適応性を考慮しない、あらかじめ定義されたキャリアパスではなく、個々の能力開発計画をプロバイダとして提供する。組織は、昇進に関する明確性を確保し、従業員が自らの職務の役割を作り上げる権限を与えるべきである。 |
| – Understand generational diversity and how having a wide age range might affect expectations in the workplace. Generational diversity and individuals’ unique perspectives, experiences and ways of working should be acknowledged in the working culture. | ・世代的多様性と、幅広い年齢層が職場の期待にどのような影響を与えるかを理解する。世代的多様性と個人のユニークな視点、経験、働き方は、労働文化の中で認められるべきである。 |
| – Listen to employees and action the ask. Organizations should take employees’ concerns and ideas seriously and demonstrate how decisions are being made to address them (for example, making it clear that the workload is decreasing, stress is being reduced and so forth). | ・従業員の声に耳を傾け、行動に移す。組織は従業員の懸念やアイデアを真摯に受け止め、それらに対処するためにどのような決定がなされているかを示すべきである(例えば、仕事量が減っていること、ストレスが軽減されていることなどを明確にする)。 |
| – Ensure managers are equipped with soft skills on how to manage a team. Leaders should be trained to build trust, drive engagement with teams and provide psychological safety for their employees. Moreover, leadership should prioritize mindfulness and employee well-being through leading by example. | ・管理職には、チームを管理するソフトスキルを身につけさせる。プロバイダは、信頼関係を構築し、チームとのエンゲージメントを促進し、従業員に心理的安全を提供するためのトレーニングを受けるべきである。さらに、リーダーシップは模範を示すことを通じて、マインドフルネスと従業員の幸福を優先すべきである。 |
| – Be transparent about the corporate strategy. To have a sense of purpose and belonging, people need to have insights on the direction in which the organization is moving. | ・企業戦略の透明性を高める。目的意識と帰属意識を持つためには、従業員が組織の進む方向について洞察する必要がある。 |
| – Create enough resilience across different organizational teams on cybersecurity matters to reduce over-reliance on a few individuals within the cybersecurity team. | ・サイバーセキュリティチーム内の少数の個人に過度に依存しないよう、サイバーセキュリティに関するさまざまな組織チーム間で十分なレジリエンスを構築する。 |
| – Make cybersecurity jobs more compelling and challenging, rather than repetitive, by allowing employees to tackle more demanding tasks and showcasing their skills and know-how. This can help boost employees’ sense of accomplishment and ability to make more meaningful contributions to the organization. | ・サイバーセキュリティの仕事を、反復的なものではなく、魅力的でやりがいのあるものにし、従業員がより負荷の高い仕事に取り組めるようにして、そのスキルとノウハウをアピールする。そうすることで、従業員の達成感を高め、組織により有意義な貢献ができるようになる。 |
| – Provide the right resources and tools to employees for their jobs. That said, while technology can help decrease the workload, it can also be a stress factor for individuals who may struggle to adopt it. | ・従業員に業務に適したリソースやツールを提供する。とはいえ、テクノロジーは仕事量を減らすのに役立つ一方で、それを導入するのに苦労する個人にとってはストレス要因にもなり得る。 |
| – Motivate and engage cybersecurity employees by giving them visibility and recognition (perhaps through acknowledgement programmes and/or awards or similar) for their efforts. | ・サイバーセキュリティに携わる従業員には、可視性を与え、その努力に対して(おそらく表彰制度や表彰などを通じて)評価を与えることで、モチベーションを高め、関心を持たせる。 |
| – Create an engaging workplace with learning opportunities on cybersecurity – including networking events and gatherings – to develop a sense of community. | ・サイバーセキュリティに関する学習の機会(ネットワーキング・イベントや集会など)を提供し、 コミュニティ意識を醸成することで、魅力的な職場を作る。 |
| 4.4 Prioritizing mental health in cybersecurity | 4.4 サイバーセキュリティにおけるメンタルヘルスを優先する |
| While working in cybersecurity provides numerous exciting opportunities, a survey found that 67% of cybersecurity professionals would not recommend a career in the industry.51 Long working hours are often cited as the main cause for employee dissatisfaction. In addition, the high-stress environment and constant demand for vigilance can take a toll on the mental health of cybersecurity professionals. Data shows that two-thirds of cybersecurity professionals experience significant levels of stress at work, and more than half have been prescribed medication for their mental health.52 | サイバーセキュリティ業界で働くことは、多くのエキサイティングな機会を提供する一方で、サイバーセ キュリティの専門家の 67%がこの業界でのキャリアを勧めないという調査結果もある51 。加えて、高ストレス環境と常に警戒が求められるため、サイバーセキュリティの専門家の精神的健康が損なわれる可能性がある。データによると、サイバーセキュリティの専門家の 3 分の 2 が職場でかなりのレベルのストレスを経験しており、半数以上が精神的健康のために薬を処方されている52 。 |
| To address mental health concerns in the workplace, executives are increasingly prioritizing the issue. A report by Deloitte found that 76% of executives agree that workforce well-being should be measured and monitored, and 83% say it should be discussed at board level.53 | 職場におけるメンタルヘルスの懸念に対処するため、経営幹部はますますこの問題を優先するようになっている。デロイトのレポートによると、経営幹部の 76% が、従業員の福利厚生を測定・監視することに同意し、83% が取締役会レベルで議論すべきであると回答している53 。 |
| BOX 8 Looking after mental health | BOX 8 メンタルヘルスのケア |
| There are a number of actions that organizations can take to promote mental health and the well-being of cybersecurity professionals in the workplace: | 職場のメンタルヘルスとサイバーセキュリティ専門家の幸福を促進するために、組織が取るべき行動はいくつかある: |
| – Use a dedicated wellness app that can provide a wide range of resources – such as tips for managing stress, personal resiliency strategies, wellness workshops and so forth – to support employees’ welfare. | ・従業員の福利厚生を支援するために、ストレス管理のヒント、個人のレジリエンス戦略、ウェルネス・ワークショップなど、幅広いリソースを提供できる専用のウェルネス・アプリを使用する。 |
| – Offer mindfulness or mindfulness-based stress reduction training (MBSR) sessions to employees to help them focus and centre. To make these accessible to all staff, various interventions and options for personalization should be provided. | ・従業員が集中できるように、マインドフルネスやマインドフルネスに基づくストレス軽減トレーニング(MBSR)のセッションを提供する。すべての従業員がこれらのセッションを受けられるように、様々な介入策や個人に合わせたオプションをプロバイダで提供する。 |
| – Create mentoring programmes for junior members of staff, with senior leadership to provide guidance on how to navigate professional responsibilities and ensure a work–life balance. | ・若手スタッフのためのメンタリング・プログラムを作成し、シニア・リーダーシップが仕事上の責任をどのように果たし、ワークライフバランスを確保するかについて指導する。 |
| – Encourage individuals to take regular leave and create a supportive environment that values time off. | ・定期的な休暇取得を奨励し、休暇を大切にする環境を整える。 |
| – Ensure leadership leads by example and prioritizes taking regular leave themselves and openly communicates about it. | ・リーダーが率先垂範し、自らも定期的な休暇取得を優先し、それについてオープンにコミュニケーションする。 |
| – Offer flexible working arrangements – including remote work options, flexible working hours, quiet workspaces, employee resources groups and so forth – to individuals with family responsibilities, neurodiverse employees, etc., to accommodate different needs and create an environment in which professionals can thrive. Sensory assessments can help identify sensory tolerance levels and individual preferences in teams. These insights could be used to adjust working spaces and models. | ・リモートワーク、フレックスタイム制、静かなワークスペース、従業員リソースグループなど、柔軟な働き方を提供し、家庭を持つ従業員や神経障害のある従業員など、さまざまなニーズに対応し、プロフェッショナルが活躍できる環境を整える。感覚アセスメントは、チーム内の感覚耐性レベルや個人の嗜好を特定するのに役立つ。これらの洞察は、作業スペースや作業モデルの調整に利用できる。 |
| – Open additional cybersecurity hubs to cover cybersecurity incidents occurring out of normal working hours. The hubs should be based on the “follow-the-sun model”, which allows tasks to be handled by and passed among cyber teams in different time zones. | ・通常の勤務時間外に発生するサイバーセキュリティインシデントに対応するため、サイバーセキュリティハブを増設する。このハブは、異なるタイムゾーンにいるサイバーチームがタスクを処理したり、チーム間でタスクを受け渡したりできるようにする「フォロー・ザ・サン・モデル」に基づくべきである。 |
| 4.5 Tactics for talent retention | 4.5 人材確保のための戦術 |
| It is important to note that talent retention is not the sole responsibility of HR departments, but is a collective effort of various stakeholders from within the organization, including employees, managers and executive leadership. While approaches to talent retention may need to be tailored to the specific needs and circumstances of organizations (e.g. multinational corporations, SMEs), they should incorporate features that can help organizations build a loyal and committed workforce motivated to contribute to the delivery of organizational goals and objectives. | 人材確保は人事部門だけの責任ではなく、従業員、管理職、経営幹部など、組織内の様々な利害関係者の総力を結集して行うものであることに注意することが重要である。タレントリテンションへのアプローチは、組織(多国籍企業や中小企業など)固有のニーズや状況に合わせて調整する必要があるかもしれないが、組織の目標や目的の達成に貢献する意欲を持つ、忠実で献身的な人材を育成するのに役立つ特徴を取り入れるべきである。 |
| BOX 9 Features of talent retention | BOX 9 人材維持の特徴 |
| Actionable approaches on talent retention should encompass: | タレントリテンションに関する実行可能なアプローチは、以下を包含するものでなければならない: |
| – A people-development toolbox that can support people on their individual development journey inside the organization. The toolbox should provide individuals with information about the best-suited jobs, most appropriate working environment, their strengths, what is needed for which jobs, training programmes, mentorship availabilities and so forth. | ・人材育成のためのツールボックスは、組織内での個人の能力開発の旅をサポートする。このツールボックスは、個人に最適な仕事、最適な職場環境、自分の強み、どの仕事に何が必要か、研修プログラム、メンター制度の有無などに関する情報を提供する。 |
| – A well-designed onboarding process that provides employees with the right information and tools to navigate the first few days and months in the new role. | ・新しい職務に就いてから数日、数カ月を乗り切るための適切な情報とツールを従業員に提供する、よく設計されたオンボーディング・プロセス。 |
