「CISSP」「SSCP」など、権威あるセキュリティ資格を運営する国際的なサイバーセキュリティ専門家の団体であるISC2は2025年12月16日、2025年度版の「サイバーセキュリティ人材調査」の記者説明会を開催した。
同調査はサイバーセキュリティ人材にどのような機会やリスクがあるかを明らかにするために、グローバルで1万6029人を対象に2025年7月から8月にかけて実施。うち、日本からは1225名が回答した。
ISC2のクレイトン・ジョーンズ氏は、「組織が直面するリスクは、人員不足からスキル不足に明確に移行した」ことが調査から明らかになったと述べた。サイバーセキュリティ分野の人手不足は改善に向かっているものの、AIに代表されるテクノロジーの進化への追従が追いつかず、必要なスキルとのギャップが生じているという。
調査によると、グローバルのサイバーセキュリティ専門家のうち59%が「重大または深刻なスキル不足を抱えている」と回答しており、これは2024年調査から15ポイント増加している。程度を問わず、何らかのスキル不足を抱えているとの回答は95%におよぶ。
このようなスキル不足は、システムの設定ミス、外部のサポートへの過度の依存、インシデントへの対応の遅れなどの形をとって組織に影響を与えているという。特に、最新テクノロジーを使いこなせないことがリスクになるとジョーンズ氏は指摘し、「(組織は)スキルが不足した人材、人材のトレーニングのリソースの不足、サイバーセキュリティ上の問題の見逃しという3分野に取り組む必要がある」と語った。
それでは、サイバーセキュリティ人材に求められるスキルとは何か。ジョーンズ氏によれば、それは「異常を見つけるスキルではない。AIが解釈した結果から、ソリューションを考えるという分析的なスキル」だという。ジョーンズ氏は、こうしたスキルを身につけるためには、企業におけるトレーニングが重要だとした。