高等教育とサイバーセキュリティ

当社のリサーチャーは、大学や高等専門学校などの高等教育で得た情報セキュリティ分野の知識が、実際にキャリアで役に立つのかについて調査を実施しました。

常に進化し、増加し続けるサイバー脅威に対抗し続けなくてはならないサイバーセキュリティ業界は、長い間、資格と経験を持つ専門家不足に直面しています。多くの企業は、情報セキュリティの専門家を募集しますが、専門の学校教育を受けている上、必要な経験を積んでいる理想の人材が見つからず、採用には至らないことがよくあります。この分野の教育を正式な学校機関で受けた人材の確保が、企業にとってどれほど重要か、また、そのような教育が最新のニーズにどれほど合致しているかを理解するために、当社のリサーチャーは、29の国や地域の従業員1,000人以上を対象にインタビューを実施し調査を行いました。職務経験2年の初心者から、10年以上の経験を持つCIOやSOCマネージャーまで、回答者の経験値は多岐にわたります。

まず第一に、この調査で明らかになったのは、すべての専門家が高等教育を受けているわけではないということです。たとえば、半数以上(53%)の情報セキュリティ従事者は、大学院での教育を受けていません。また、高等教育を受けている専門家の2人に1人は、この分野の学校教育が実際日常の仕事に役立っているのかを疑問視しています。

さらに今回の調査結果から、学校教育は、情報セキュリティの最新の動向に追いついていない傾向がみられます。サイバーセキュリティは、急速に変化する業界です。そのため、2~3か月の遅れが致命的となることがあります。一方、学位の取得には4~5年かかることもあり、その間攻撃者は、サイバー攻撃の戦術や手法をさらに進化させることができます。そのため、新卒の情報セキュリティの専門家は、実際の攻撃に遭遇した場合、脅威や防御方法に関するすべての最新記事にすぐに目を通し、学び続ける姿勢が求められています。

経験豊富な情報セキュリティの専門家は、教育機関では実践的な知識を十分に学べない上、最新の技術やツールに触れる機会もないと主張しています。したがって、情報セキュリティの分野で仕事をし、最新のサイバー脅威と戦うためには、いずれにせよ何らかの追加の教育が必要なのです。

もちろんこれは、高等教育を受けたサイバーセキュリティ担当者が、そうでない同僚よりも能力が劣るということを意味するものではありません。結局のところ、専門的な能力開発に最も重要なのは、セキュリティに対する熱意と、絶え間なくスキルアップを続ける努力です。回答者の多くは、従来の教育機関で実践的な知識よりも、理論的な知識を多く学んだと述べています。そして彼らは、確固たる理論的な土台がなければ、新しい知識を吸収するのに時間がかかるため、学校教育は依然として役に立つと感じています。一方、大学院での教育を一切受けていない専門家や、他のIT業界から情報セキュリティの世界に入った専門家も、サイバー脅威に対抗する分野において、有能な専門家に成長しています。本当に人それぞれです。

人材不足を解消するには

十分な数の優秀な情報セキュリティ専門家を確保し、定着させるためには、この状況を企業と教育機関が協力して改善していく必要があります。第一に考えられるのは、大学がサイバーセキュリティ企業との提携を検討することです。これにより、日常業務により適した知識を学生に提供することができます。そして第二に、企業が専門のコースの支援を受けて、従業員の専門知識を定期的に向上させるというのも良い考えです。

情報セキュリティ教育の問題に関する詳細は、レポートの第1章「Educational background of current cybersecurity experts」のWebページをご覧ください。

ヒント