| – Opportunities for employees to change roles within cybersecurity, for example, from incident response to threat intelligence. | ・例えば、インシデント対応から脅威インテリジェンスへなど、サイバーセキュリティの中で従業員が役割を変更する機会を提供する。 |
| – Internal internship opportunities that enable employees to explore new roles and develop skills and experience without leaving the organization. Such opportunities can facilitate knowledge transfer but also help preserve institutional know-how and ensure a smooth transition of responsibilities when employees retire or move on to other roles. | ・従業員が組織を離れることなく、新たな役割を模索し、スキルと経験を開発できるような社内インターンの機会を提供する。このような機会を設けることで、知識の移転が促進されるだけでなく、機構内のノウハウが保全され、従業員が退職したり他の職務に移ったりしたときに、責任の移行が円滑に行われるようになる。 |
| – Executive commitment to well-being to set the tone from the top that the organization cares about its employees as individuals and not just as workers. This, in turn, can help develop a sense of trust and loyalty among employees, as they feel valued and supported by the leadership. | ・福利厚生に対する経営幹部のコミットメントは、組織が従業員を単なる労働者としてだけでなく、個人として大切に考えていることをトップから発信するものである。これにより、従業員はリーダーシップによって評価され、サポートされていると感じ、信頼感と忠誠心を育むことができる。 |
| – Opportunities for employees to engage in fun activities, such as social gatherings and team-building events, to strengthen relationships among team members and improve engagement but also allow employees to unwind and recharge, ultimately improving team dynamics and reducing stress. | ・懇親会やチームビルディング・イベントなど、従業員が楽しい活動に参加する機会を設けることで、チームメンバー間の関係を強化し、エンゲージメントを向上させるだけでなく、従業員がくつろいで充電することができ、最終的にチームダイナミクスを改善し、ストレスを軽減することができる。 |
| – Mechanisms to monitor progress and make adjustments to address any gaps or challenges. Organizations should make use of employee feedback mechanisms | ・進捗状況をモニタリングし、ギャップや課題に対処するための調整を行う仕組み。組織は、従業員からのフィードバックの仕組みを活用すべきである。 |
| – including pulse surveys, town hall meetings, one-onone discussions – to gather insights into the effectiveness of retention efforts. | ・パルス調査、タウンホールミーティング、1対1のディスカッションなど、リテンションの取り組みの効果に関する洞察を収集する。 |
| Finally, the approaches should be flexible enough to adapt to changing workforce dynamics and employee feedback. | 最後に、アプローチは、変化する従業員のダイナミクスや従業員からのフィードバックに適応できるよう、十分に柔軟であるべきである。 |
| BOX 10 Driving action | BOX 10 行動を促す |
| Once approaches on talent retention have been defined, it is important to devise actions for their implementation. For example: | 人材確保に関するアプローチが定義されたら、それを実施するためのアクションを考案することが重要である。例えば、以下のようなことだ: |
| – Conduct regular happiness surveys. These can provide indications of employee satisfaction and engagement, helping organizations to track trends over time and make informed decisions accordingly. Organizations should use such surveys to understand why talent is staying and how individuals are evolving in their roles. Allowing cybersecurity professionals to voice their opinions and share ideas about new product ideas also helps develop an open and collaborative environment. – Gather and analyse data from exit interviews. These give organizations an opportunity to identify reasons why individuals have chosen to leave as well as areas for improvement. | ・幸福度調査を定期的に実施する。これは従業員の満足度やエンゲージメントを示す指標となり、組織が長期的な傾向を把握し、それに応じて十分な情報に基づいた意思決定を行うのに役立つ。組織は、このような調査を利用して、人材が定着している理由や、各自の役割がどのように進化しているのかを理解する必要がある。サイバーセキュリティの専門家が意見を述べたり、新製品のアイデアについてアイデアを共有したりできるようにすることも、オープンで協力的な環境の構築に役立つ。・退職者インタビューからデータを収集し、分析する。このようなインタビューによって、組織は、個人が退職を選択した理由や改善すべき領域を特定する機会を得ることができる。 |
| – Communicate the importance of talent retention as well as its potential impact on organizational success. In the development phase, organizations should solicit feedback and input from employees to ensure the approach is aligned with their needs and preferences. Talent-retention strategies should be communicated to all employees to ensure clear understanding and buy-in across all levels of the organization, including the executive leadership. | ・人材維持の重要性と、それが組織の成功に与える潜在的な影響についてコミュニケーションする。開発段階において、組織は従業員からフィードバックや意見を求め、そのアプローチが従業員のニーズや嗜好に沿ったものであることを確認する。タレントリテンション戦略を全従業員にコミュニケーションし、エグゼクティブリーダーシップを含む組織の全レベルで明確な理解と賛同を得る。 |
| – Develop and roll out related talent-retention initiatives, such as employee wellness programmes, team-building activities and performance bonuses. That said, such initiatives cannot be delivered without the right resources and budget in place. | ・従業員ウェルネスプログラム、チームビルディング活動、業績賞与など、人材確保に関連するイニシアチブを開発し、展開する。とはいえ、このようなイニシアティブは、適切なリソースと予算がなければ実現できない。 |
| – Stay informed about industry best practices and emerging trends in talent retention, which can then be incorporated into the approach. | ・人材確保に関する業界のベストプラクティスや新たなトレンドに関する情報を常に入手し、それをアプローチに取り入れる。 |
| Conclusion | 結論 |
| Left untackled, the cybersecurity workforce shortage could have cascading implications for global security, economic stability and technological innovation. | サイバーセキュリティの人材不足を放置すれば、世界の安全保障、経済の安定、技術革新に連鎖的な影響を及ぼす可能性がある。 |
| It is imperative that decision-makers in public and private organizations collaborate in efforts to inspire the next generation of cyber defenders and remove entry barriers for individuals aspiring to pursue a career in the field. While striving to create a positive work environment, organizations should invest in education and training programmes, promote diversity in the cybersecurity workforce and provide professional development opportunities for existing staff. Moreover, as the digital landscape continues to evolve, mapping the Cybersecurity Talent Framework (CTF) against emerging technologies, such as generative AI, becomes essential in ensuring its relevance and adaptability. | 官民の組織の意思決定者が協力して、次世代のサイバー防衛者を鼓舞し、この分野でのキャリアを目指す個人の参入障壁を取り除く努力をすることが不可欠である。前向きな職場環境の構築に努める一方で、組織は教育・訓練プログラムに投資し、サイバーセキュリティ人材の多様性を促進し、既存のスタッフに専門能力開発の機会を提供すべきである。さらに、デジタル環境が進化し続ける中、サイバーセキュリティ人材フレームワーク(CTF)を生成的AIなどの新たなテクノロジーと照らし合わせることは、その妥当性と適応性を確保する上で不可欠となる。 |
| That said, this is just the beginning of the journey towards addressing the cybersecurity workforce shortage. While noting that contexts, needs and possibilities may vary across geographies and industries, organizations must take action to translate approaches defined in this CTF into practice. | とはいえ、これはサイバーセキュリティ人材不足に対処するための旅の始まりにすぎない。文脈、ニーズ、可能性は地域や業界によって異なる可能性があることに留意しつつ、組織はこのCTFで定義されたアプローチを実践に移すために行動を起こさなければならない。 |
| Appendix: Case studies | 附属書 ケーススタディ |
| Attracting talent into cybersecurity | サイバーセキュリティに人材を惹きつける |
| Data Security Council of India: CyberShikshaa | インドのデータセキュリティ協議会(Data Security Council of India): CyberShikshaa |
| The Data Security Council of India (DSCI), which was set up by the National Association of Software and Service Companies (NASSCOM), launched CyberShikshaa in 2018 in partnership with Microsoft to equip young female engineers across India with essential cybersecurity skills.54 Operating through classroom, blended and fully virtual modes in multiple cities and states, CyberShikshaa not only facilitates successful job placements but also narrows the diversity gap in the cybersecurity workforce. | 全米ソフトウェア・サービス企業協会(NASSCOM)によって設立されたインドデータセキュリティ協議会(DSCI)は、インド全土の若い女性エンジニアにサイバーセキュリティに不可欠なスキルを身につけさせるため、マイクロソフトと提携して2018年にCyberShikshaaを立ち上げた54。複数の都市や州で、学級形式、混合形式、完全仮想のモードを通じて運営されているCyberShikshaaは、就職を成功させるだけでなく、サイバーセキュリティ人材の多様性格差を縮めることにもつながっている。 |
| During the COVID-19 pandemic, CyberShikshaa seamlessly transitioned to an online format, expanding its reach to aspiring cybersecurity professionals even in smaller cities. Moreover, the programme has evolved to cater to diverse needs, introducing initiatives such as the “Women on Break” programme, providing training to women professionals re-entering the data-privacy workforce after career breaks. | COVID-19が大流行した際、CyberShikshaaはシームレスにオンライン形式に移行し、小規模な都市であってもサイバーセキュリティの専門家を目指す人々へのリーチを拡大した。さらに、このプログラムは多様なニーズに対応するために進化し、「Women on Break」プログラムなどのイニシアチブを導入し、キャリアの中断後にデータ・プライバシーの仕事に再就職する女性専門家にトレーニングを提供している。 |
| Additionally, CyberShikshaa has extended its impact through specialized modules such as CyberShikshaa for BFSI (banking, financial services and insurance) and CyberShikshaa for AI/ML (artificial intelligence/ machine learning), catering to different segments of learners and addressing the specific cybersecurity challenges faced by particular sectors. | さらに、CyberShikshaaは、CyberShikshaa for BFSI(銀行・金融サービス・保険)やCyberShikshaa for AI/ML(人工知能・機械学習)などの専門モジュールを通じてその影響力を拡大し、学習者のさまざまなセグメントに対応し、特定のセクターが直面する特定のサイバーセキュリティの課題に取り組んでいる。 |
| Dubai Electronic Security Center: Dubai Cyber Innovation Park | ドバイ電子セキュリティセンター ドバイ・サイバー・イノベーション・パーク |
| Dubai Cyber Innovation Park (DCIPark),55 as the research and knowledge division of the Dubai Electronic Security Center (DESC), aims to create a world-class integrated cybersecurity ecosystem, empowering the next generation of experts in cybersecurity from the public and private sectors along with academic institutions. | ドバイ電子セキュリティセンター(DESC)の研究・知識部門であるドバイ・サイバー・イノベーション・パーク(DCIPark)55 は、官民や学術機構からサイバーセキュリティの次世代専門家を育成し、世界クラスの統合サイバーセキュリティ・エコシステムを構築することを目指している。 |
| To that end, it runs projects such as the Cyber Security Competency Framework (Qudraat), which, among other things, maps all cybersecurity employees in the city to the framework, linking employee assessment and evaluation with training and development. Qudraat also ensures that capacity-building extends to academic institutions and maintains a balance between the city’s demand and the supply of skills. The training and upskilling initiatives are delivered through the CyberNode programme, a partnership between the government, private sector and academia, to empower cybersecurity capabilities in the city and beyond. Another DCIPark project is Emirati Capture The Flag,which aims to promote cybersecurity skills among Emirati students and youth as well as invest in their cybersecurity innovations. DCIPark also runs 100-day cybersecurity challenges during which participants are required to address a given challenge by developing a working solution. At the end of the period, contestants submit their solutions to DESC. | そのために、サイバーセキュリティ・コンピテンシー・フレームワーク(Qudraat)などのプロジェクトを実施している。このプロジェクトでは、特に、市内のすべてのサイバーセキュリティ従業員をフレームワークにマッピングし、従業員の評価と評価をトレーニングと能力開発に結び付けている。Qudraatはまた、能力開発が教育機関にも及ぶことを保証し、同市のスキルの需要と供給のバランスを維持している。訓練とスキルアップの取り組みは、政府、民間企業、学術機関のパートナーシップであるサイバーノード・プログラムを通じて実施され、市内外のサイバーセキュリティ能力を高めている。DCIParkのもう一つのプロジェクトは、Emirati Capture The Flagで、これはEmiratiの学生や若者のサイバーセキュリティ・スキルを促進し、彼らのサイバーセキュリティ・イノベーションに投資することを目的としている。DCIParkはまた、100日間のサイバーセキュリティ・チャレンジも実施しており、参加者はその期間中、実用的なソリューションを開発し、与えられた課題に取り組むことが求められる。期間終了後、参加者はソリューションをDESCに提出する。 |
| DESC has achieved a 50% reduction in time-to-fill critical cybersecurity roles and recorded a 95% increase in employee satisfaction and retention, attributed to ongoing learning opportunities. | DESCは、サイバーセキュリティの重要な職務に就くまでの時間を50%短縮し、従業員の満足度と定着率を95%向上させた。 |
| Through practical skills development, the nurturing of cybersecurity talent and the creation of a pipeline for future experts, the initiatives align seamlessly with DCIPark as a scalable model, collectively contributing to the cultivation of a skilled and resilient cybersecurity workforce for Dubai’s digital future through internal training, external partnerships and a robust competency framework. | 実践的なスキル開発、サイバーセキュリティ人材の育成、将来の専門家のためのパイプラインの構築を通じて、このイニシアチブは拡張可能なモデルとしてDCIParkとシームレスに連携しており、内部トレーニング、外部パートナーシップ、強固なコンピテンシーフレームワークを通じて、ドバイのデジタルな未来に向けた熟練したレジリエンスの高いサイバーセキュリティ人材の育成に総合的に貢献している。 |
| Girls Who Code: Work Prep | ガールズ・フー・コード:仕事の準備 |
| To close the gender gap in technology, Girls Who Code is leading a movement to inspire, educate and equip students who identify as girls or nonbinary individuals with the computing skills needed to pursue 21st-century opportunities. | Girls Who Codeは、技術分野における男女間の格差を解消するため、女子学生や性別不詳の学生を鼓舞し、教育し、21世紀の機会を追求するために必要なコンピューティング・スキルを身につけさせる活動を主導している。 |
| Since launching in 2012, Girls Who Code has reached 580,000 students. In 2021, Girls Who Code piloted Work Prep,56 an experiential, virtual programme for college students designed to build career skills and confidence and expose students to partner company culture, opportunities and role models. The three-week programme is designed to be flexible for busy college students, featuring a combination of asynchronous activities (i.e. students working independently according to their own schedule) and synchronous work (i.e. students engaging simultaneously in realtime work). As part of the cybersecurity Work Prep, students are introduced to multiple cybersecurity roles and work together to complete the mitigation, response and recovery phases of an incidentresponse plan framework while also meeting cyber leaders at the partner company. | 2012年に発足して以来、Girls Who Codeは58万人の生徒を指導してきた。2021年、Girls Who Codeは、キャリア・スキルと自信を養い、パートナー企業の文化や機会、ロールモデルに触れることを目的とした、大学生向けの体験型バーチャル・プログラム「ワーク・プレップ」56を試験的に開始した。この3週間のプログラムは、多忙な大学生にも柔軟に対応できるように設計されており、非同期活動(学生が自分のスケジュールに従って自主的に活動すること)と同期作業(学生がリアルタイムで同時に作業に従事すること)の組み合わせが特徴となっている。サイバーセキュリティ・ワーク・プレップ」の一環として、学生は複数のサイバーセキュリティの役割を紹介され、インシデント対応計画フレームワークの低減、対応、復旧の各段階を完了するために協力する。 |
| As a result of the programme, the overwhelming majority of students said they were more likely to pursue a career in technology and that they felt more prepared to apply for and be interviewed for technical internships and jobs. | このプログラムの結果、圧倒的多数の生徒が、技術分野でのキャリアを追求する可能性が高くなり、技術インターンシップや仕事に応募したり面接を受けたりする心構えができたと答えた。 |
| Inclusive Cyber: Jumpstarting interest and careers in cyber | インクルーシブ・サイバー :サイバーへの関心とキャリアを飛躍させる |
| Inclusive Cyber,57 an initiative of the World Economic Forum Global Shapers Community,58 aims to build a cyber talent pipeline as diverse as the challenges that will be faced. The initiative spans Montreal, Kigali and London and mobilizes atypical and under-represented non-STEM talent to jumpstart their cyber interest and careers. Inclusive Cyber does this through: 1) leading skills workshops and using a transferable skills toolkit built on the National Institute of Standards and Technology (NIST)’s National Initiative for Cyber Education (NICE) framework; and 2) representing the youth voice on cyber capacity-building and with leading policymakers, such as the UK Cyber Security Council and Quebec’s CyberEco. | 世界経済フォーラム(World Economic Forum)のグローバル・シェイパーズ・コミュニティ(Global Shapers Community)のイニシアチブであるインクルーシブ・サイバー(Inclusive Cyber)57は、直面する課題と同じくらい多様なサイバー人材のパイプラインを構築することを目的としている58。このイニシアチブはモントリオール、キガリ、ロンドンにまたがり、非典型的で代表者の少ない非STEM人材を動員し、サイバーへの関心とキャリアを飛躍させることを目的としている。インクルーシブ・サイバーは、1)スキル・ワークショップを指導し、国立標準技術研究所(NIST)の「サイバー教育のための国家イニシアチブ(NICE)」フレームワークに基づいて構築された移行可能スキル・ツールキットを使用する。 |
| At the heart of the initiative is the transferable skills toolkit, which helps individuals from disciplines including literature, fine arts and political sciences reframe and translate the value of their existing skills to best-match cybersecurity roles. Over five years, Inclusive Cyber has run 27 workshops and directly coached some 1,315 students on breaking into cybersecurity. These workshops took place in nonSTEM faculties across leading universities, including McGill University, University of Toronto, London School of Economics, Queen Mary University of London, Royal Holloway and University College London. In Kigali, Inclusive Cyber built a new curriculum to equip young underprivileged professionals with competitive cybersecurity and transferable skills. | このイニシアチブの中核をなすのは、文学、美術、政治科学などの分野に属する個人が、サイバーセキュリティの職務に最適な既存のスキルの価値を再定義し、翻訳するのを支援する、転移可能スキル・ツールキットである。インクルーシブ・サイバーは、5年間で27のワークショップを開催し、サイバーセキュリティの世界に入るために約1、315人の学生を直接指導してきた。これらのワークショップは、マギル大学、トロント大学、ロンドン・スクール・オブ・エコノミクス、ロンドン大学クイーン・メアリー校、ロイヤル・ホロウェイ校、ユニバーシティ・カレッジ・ロンドンなど、一流大学の非STEM学部で行われた。キガリでは、インクルーシブ・サイバーが、恵まれない若手専門家に競争力のあるサイバーセキュリティ・スキルや移転可能なスキルを身につけさせるための新しいカリキュラムを構築した。 |
| Institute for Security and Safety: eurobits women academy | セキュリティと安全のための機構:ユーロビット女性アカデミー |
| In collaboration with the eurobits women academy (ewa),59 the Institute for Security and Safety aims to inspire women to pursue a career in cybersecurity. At 11%, the proportion of women in cybersecurity in Germany is far below the international average. | ユーロビッツ・ウィメンズ・アカデミー(ewa)59 と連携して、セキュリティ・安全研究所は、女性がサイバーセキュリティの分野でキャリアを積めるようにすることを目指している。ドイツのサイバーセキュリティに携わる女性の割合は11%で、国際平均を大きく下回っている。 |
| As part of a three-year project, the objective is to create a platform for female career changers to: | 3年間のプロジェクトの一環として、女性の転職者のためのプラットフォームを構築することを目的としている: |
| – Provide orientation and guidance on the career opportunities available in cybersecurity using their existing strengths. | ・サイバーセキュリティにおけるキャリアの機会について、既存の強みを生かしたオリエンテーションとガイダンスを提供する。 |
| – Offer an in-service, modular training programme that can run alongside their current job to help them acquire the most important knowledge in the field of cybersecurity over several months and give insights into various areas of expertise. | ・現在の仕事と並行して、数ヶ月にわたってサイバーセキュリティ分野の最も重要な知識を習得し、さまざまな専門分野についての見識を深められるような、現職向けのモジュール式研修プログラムを提供する。 |
| – Facilitate access to a cybersecurity network with contacts in the industry for internship placements and job offers. | ・インターンシップの受け入れや仕事の斡旋のために、業界内の人脈を持つサイバーセキュリティ・ネットワークへのアクセスを容易にする。 |
| The aim is to make it easier for women to enter cybersecurity and support them in achieving their career goals. | その目的は、女性がサイバーセキュリティに参入しやすくし、キャリア目標を達成できるよう支援することである。 |
| Ministry of Transport and Communications of Finland: The Cyber Citizen Project | フィンランド運輸通信省: サイバー市民プロジェクト |
| To develop a common, shared model for learning cyber citizen skills across the European Union, the Finnish Ministry of Transport and Communications, with the financial support of the EU, is leading the Cyber Citizen project.60 | EU全体でサイバー市民スキルを学ぶための共通の共有モデルを開発するため、フィンランド運輸通信省はEUの財政支援を受けて、サイバー市民プロジェクトを主導している60。 |
| The project features a Cyber Citizen hub, comprising a dynamic web portal with online tutorials, a cybersecurity game, quick guides and instructions, to raise awareness about the constantly evolving cyberthreat landscape. In addition to the resources, the Cyber Citizen project forges a community dedicated to cybersecurity training and awareness across all EU countries. Governments, NGOs, businesses and individuals, including researchers, are all invited to contribute. | このプロジェクトは、オンラインチュートリアル、サイバーセキュリティゲーム、クイックガイド、インストラクションを備えたダイナミックなウェブポータルからなるサイバーシチズンハブを特徴とし、絶えず進化するサイバー脅威の状況についての認識を高めている。リソースに加え、サイバーシチズンプロジェクトは、EU諸国全体でサイバーセキュリティの意識向上およびトレーニングに特化したコミュニティを形成している。ガバナンス、NGO、企業、研究者を含む個人はすべて、貢献するよう招待されている。 |
| Siemens: CyberMinds Academy | シーメンス サイバーマインズ・アカデミー |
| In response to the high demand for cybersecurity talent, Siemens has created the CyberMinds Academy to attract and nurture new talent with no prior experience in cybersecurity into cybersecurity specialist roles.61 | サイバーセキュリティの人材に対する高い需要に応えるため、シーメンスは、サイバーセキュリティの経験がない新しい人材を引き付け、サイバーセキュリティのスペシャリストとして育成するCyberMinds Academyを設立した61。 |
| Running in two locations, in Portugal and Spain, the academy delivers a one-year training programme combining learning and practical on-the-job training. Participants also have the opportunity to work closely with cybersecurity experts and participate in a diverse cultural environment. The CyberMinds Academy not only contributes to the development and training of professionals who can bring fresh perspectives and ideas to cybersecurity but also promotes diversity and inclusion in the workforce. | このアカデミーは、ポルトガルとスペインの2カ所で実施され、学習と実践的なOJTを組み合わせた1年間のトレーニング・プログラムを提供している。参加者はまた、サイバーセキュリティの専門家と緊密に連携し、多様な文化的環境に参加する機会もある。サイバーマインズ・アカデミーは、サイバーセキュリティに新鮮な視点とアイデアをもたらすことができる専門家の育成と訓練に貢献するだけでなく、労働力における多様性と包摂を促進する。 |
| So far, the two CyberMinds Academies have trained 26 participants from different backgrounds. Eight of those individuals have been hired to work in cybersecurity for Siemens. | これまでに、2つのCyberMindsアカデミーは、さまざまな背景を持つ26人の参加者を訓練してきた。そのうち8人がシーメンスのサイバーセキュリティ部門に採用されている。 |
| Trellix: Soulful Work | トレリックス 魂のこもった仕事 |
| As a cybersecurity company, Trellix aims to bring awareness to the purposeful work of cybersecurity and create pathways for under-represented groups to fill the talent gap. Spearheading Soulful Work, Trellix fosters diversity and inclusion through partnerships and initiatives aimed at combating unconscious bias and expanding opportunities for all.62 | サイバーセキュリティ企業であるTrellixは、サイバーセキュリティの目的ある仕事に対する認識を高め、人材ギャップを埋めるために代表者の少ないグループに道を開くことを目指している。ソウルフル・ワークの先頭に立つTrellixは、無意識のバイアスに対抗し、すべての人のための機会を拡大することを目的としたパートナーシップやイニシアチブを通じて、多様性とインクルージョンを促進している62。 |
| In collaboration with Gotara, Trellix launched a programme focused on empowering women to navigate and advance their careers, addressing the challenges of gender inequality in the industry. Trellix joined forces with the Hispanic Alliance for Career Enhancement (HACE) to create a cybersecurity accelerator programme that includes a mentorship and development initiative tailored specifically to Latinos, equipping them with the necessary skills to thrive in cybersecurity roles. Trellix also collaborated with the National Cybersecurity Alliance to create the Historically Black Colleges and Universities (HBCU) Cybersecurity Career Program, which actively engages in mentoring projects with the aim of raising awareness of cybersecurity careers among students and providing them with the support needed to successfully navigate the job search process. Through these efforts, Trellix is working towards creating a more diverse and inclusive cybersecurity workforce. | Gotaraと協力し、Trellixは女性がキャリアアップできるようにすることに焦点を当てたプログラムを立ち上げ、業界における男女不平等の課題に取り組んでいる。Trellixは、Hispanic Alliance for Career Enhancement(HACE)と協力して、サイバーセキュリティのアクセラレーター・プログラムを立ち上げた。このプログラムには、特にラテン系に特化したメンターシップと能力開発イニシアチブが含まれており、サイバーセキュリティの職務で活躍するために必要なスキルを身につけることができる。Trellixはまた、National Cybersecurity Allianceと協力して、Historically Black Colleges and Universities(HBCU)サイバーセキュリティ・キャリア・プログラムを立ち上げた。このプログラムは、学生のサイバーセキュリティ・キャリアに対する意識を高め、就職活動を成功させるために必要なサポートを提供することを目的として、メンタリング・プロジェクトに積極的に取り組んでいる。このような取り組みを通じて、Trellixはより多様で包括的なサイバーセキュリティ人材の創出を目指している。 |
| Women4Cyber: Supporting the participation of women in cybersecurity | Women4Cyber: サイバーセキュリティ分野における女性の参画を支援する。 |
| Women4Cyber,63 a non-profit European private foundation, aims to promote, encourage and support the participation of women in cybersecurity. It currently represents a community of 28 national chapters and over 60,000 followers from across Europe. | Women4Cyber(63)は非営利の欧州民間財団で、サイバーセキュリティにおける女性の参加を促進、奨励、支援することを目的としている。Women4Cyberは現在、ヨーロッパ全土の28の国内支部と6万人以上のフォロワーからなるコミュニティを代表者としている。 |
| To attract women to a career in cybersecurity and address the expected skills shortage in technical, operational, managerial and leadership positions, Women4Cyber focuses primarily on facilitating access to education, providing discounts and scholarships, supporting job seekers and HR departments to increase the number of women in cybersecurity, and uses local experts to amplify its reach and develop on-the-ground activities through the national chapters. | サイバーセキュリティ分野でのキャリアに女性を引き付け、技術職、業務職、管理職、リーダー職で予想されるスキル不足に対処するため、Women4Cyberは主に教育へのアクセスを容易にし、割引や奨学金を提供し、求職者や人事部門を支援してサイバーセキュリティ分野の女性の数を増やすことに重点を置き、地域の専門家を活用してリーチを拡大し、国家支部を通じて現場での活動を展開している。 |
| Its successful mentorship programme has helped more than 400 women so far, while scholarships and strategic partnerships are facilitating women’s access to cybersecurity education and certification, and the Women4Cyber job corner and network is increasing the number of female applicants for open positions across Europe. | 成功したメンターシップ・プログラムは、これまでに400人以上の女性を支援し、奨学金や戦略的パートナーシップは、サイバーセキュリティ教育や資格取得への女性のアクセスを促進し、Women4Cyberの求人コーナーやネットワークは、ヨーロッパ全域の募集職種への女性の応募者数を増やしている。 |
| Educating and training cybersecurity professionals | サイバーセキュリティの専門家の教育と訓練 |
| Absa Cybersecurity Academy | アブサ・サイバーセキュリティ・アカデミー |
| Absa in South Africa established a cybersecurity academy in 2019 to address the cybersecurity skills shortage while creating job opportunities for previously disadvantaged and visually impaired learners.64 | 南アフリカのAbsaは2019年にサイバーセキュリティ・アカデミーを設立し、サイバーセキュリティのスキル不足に対処すると同時に、これまで不利な立場にあった学習者や視覚障害のある学習者に就業機会を創出している64。 |
| To address the high youth unemployment rate in South Africa, Absa partnered with the Maharishi Invincibility Institute and the Hein Wagner Academy for the Visually Impaired to develop cybersecurity skills for the academy’s students. Completion of the three-year programmes accredits these students with 17 international certificates, equipping them for employment in the cybersecurity job market. | 南アフリカの高い若年失業率に対処するため、アブサはマハリシ・インヴィンシビリティ・インスティテュートとハイン・ワグナー視覚障害者アカデミーと提携し、アカデミーの学生のためにサイバーセキュリティ・スキルを開発した。3年間のプログラムを修了すると、生徒たちは17の国際的な証明書を取得し、サイバーセキュリティの職場で働けるようになる。 |
| So far, through collaboration with the Maharishi Invincibility Institute, 19 students, who also completed a one-year internship, have been given permanent positions at Absa. A second cohort of 20 students is currently enrolled in the year-long internship in Absa’s Information and Technology Office. | これまでに、マハリシ・インヴィンシビリティ・インスティテュートとの協力により、1年間のインターンシップを修了した19人の学生がアブサで正社員として採用された。現在、アブサのインフォメーション・アンド・テクノロジー・オフィスで20名の学生が1年間のインターンシップに登録している。 |
| In 2024, the first cohort of students will graduate from the Hein Wagner Academy for the Visually Impaired. The graduation will be a first of its kind for the industry, proving that visually impaired people are well suited for the technology and cybersecurity job market and charting a course for others to follow. | 2024年には、第一期生がハイン・ワグナー視覚障害アカデミーを卒業する。この卒業は業界初の試みであり、視覚障害者がテクノロジーとサイバーセキュリティの仕事に適していることを証明し、他の学生が後に続く道を示すことになる。 |
| Cisco Networking Academy | シスコ・ネットワーキング・アカデミー |
| The Cisco Networking Academy equips students with essential and in-demand cybersecurity, networking and digital skills.65 Since its establishment in 1997, it has trained more than 20.5 million individuals across 190 countries and continues to build on its impact with courses ranging from an introduction to cybersecurity and ethical hacking to professional skills, which are designed to meet industry demands. | シスコネットワーキングアカデミーは、サイバーセキュリティ、ネットワーキング、デジタルの必須かつ需要の高いスキルを学生に提供する 65。1997年の設立以来、190カ国で2,050万人以上の個人を育成してきた。サイバーセキュリティや倫理的ハッキングの入門コースから、業界の需要に合わせた専門的スキルまで、幅広いコースでその影響力を高め続けている。 |
| The Cisco Networking Academy aims to train an additional 25 million people by the end of 2032 through its new Skills for All platform,66 featuring mobile-first gamified learning experiences and an unmatched network of 11,700 educational institutions and organizations offering its courses. | シスコネットワーキングアカデミーは、モバイルファーストのゲーム化された学習体験と、コースを提供する11、700の教育機構や組織からなる比類のないネットワークを特徴とする新しいSkills for Allプラットフォーム66を通じて、2032年末までにさらに2、500万人を育成することを目指している。 |
| The Cisco Networking Academy also collaborates with governments worldwide to develop cybersecurity skills and talent. In alignment with the efforts of the US White House and the European Commission to increase the size of the cyber workforce, Cisco aims to train 200,000 people in cybersecurity skills in the US and 250,000 individuals in the EU by 2025. In the first year following the announcement, Cisco has trained 51,000 individuals in the US and 87,000 individuals in the EU. Remarkably, 95% of students who have completed certification-aligned courses attribute new job and/or educational opportunities to their participation in the programme. | シスコ・ネットワーキング・アカデミーはまた、サイバーセキュリティのスキルと人材を育成するため、世界各国の政府と協力している。米ホワイトハウスと欧州委員会がサイバー労働力の規模を拡大する取り組みと歩調を合わせ、シスコは2025年までに米国で20万人、EUで25万人のサイバーセキュリティスキル養成を目指している。この発表後の最初の1年間で、シスコは米国で51、000人、EUで87、000人を訓練した。驚くべきことに、認定に沿ったコースを修了した学生の95%が、このプログラムへの参加によって新たな仕事や教育の機会が得られたとしている。 |
| Cyber Security Agency of Singapore: SG Cyber Talent | シンガポール・サイバーセキュリティ庁 SGサイバー人材 |
| In 2020, the Cyber Security Agency of Singapore (CSA) established the SG Cyber Talent initiative to nurture cybersecurity enthusiasts from a young age and help professionals deepen their skills.67 Since its inception, the initiative has helped more than 22,000 individuals through cybersecurity bootcamps, mentoring, career conversion programmes and leadership education. The main programmes under SG Cyber Talent include SG Cyber Leaders, SG Cyber Women, SG Cyber Youth and SG Cyber Olympians. | 2020 年、シンガポールのサイバーセキュリティ庁(CSA)は、若いうちからサイバーセキュリティに親しむ人材を育成し、専門家がスキルを深めるのを支援するため、SG サイバー・タレント・イニシアチブを設立した67。SG Cyber Talent」の主なプログラムには、「SG Cyber Leaders」、「SG Cyber Women」、「SG Cyber Youth」、「SG Cyber Olympians」がある。 |
| To illustrate the impact, as part of SG Cyber Youth, the Youth Cyber Exploration Programme (YCEP) was started in 2018 and has since trained more than 1,500 secondary-school students in basic cybersecurity knowledge through a series of bootcamps and capture-the-flag competitions organized by CSA and the five local polytechnics, in collaboration with industry partners. As a step-up, the advanced YCEP is also available to students with some existing cybersecurity knowledge. | その効果を示すために、SG Cyber Youthの一環として、Youth Cyber Exploration Programme (YCEP)が2018年に開始され、以来、CSAと地元の5つのポリテクニックが業界パートナーと協力して開催した一連のブートキャンプと旗取り大会を通じて、1、500人以上の中高生にサイバーセキュリティの基礎知識を訓練してきた。ステップアップとして、サイバーセキュリティの知識をある程度持っている学生を対象とした上級YCEPも用意されている。 |
| The Cybersecurity Strategic Leadership Programme (CSLP), organized by CSA, in collaboration with academic partners, as part of SG Cyber Leaders, aims to equip current and future generations of local cybersecurity leaders with a deep level of understanding on the key global drivers shaping cybersecurity strategies and innovation and to lead their organizations’ cybersecurity functions effectively. About 50 senior cybersecurity leaders participated in the first two runs of the CSLP in 2022 and 2023, covering themes such as growing a C-suite Mindset, leading the organization and leading the ecosystem. | サイバーセキュリティ戦略的リーダーシッププログラム(Cybersecurity Strategic Leadership Programme: CSLP)は、SG Cyber Leadersの一環として、CSAが学術パートナーと協力して企画したもので、現在および将来の世代の地域のサイバーセキュリティリーダーが、サイバーセキュリティ戦略とイノベーションを形成する主要なグローバルドライバーについて深い理解を身につけ、組織のサイバーセキュリティ機能を効果的に指導できるようにすることを目的としている。2022年と2023年の2回にわたり開催されたCSLPには、約50人のシニア・サイバーセキュリティ・リーダーが参加し、C-suite Mindsetの育成、組織のリーダーシップ、エコシステムのリーダーシップといったテーマを扱った。 |
| The participants also embarked on an overseas immersion trip to the US and the UK to engage in deeper discussions with local cybersecurity leaders and organizations. | 参加者はまた、米国と英国への海外研修に出かけ、現地のサイバーセキュリティリーダーや組織と議論を深めた。 |
| Cybersecurity Learning Hub | サイバーセキュリティ・ラーニング・ハブ |
| The Cybersecurity Learning Hub68 is an initiative designed to tackle the globally cybersecurity skills shortage and democratize access to cybersecurity career paths. | サイバーセキュリティ・ラーニング・ハブ68は、世界的なサイバーセキュリティ・スキル不足に取り組み、サイバーセキュリティ・キャリアパスへのアクセスを民主化することを目的としたイニシアチブである。 |
| Led by Salesforce with support from Fortinet, the Global Cyber Alliance and the World Economic Forum, the Cybersecurity Learning Hub features training modules on numerous topics such as cyber resilience, artificial intelligence (AI) cybersecurity and cybersecurity table-top exercises. | フォーティネット、グローバル・サイバー・アライアンス、世界経済フォーラムの支援を受けてセールスフォースが主導するサイバーセキュリティ・ラーニング・ハブでは、サイバーレジリエンス、人工知能(AI)サイバーセキュリティ、サイバーセキュリティ・テーブルトップ演習など、数多くのトピックに関するトレーニングモジュールを提供している。 |
| In addition to the training modules, it also includes a growing library of career-oriented information and expert interviews intended to help learners map their own career path through a variety of indemand cybersecurity roles. | トレーニング・モジュールに加え、学習者が需要の少ないサイバーセキュリティのさまざまな役割を通じて自身のキャリアパスを描けるようにすることを目的とした、キャリア志向の情報や専門家インタビューのライブラリーも充実している。 |
| Since its launch in 2019, the Cybersecurity Learning Hub has trained more than 1.3 million individuals spread across all continents. | 2019年の開始以来、サイバーセキュリティ・ラーニング・ハブは、すべての大陸に広がる130万人以上の個人を訓練してきた。 |
| EDP – Energias de Portugal: Global Black Belt Program | EDP ・エネルギアス・デ・ポルトガル グローバルブラックベルトプログラム |
| To improve the architecture and security of systems within the organization, EDP has launched the Global Black Belt Program. The programme aims to enhance employees’ technical skills and knowledge, enabling them to design and implement secure and robust systems. To meet its objectives, the programme covers topics such as security best practices, threat modelling and secure coding techniques. | 組織内のシステムのアーキテクチャとセキュリティを改善するため、EDPはGlobal Black Belt Programを開始した。このプログラムは、従業員の技術スキルと知識を向上させ、安全で堅牢なシステムを設計・実装できるようにすることを目的としている。その目的を達成するため、このプログラムでは、セキュリティのベストプラクティス、脅威のモデル化、セキュアなコーディング技術などのトピックをカバーしている。 |
| To participate in the programme, employees are asked to fill out a questionnaire to assess their level of expertise and provide suggestions for further development. The programme offers various expertise paths, such as Azure Cloud Architect Expert, AWS Cloud Architect Expert, Google Cloud Architect Expert, Human Behaviour Expert, Security Architect Expert, Governance, Risk and Compliance Expert and more. | プログラムに参加するには、従業員にアンケートに答えてもらい、専門知識のレベルを評価し、さらなる能力開発のための提案をしてもらう。このプログラムには、Azure Cloud Architect Expert、AWS Cloud Architect Expert、Google Cloud Architect Expert、Human Behaviour Expert、Security Architect Expert、Governance、 Risk and Compliance Expertなど、さまざまな専門知識パスが用意されている。 |
| Each path is structured around three levels of expertise: Global White Belt, Global Green Belt and Global Black Belt. Every level has specific requirements regarding skills, experience, certifications and recommended conferences and learning paths to help participants advance their knowledge and skills. | 各パスは、3つのレベルの専門知識を中心に構成されている: グローバル・ホワイトベルト、グローバル・グリーンベルト、グローバル・ブラックベルトだ。各レベルには、スキル、経験、認定、推奨されるカンファレンスや学習パスに関する特定の要件があり、参加者の知識とスキルの向上を支援する。 |
| Fortinet: Security Awareness and Training Service | フォーティネット セキュリティ意識向上およびトレーニングサービス |
| To educate schools on how to navigate the digital landscape securely, Fortinet has extended its commercial security awareness and training service at no cost to schools in countries around the world.69 Recognizing the unique educational context, the company tailored staff training to the academic sector and hired teachers to develop a security awareness curriculum that addressed the learning needs of all students aged four to 18. The education edition was initially developed in alignment with the US’s White House Cyber Education and Workforce Initiatives in 2022. The following year, the initiative expanded to include Canada, the UK, Australia and Brazil and is now available to 11.8 million education staff and 64 million students, with further plans for global outreach. | フォーティネットは、デジタル環境を安全にナビゲートする方法について学校を教育するため、世界各国の学校に無償で提供する商用セキュリティ意識向上およびトレーニングサービスを拡大した69 。ユニークな教育状況を認識した同社は、スタッフトレーニングを学術部門に合わせて調整し、教師を雇用して4歳から18歳までのすべての生徒の学習ニーズに対応したセキュリティ意識向上カリキュラムを開発した。この教育版は当初、2022年の米国ホワイトハウスのサイバー教育・労働力イニシアティブに合わせて開発された。翌年には、カナダ、英国、オーストラリア、ブラジルに拡大し、現在では1、180万人の教育関係者と6、400万人の生徒が利用できるようになり、さらに世界的な普及が計画されている。 |
| In addition to its collaboration with educational institutions worldwide, in 2020, at the outset of the COVID-19 pandemic, Fortinet amplified its existing efforts by offering all self-paced technical certification training at no cost, in response to the escalating threat landscape. The response was staggering, with course registrations peaking at one every seven seconds during the initial weeks. | 世界中の教育機構との協力に加え、COVID-19の流行が始まった2020年、フォーティネットは脅威の激化に対応するため、すべての自習型技術認定トレーニングを無償で提供することで既存の取り組みを強化した。その反響は驚異的で、最初の数週間は7秒に1コースの登録があった。 |
| KnowBe4, MiDO Technologies and the UK Foreign, Commonwealth and Development Office: MiDO Cyber Academy | KnowBe4、MiDO Technologies、英国外務・英連邦・開発庁の3社が協力している: MiDOサイバー・アカデミー |
| To reduce poverty and stimulate inclusive economic growth in South Africa, in March 2023 the UK Foreign, Commonwealth and Development Office (FCDO), in partnership with KnowBe4 and MiDO Technologies, established the MiDO Cyber Academy.70 | 南アフリカにおける貧困削減と包括的な経済成長の促進のため、英国外務・英連邦・開発庁(FCDO)は2023年3月、KnowBe4とMiDO Technologiesと共同で、MiDOサイバー・アカデミーを設立した70。 |
| Partly inspired by the Absa Security Academy in South Africa and aimed at underserved communities within the Western Cape, the MiDO Cyber Academy focuses on cybersecurity, critical thinking, soft skills, innovation, collaboration and personal resilience. The academy aims to bridge the digital and cyber skills divide that exists between job seekers and internships or junior positions available in the IT and cybersecurity market. | MiDOサイバー・アカデミーは、南アフリカのアブサ・セキュリティ・アカデミーにヒントを得たもので、西ケープ州の十分なサービスを受けていないコミュニティを対象として、サイバーセキュリティ、クリティカルシンキング、ソフトスキル、イノベーション、コラボレーション、個人のレジリエンスに焦点を当てている。このアカデミーは、求職者とITおよびサイバーセキュリティ市場におけるインターンシップや若手職との間に存在するデジタルおよびサイバー・スキルの格差を埋めることを目的としている。 |
| The academy offers a blended-learning approach, combining e-learning with in-person facilitation, personal-resilience training, life skills, industry exposure and mentorship. The programme lasts 10 months, targeting youths aged 18 to 24 and facilitating cohorts of up to 21 candidates, emphasizing real-world projects, candidate placement and integration into the workforce. | 同アカデミーは、Eラーニングと対面式ファシリテーション、レジリエンス・トレーニング、ライフスキル、業界エクスポージャー、メンターシップを組み合わせたブレンデッド・ラーニング・アプローチを提供している。プログラム期間は10ヶ月で、18歳から24歳の若者を対象とし、最大21人の候補者のコホートを促進し、実社会のプロジェクト、候補者の配置、労働力への統合に重点を置いている。 |
| Through industry involvement and support, such as masterclasses and hands-on project work, students are exposed to real-life challenges faced by security-industry professionals with the extra benefit of building up a network of senior members in the community and potential future employers. | マスタークラスや実践的なプロジェクト作業など、業界の関与と支援を通じて、学生はセキュリティ業界の専門家が直面する現実的な課題に触れることができ、さらに地域の先輩や将来の雇用主となる可能性のある人たちとのネットワークを構築できるという利点もある。 |
| Metabase Q: Council of Experts in Regulation and Cybersecurity | Metabase Q: 規制・サイバーセキュリティ専門家会議 |
| Metabase Q established the Council of Experts in Regulation and Cybersecurity (CERC),71 a pioneering, multidisciplinary council comprising cybersecurity practitioners with a recognized trajectory from the private sector, academia and civil society. | Metabase Qは、Council of Experts in Regulation and Cybersecurity (CERC)71を設立した。このCERCは、民間企業、学界、市民社会から実績のあるサイバーセキュリティの専門家で構成される、学際的で先駆的な協議会である。 |
| The CERC serves as a catalyst to position Mexico as a leader and benchmark in Latin America in the development of cybersecurity. | CERCは、メキシコをサイバーセキュリティの発展におけるラテンアメリカのリーダーとして、またベンチマークとして位置づける触媒の役割を果たしている。 |
| Within the CERC, the education committee specifically targets United Nations Sustainable Development Goal 4, ensuring inclusive access to education and promoting learning opportunities in cybersecurity for all. For example, the Digital Distance Education programme is designed to provide educational resources for children and young adults. The Digital Cyber Academy (DCA) aims to both attract skilled individuals and bridge the expertise gap in Latin America. The DCA allows students to enrol at no cost and serves as a hub for acquiring technical knowledge and practical skills. The DCA has graduated five generations of students, marking a crucial milestone in preparing the next generation of cybersecurity professionals. | CERCの中で、教育委員会は特に国連の持続可能な開発目標4を目標としており、教育への包括的なアクセスを確保し、すべての人にサイバーセキュリティの学習機会を促進している。例えば、デジタル遠隔教育プログラムは、子供や若年層に教育リソースを提供することを目的としている。デジタルサイバーアカデミー(DCA)は、熟練した人材を集めると同時に、ラテンアメリカにおける専門知識のギャップを埋めることを目的としている。DCAでは、学生は無料で登録することができ、技術的な知識と実践的なスキルを習得するためのハブとして機能している。DCAはこれまでに5世代の学生を卒業させており、次世代のサイバーセキュリティ専門家を育成する上で重要なマイルストーンとなっている。 |
| Organization of American States: Creating a Career Path in Cybersecurity | 米州機構 サイバーセキュリティのキャリアパスを創造する |
| Between 2017 and 2023, the Cybersecurity Program of the Inter-American Committee against Terrorism (CICTE) of the Organization of American States (OAS) – with the financial support of Citi Foundation – implemented a multiphased project entitled Creating a Career Path in Cybersecurity with the purpose of addressing the shortage of skilled cybersecurity professionals.72 The main goal was to equip young people with essential skills to access entry-level positions in cybersecurity, offering technical training, soft skills development and professional growth opportunities. | 2017年から2023年にかけて、米州機構(OAS)の対テロ米州委員会(CICTE)のサイバーセキュリティ・プログラムは、シティ財団の財政支援を受けて、熟練したサイバーセキュリティ専門家の不足に対処することを目的に、「サイバーセキュリティにおけるキャリアパスの創出」と題する多段階プロジェクトを実施した72。このプロジェクトの主な目的は、サイバーセキュリティの初級職に就くために不可欠なスキルを若者に身につけさせることであり、技術訓練、ソフトスキルの向上、専門家としての成長機会を提供することであった。 |
| Over six years, the project successfully trained more than 1,200 individuals across a number of countries, including Argentina, Brazil, Colombia, Costa Rica, Guatemala, Mexico, Panama, Peru, Dominican Republic and Trinidad and Tobago. Its beneficiaries not only acquired technical expertise and certification but also developed crucial soft skills and secured initial job placements in both public and private institutions. | このプロジェクトは6年間にわたり、アルゼンチン、ブラジル、コロンビア、コスタリカ、グアテマラ、メキシコ、パナマ、ペルー、ドミニカ共和国、トリニダード・トバゴなど、多くの国で1、200人以上の訓練に成功した。受益者たちは、技術的な専門知識や資格を取得しただけでなく、重要なソフト・スキルを身につけ、公的機関と民間機関の両方で最初の就職先を確保した。 |
| Building on the lessons learned from the implementation of this programme and considering the persistent shortage of professionals in this field, the Cybersecurity Program plans to launch a new workforce development programme in one OAS member state in 2024. This project aims to provide a systemic approach to cyber education, with the long-term goal of increasing the supply of qualified cybersecurity professionals, offering training and employment opportunities while assisting the beneficiary country in developing a national cybersecurity education framework. The goal is to create a sustainable and robust pipeline of skilled professionals, contributing to the country’s cyber resilience. | サイバーセキュリティ・プログラムは、このプログラムの実施から学んだ教訓を踏まえ、またこの分野の専門家が依然として不足していることを考慮し、2024年にOAS加盟国1カ国で新たな人材育成プログラムを開始する予定である。このプロジェクトは、長期的な目標として、有資格のサイバーセキュリティ専門家の供給を増やし、受益国が国家的なサイバーセキュリティ教育の枠組みを開発するのを支援しながら、訓練と雇用の機会を提供するという、サイバー教育への体系的なアプローチを提供することを目的としている。目標は、熟練した専門家の持続可能で強固なパイプラインを構築し、国のレジリエンスに貢献することである。 |
| Saudi Arabia National Cybersecurity Authority: Saudi Cybersecurity Higher Education Framework | サウジアラビア国家サイバーセキュリティ認可局: サウジアラビアのサイバーセキュリティ高等教育フレームワーク |
| Saudi Arabia’s Vision 2030 emphasizes human capital development, including in cybersecurity, as a core pillar of its coherent development strategy. Central to these efforts, the Saudi Arabia National Cybersecurity Authority (NCA) has introduced the Saudi Cybersecurity Higher Education Framework (SCyber-Edu).73 This framework aims to elevate cybersecurity education, aligning it with market demands and the objectives of Vision 2030. SCyberEdu sets standards for cybersecurity education across Saudi universities, ensuring courses meet market-relevant skills and knowledge domains. | サウジアラビアのビジョン2030は、一貫した開発戦略の中核的な柱として、サイバーセキュリティを含む人的資本の開発を強調している。サウジアラビア国家サイバーセキュリティ認可庁(National Cybersecurity Authority: NCA)は、こうした取り組みの中心的存在として、サウジアラビアのサイバーセキュリティ高等教育フレームワーク(Saudi Cybersecurity Higher Education Framework: SCyber-Edu)を導入した73 。このフレームワークは、サイバーセキュリティ教育を高度化し、市場の需要やビジョン 2030 の目標に合致させることを目的としている。SCyberEdu は、サウジアラビアの大学全体のサイバーセキュリティ教育の標準を定め、コ ースが市場に関連するスキルと知識領域を満たすことを保証するものである。 |
| The framework involves several critical components, including developing a recognition process for cybersecurity degree programmes, creating incentives for universities to align their courses with SCyber-Edu standards, and establishing a database of recognized degrees to guide student selection. | この枠組みには、サイバーセキュリティの学位プログラムの認定プロセスの開発、SCyber-Eduの標準にコースを合わせるための大学へのインセンティブの創出、学生選択の指針となる認定学位のデータベースの構築など、いくつかの重要な要素が含まれている。 |
| In 2023, SCyber-Edu had a significant impact on Saudi Arabia’s educational landscape. It has been adopted by 45 prestigious institutes, influencing 82 cybersecurity higher education programmes nationwide. The NCA has observed a significant increase in use of the framework by these institutions, further enhancing the quality and relevance of cybersecurity education in the country. | 2023年、SCyber-Eduはサウジアラビアの教育状況に大きな影響を与えた。これは45の名門機構に採用され、全国で82のサイバーセキュリティ高等教育プログラムに影響を与えている。NCA は、これらの 機構によるフレームワークの利用が大幅に増加し、サウジアラビアのサイバーセキュリティ教育の質 と妥当性がさらに向上していることを確認している。 |
| Recruiting the right cybersecurity talent Cybersafe Foundation: | 適切なサイバーセキュリティ人材の採用 サイバーセーフ財団 |
| CyberGirls Fellowship | サイバーガールズ・フェローシップ |
| The CyberGirls Fellowship,74 an initiative by Cybersafe Foundation, confronts Africa’s cybersecurity gender disparity. While women represent half of Africa’s population, they account for a mere 9% of its cybersecurity workforce. The fellowship aims to change this by empowering young African women aged 18–28 with cybersecurity skills and thereby promote socioeconomic growth. | サイバーガールズ・フェローシップ(CyberGirls Fellowship)74 は、サイバーセキュリティにおけるアフリカの男女格差に立ち向かうサイバーセキュリティ財団(Cybersafe Foundation)のイニシアチブである。アフリカの人口の半分を女性が占めているにもかかわらず、サイバーセキュリティ従事者に占める女性の割合はわずか9%にすぎない。このフェローシップは、18歳から28歳のアフリカの若い女性にサイバーセキュリティのスキルを身につけさせ、それによって社会経済の成長を促進することで、この状況を変えることを目的としている。 |
| The fellowship programme is built on three pillars – training, mentorship and placement – and provides a cutting-edge training curriculum that is updated annually to meet industry demands. This curriculum offers free, high-quality cybersecurity education that combines technical and soft skills over an eightmonth period. Additionally, a global mentorship pillar features a five-to-one ratio of female mentors to fellows, enhancing support and representation. The initiative’s placement arm then assists fellows in securing their first cybersecurity roles, ensuring a smooth transition from learning to employment. | フェローシップ・プログラムは、トレーニング、メンターシップ、就職斡旋という3つの柱で構成され、業界の需要に合わせて毎年更新される最先端のトレーニング・カリキュラムをプロバイダとして提供する。このカリキュラムは、8カ月間にわたり、技術的スキルとソフトスキルを組み合わせた質の高いサイバーセキュリティ教育を無料で提供する。さらに、グローバル・メンターシップの柱として、フェローに対する女性のメンターの比率を5対1とし、サポートと代表性を高めている。さらに、このイニシアティブの人材紹介部門は、フェローが初めてサイバーセキュリティの職務に就けるよう支援し、学習から就職へのスムーズな移行を保証する。 |
| Beyond technical training, the programme employs mindset-shifting tools, such as the CyberGirls mantra consisting of affirmations and positive selftalk, to overcome stereotypes and boost confidence among fellows. | 技術的なトレーニングだけでなく、このプログラムでは、固定観念を克服してフェローの自信を高めるために、肯定的な自己表現で構成されるCyberGirlsマントラのような、考え方を変えるツールを採用している。 |
| CyberGirls alumni, spread across 22 countries, often see their income increase by more than 400% within six months of landing a cybersecurity role after completing the programme. | 22カ国に広がるCyberGirlsの卒業生は、プログラム終了後、サイバーセキュリティの職務に就いてから6カ月以内に収入が400%以上増加することが多い。 |
| Hewlett Packard Enterprise: Cybersecurity Career Reboot Program | ヒューレット・パッカード・エンタープライズ サイバーセキュリティ・キャリア再起動プログラム |
| The Hewlett Packard Enterprise (HPE) Cybersecurity Career Reboot Program,75 launched in 2022, is rooted in the belief that the greatest gift is to give someone an opportunity. The programme recognizes that talent can come from non-traditional paths, and that formal degrees or prior cybersecurity experience are not always prerequisites. | 2022年に開始されたヒューレット・パッカード・エンタープライズ(HPE)のサイバーセキュリティ・キャリア・リブート・プログラム75は、「最大の贈り物は、誰かに機会を与えることである」という信念に根ざしている。このプログラムでは、才能は従来とは異なる道から生まれる可能性があり、正式な学位やサイバーセキュリティの経験が必ずしも前提条件ではないことを認識している。 |
| The programme is an immersive nine-month experience that offers a blend of mentorship, hands-on experience and formal training to equip participants with the skills required in the cybersecurity domain. Participants are placed in a team aligned with their interests and aspirations and with the business needs of HPE. They are dedicated to specific projects but also spend time attaining cybersecurity certifications and building their network both inside and outside of the company. | このプログラムは、サイバーセキュリティの領域で必要とされるスキルを参加者に身につけさせるために、メンターシップ、実践的な経験、正式なトレーニングを融合させた9カ月間の没頭型体験プログラムである。参加者は、自分の興味や希望、HPEのビジネスニーズに沿ったチームに配属される。参加者は特定のプロジェクトに専念するだけでなく、サイバーセキュリティ資格の取得や社内外のネットワーク構築にも時間を費やす。 |
| HPE’s Cybersecurity Career Reboot Program seeks to create new cybersecurity talent rather than taking it from other organizations. Those who have passed through the programme include a school bus driver, a restaurant owner, a respiratory therapist and a nurse. While there are inherent challenges in career transitions, HPE has found many parallels between the skills acquired in candidates’ former careers and the ones essential for success in cybersecurity. | HPEのサイバーセキュリティ・キャリア・リブート・プログラムは、他の組織から人材を獲得するのではなく、新たなサイバーセキュリティ人材を生み出すことを目指している。このプログラムを通過した人材には、スクールバスの運転手、レストランのオーナー、呼吸療法士、看護師などがいる。キャリアの転換には固有の課題があるが、HPEは、候補者が以前のキャリアで身につけたスキルとサイバーセキュリティでの成功に不可欠なスキルの間に多くの類似点があることを発見した。 |
| Some 93% of graduates have secured full-time positions at HPE or other companies. | 卒業生の約93%がHPEまたは他の企業でフルタイムの職を獲得している。 |
| NICE Workforce Framework for Cybersecurity | サイバーセキュリティのための NICE ワークフォース・フレームワーク |
| NIST published the NICE Workforce Framework for Cybersecurity (NICE Framework) to aid the development, recruitment and retention of the cybersecurity workforce. | NIST は、サイバーセキュリティ人材の育成、採用、維持を支援するために、NICE Workforce Framework for Cybersecurity(NICE フレームワーク)を発表した。 |
| The NICE Framework provides a standard approach for describing the tasks, knowledge and skills needed to perform cybersecurity work, enabling a better understanding of talent needs and expectations. Jobseekers use the NICE Framework through tools, such as those provided by CyberSeek.org,76 to chart pathways for future learning and career advancement. Educators and trainers, in courses offered by, for instance, Temple University,77 use it to describe and map the curriculum to current marketplace demand, while employers use it to conduct workforce assessments and identify staffing gaps or to craft more accurate position descriptions and improve recruitment. For example, the NICE Framework Mapping Tool from the Cybersecurity and Infrastructure Security Agency (CISA) measures alignment of job descriptions.78 | NICE フレームワークは、サイバーセキュリティ業務に必要なタスク、知識、スキルを記述するための標準的なアプローチを提供し、人材のニーズと期待に対する理解を深めることを可能にする。求職者は、CyberSeek.org が提供するツール76 などを通じて NICE フレームワークを利用し、将来の学習やキャリアアップのための道筋を描く。教育者やトレーナーは、例えばテンプル大学77 が提供するコースにおいて、カリキュラムを説明し、現在の市場の需要に対応させるために利用し、雇用主は、労働力評価を実施し、人材ギャップを特定したり、より正確なポジション説明を作成し、採用の改善を図るために利用する。例えば、サイバーセキュリティ・インフラセキュリティ庁(CISA)のNICEフレームワークマッピングツールは、職務記述書の整合性を測定する78。 |
| The use of common terms and language helps to organize and communicate cybersecurity work. In this way, the NICE Framework has helped to simplify communications and provide improved clarity and consistency at all organizational levels – from an individual to a programme, organization and more. | 共通の用語や言葉を使用することは、サイバーセキュリティ業務の整理とコミュニケーションに役立つ。このように、NICE フレームワークは、コミュニケーションを簡素化し、個人からプログラム、組織、その他に至るまで、あらゆる組織レベルで明確性と一貫性を改善するのに役立っている。 |
| Schneider Electric: Cybersecurity Talent Development | シュナイダーエレクトリック サイバーセキュリティ人材開発 |
| Schneider Electric (SE) sees employees as vital to the safe and secure delivery of its products and services, strengthening critical global infrastructure and fuelling the digital economy. SE’s Cybersecurity Talent Development initiative is a comprehensive programme that defines the cybersecurity talent needs of the company, then identifies, attracts and upskills cybersecurity talent in an inclusive way. | シュナイダーエレクトリック(SE)は、自社の製品とサービスを安全かつ確実に提供し、重要なグローバルインフラを強化し、デジタル経済を活性化するためには、従業員が不可欠であると考えている。SEのサイバーセキュリティ人材開発イニシアチブは、会社のサイバーセキュリティ人材ニーズを定義し、サイバーセキュリティ人材を識別し、引き付け、包括的な方法でスキルアップする包括的なプログラムである。 |
| In preparation for the future, SE implemented a people-centric approach and completed the following milestones: | 将来に備えて、SEは人材中心のアプローチを実施し、以下のマイルストーンを完了した: |
| – Community identification: Through careful assessment and mapping, SE has successfully identified cyber employees within the organization. | ・コミュニティの特定: コミュニティの特定:入念な評価とマッピングを通じて、SE は組織内のサイバー従業員の特定に成功した。 |
| – Key roles definition: SE outlined the current and future top cybersecurity mandates and domains from digital practices and functions to business and operational units. Following this exercise, SE completed career path mapping to common roles. | ・重要な役割の定義: SEは、デジタル業務や機能から事業部門や業務部門に至るまで、現在および将来のサイバーセキュリティの最重要任務と領域を概説した。この演習に続いて、SEは共通の役割に対するキャリアパスのマッピングを完了した。 |
| – Career path development: To support the growth of cyber roles, SE established individual role descriptions and recommended training programmes and certifications to facilitate professional development. Learning and rotation are central to developing the company’s talent pool. | ・キャリアパスの開発: SE は、サイバー担当者の役割の成長を支援するために、個々の役割の概要を定め、専門職としての能力開発を促進するためのトレーニングプログラムと認定を推奨した。学習とローテーションは、会社の人材プールを開発する上で中心的な役割を果たす。 |
| – Community meetings: These monthly calls are designed to create synergies and networking opportunities by sharing initiatives from different teams. | ・コミュニティミーティング: 毎月開催されるこの会議は、異なるチームのイニシアチブを共有することで、相乗効果とネットワーキングの機会を創出することを目的としている。 |
| The benefits for employees have been equal career development opportunities and diversity of career paths. The SE benefits are a stronger pipeline of cyber talent and a future-ready cybersecurity community. | 従業員にとってのメリットは、平等なキャリア開発の機会とキャリアパスの多様性である。SEにとってのメリットは、サイバー人材のパイプラインが強化され、将来的にサイバーセキュリティコミュニティが形成されることである。 |
| Siemens Energy: Cybersecurity and Industrial Infrastructure Security Apprenticeship Program | シーメンス・エナジー サイバーセキュリティと産業インフラセキュリティ見習いプログラム |
| As an energy organization, Siemens Energy has identified a need to grow the pool of workers who can understand both the physical and cyber aspects of operational technologies. | シーメンス・エナジーはエネルギー企業として、運用技術の物理的側面とサイバー的側面の両方を理解できる労働者を増やす必要性を認識している。 |
| With fewer than 10 colleges in the United States offering cybersecurity classes focused on operational technologies in 2020, Siemens Energy partnered with ICS Village, the Regional Economic Development for Eastern Idaho (REDI), MISI Academy, Capitol Technology University, SANS Technology Institute and Idaho State University (ISU) to design and implement the Industrial Cybersecurity Apprenticeship Program (CIISAp).79 CIISAp is an academically rigorous programme that places apprentices in real-world job rotations designed to immediately apply their skills as they learn. It enables people with moderate computer skills to gain the hands-on experience and knowledge needed to competently fill cybersecurity vacancies that currently pay above $90,000 per year. | 2020年に運用技術に特化したサイバーセキュリティの授業を開講している大学は米国で10校に満たないため、シーメンス・エナジー社は、ICSビレッジ、東アイダホ地域経済開発(REDI)、MISIアカデミー、キャピトル技術大学、SANS技術研究所、アイダホ州立大学(ISU)と提携し、産業サイバーセキュリティ見習いプログラム(CIISAp)を設計・実施した。CIISAp は、学問的に厳格なプログラムであり、実習生を実際の職務に就かせ、学んだスキルを即座に活かせるよう設計されている。CIISAp によって、中程度のコンピュータ・スキルを持つ人々が、現在年俸 9 万ドルを超えるサイバーセキュリティの欠員を満たすために必要な実地経験と知識を得ることができる。 |
| Telefónica: Campus 42 | テレフォニカ キャンパス42 |
| Telefónica’s Campus 42 is dedicated to attracting, educating and recruiting skilled cybersecurity professionals and experts.80 Campus 42 – characterized by free access to education with no classes or textbooks, available 24/7 and focusing on practical, project-based learning in a collaborative environment – aims to develop highly skilled technology experts in disciplines such as cybersecurity. The programme emphasizes the development of industry-relevant skills, and admission is based on logical thinking and problemsolving abilities rather than academic prerequisites. | テレフォニカのCampus 42は、熟練したサイバーセキュリティの専門家やエキスパートを引き付け、教育し、採用することに特化している。80 Campus 42は、授業や教科書がなく、24時間365日利用可能で、共同作業環境での実践的なプロジェクトベースの学習に重点を置いた教育への無料アクセスを特徴としており、サイバーセキュリティなどの分野で高度に熟練した技術エキスパートを育成することを目的としている。このプログラムでは、産業界に関連するスキルの育成に重点を置いており、入学資格は学歴よりも論理的思考力や問題解決能力に基づいている。 |
| Telefónica, a key partner of Campus 42, provides essential support, including financial assistance and resources such as Telefónica office space. The company extends further support by offering employment opportunities and internships to Campus 42 students, enabling them to gain valuable work experience in the telecommunications and technology sectors. This collaboration has helped create a talent pool of highly skilled professionals available for recruitment, and Telefónica’s internal cybersecurity unit actively filters and collaborates with these individuals on internal projects, thereby promoting and refreshing internal cyber skills. | テレフォニカは、キャンパス42の重要なパートナーであり、財政的支援やテレフォニカのオフィススペースなどのリソースを含む重要なサポートを提供している。同社はさらに、Campus 42の学生に雇用機会やインターンシップを提供することで、電気通信やテクノロジー分野で貴重な実務経験を積めるよう、支援を拡大している。テレフォニカの社内サイバーセキュリティ部門は、こうした人材を積極的に選別し、社内プロジェクトで協力することで、社内のサイバー・スキルを促進し、リフレッシュしている。 |
| The UK Cyber Security Council | 英国のサイバーセキュリティ協議会 |
| The UK government recognizes that there need to be clear pathways into and through the cybersecurity profession. Knowledge, skills and experience in cybersecurity should be defined and acknowledged in a way that is similar to more established professions, such as law and engineering. | 英国政府は、サイバーセキュリティの専門家になるための、そしてサイバーセキュリティの専門家になるための明確な道筋が必要であることを認識している。サイバーセキュリティの知識、スキル、経験は、法律や工学など、より確立された専門職と同様の方法で定義され、認められるべきである。 |
| To do this, the UK Cyber Security Council was launched in March 2021 and represents a world first for the cybersecurity profession.81 Its mission is to be the voice of the profession, bringing clarity and structure to the growing cyber workforce and the range of qualifications, certifications and degrees that exist across the field. It was awarded a royal charter, which enables it to bestow chartership on individuals – a national recognition of excellence and expertise – as is done in the engineering profession. This is a vital step towards bringing cohesion and consistency to the cyber workforce and, through the development of professional standards across numerous specialisms, practitioners are being recognized for their abilities as well as engaging in a more defined career pathway. | このため、2021 年 3 月に英国サイバーセキュリティ協議会(UK Cyber Security Council)が発足し、サイバーセキュリティの専門職にとって世界初の試みとなった81 。その使命は、専門職の代弁者となり、増え続けるサイバー人材と、この分野に存在するさまざまな資格、認定、学位に明確性と体系性をもたらすことである。その使命は、専門職の声を代弁することであり、成長するサイバー人材と、この分野全体に存在するさまざまな資格、認定、学位に明確な構造をもたらすことである。これは、サイバー人材に結束と一貫性をもたらすための重要な一歩であり、多くの専門分野にわたる専門的標準の開発を通じて、実務家はその能力を認められるだけでなく、より明確なキャリア・パスに従事することになる。 |
| The council has now awarded more than 100 cyber professionals with this accreditation across four specialist areas, including Cyber Security Governance and Risk, Secure Systems Architecture, Cyber Security Audit and Assurance and Security Testing (Penetration Testing). | 同協議会は現在、サイバーセキュリティガバナンスとリスク、セキュアシステムアーキテクチャ、サイバーセキュリティ監査と保証、セキュリティテスト(ペネトレーションテスト)の4つの専門分野で、100人以上のサイバー専門家にこの認定を授与している。 |
| Retaining cybersecurity professionals | サイバーセキュリティの専門家の確保 |
| European Investment Bank: Job Shadowing Programme in Cybersecurity | 欧州投資銀行 サイバーセキュリティのジョブシャドウイングプログラム |
| The European Investment Bank (EIB), in efforts to enhance its professional development, implemented a job shadowing programme in cybersecurity. This initiative, aimed at employees with a keen interest in cybersecurity, provides a unique opportunity for cross-departmental collaboration and skills enhancement. The programme serves as a platform for mutual learning where cybersecurity experts share their expertise while gaining insights into the operational challenges faced by other departments. | 欧州投資銀行(EIB)は、専門能力開発を強化するため、サイバーセキュリティのジョブシャドウイングプログラムを実施した。サイバーセキュリティに強い関心を持つ従業員を対象としたこの取り組みは、部門を超えたコラボレーションとスキルアップのためのユニークな機会を提供している。このプログラムは、サイバーセキュリティの専門家が専門知識を共有しながら、他部門が直面する業務上の課題について見識を深める相互学習の場として機能する。 |
| Programme participants, upon agreement with their respective managers and the CISO, are allocated one day per week throughout a quarter to work alongside the information security team. This immersive experience enables participating employees to gain first-hand experience in cybersecurity and equips them with the skills required to perform work functions in cybersecurity such as risk assessment, audit exercises, information security alignment with other international financial institutions and so forth. Ultimately, the programme allows for the creation of an internal talent pool. | プログラム参加者は、各自の上司およびCISOとの合意のもと、四半期を通じて週に1日、情報セキュリティチームと一緒に仕事をする時間が割り当てられる。この没頭的な経験により、参加社員はサイバーセキュリティの実地経験を積むことができ、リスクアセスメント、監査演習、他の国際金融機構との情報セキュリティ調整など、サイバーセキュリティの業務機能を遂行するために必要なスキルを身につけることができる。最終的には、このプログラムによって社内に人材プールを作ることができる。 |
| Repsol: Strengthening its cybersecurity team | レプソル サイバーセキュリティ・チームの強化 |
| Talent features prominently in Repsol’s 2024–2026 cybersecurity strategy. The strategy recognizes that the risk of data breaches and deployment of new technologies, including AI, as well as the evolution of operational technology (OT) security, cannot be successfully managed without strengthening the cybersecurity team. To that end, Repsol aims to: | レプソルの2024-2026年サイバーセキュリティ戦略では、人材が大きく取り上げられている。この戦略では、データ侵害のリスクやAIを含む新技術の導入、運用技術(OT)セキュリティの進化は、サイバーセキュリティチームの強化なしにはうまくマネジメントできないことを認識している。そのために、レプソルは以下を目指す: |
| 1. Gain support from the board to strengthen the team and achieve the defined strategy. | 1. チームを強化し、定義された戦略を達成するために、取締役会の支持を得る。 |
| 2. Enhance talent across key areas, including incident response, identity management, the operational technology security operations centre, network security and cloud security. | 2. インシデント対応、ID管理、運用技術セキュリティ・オペレーションセンター、ネットワークセキュリティ、クラウドセキュリティなど、主要分野の人材を強化する。 |
| 3. Draft hiring proposals with the necessary technical and soft skills while promoting diversity, especially female talent. | 3. ダイバーシティ(特に女性人材)を推進しながら、必要な技術的スキルとソフトスキルを備えた採用案をドラフトする。 |
| 4. Retain hired talent with an interesting long-term value proposition focused on the physical and mental health of teams, including the possibility of fully remote working and monetary incentives. | 4. 完全リモートワークの可能性や金銭的インセンティブを含め、チームの肉体的・精神的健康に焦点を当てた長期的な価値提案により、採用した人材を確保する。 |
« 米国 商務省 NISTがAIに関する4つのドラフトを公開し、意見募集を開始 (2023.04.29) | Main | 英国 ドイツ チェコ EU ロシア諜報機関による悪質なサイバー活動を非難する声明 »
Comments