小規模企業でサイバーセキュリティの専門家を採用する方法

企業のIT運用が拡大するにつれて、サイバー攻撃からビジネスを保護するために、チームにサイバーセキュリティの専門家を配置することが重要になります。サイバーセキュリティの専門家は、セキュリティの脅威をモニタリング、検知、調査、対応することにより、組織の情報システムを保護する上で重要な役割を果たします。では、優秀なサイバーセキュリティの人材を自社に迎え入れるにはどうすればよいのでしょうか？

ここでは、考慮すべき重要な事項をいくつか紹介します。

自社にとって最適な採用方法を決定する

サイバーセキュリティの専門家を自社に迎え入れる方法を決定しましょう。通常は、社内の人材を採用するか、サードパーティベンダーにアウトソーシングするかのいずれかです。それぞれのアプローチに長所と短所があるため、考慮すべき要因を見ていきましょう。

社内のセキュリティ人材を採用する

社内の人材を採用して自社のサイバーセキュリティチームを構築することは、大きな成果をもたらす可能性があります。採用には多くの時間と労力が必要であり、当然ながら、このアプローチは長期的な投資となります。

考慮事項：

• セキュリティ運用のあらゆる側面を自社で制御し、形成できます。
• 事業の運営に対する理解が深まり、自社のプログラムを強力なビジネスイネーブラーにすることができます。
• インシデントが発生した場合に、直ちに対応作業を開始できます。
• 社内のITチームを揃えるためのコストが高くなる可能性があります。
• 人材市場の競争が激しいため、経験豊富なサイバーセキュリティ実務担当者を採用して定着させることがより難しくなる可能性があります。
• 社内チームは、勤務時間外や週末に発生するセキュリティ問題への対応も含め、IT運用のすべてのフェーズを管理し、優先順位を付ける必要が生じます。

セキュリティをベンダーにアウトソーシングする

セキュリティニーズをアウトソーシングすることには、多くの利点があります。実際、「2022 ISC(2) Cybersecurity Workforce Study」では、組織の48%がセキュリティサービスのアウトソーシングを選択していることが判明し、2024年の調査では、経済的圧力やAIの台頭が労働力の成長鈍化とスキルギャップの拡大を招いていることが強調されています。

考慮事項：

• 人材の採用やセキュリティツールの取得と管理にかかる費用を節約できるため、財務効率が向上します。
• 年々変化するニーズや会社の成長に合わせてスケールアップすることが容易です。
• 組織を守るための経験とノウハウを備えたセキュリティ専門家のチームを即座に得ることができます。
• 市場への早期参入が可能になり、社内チームを採用する際の時間、コスト、人員配置に関する障壁を回避できます。
• アウトソーシングでは、その性質上、ある程度のコントロールをベンダーに引き渡すことになります。

アウトソーシングを選択する場合でも、社内チームを構築する場合でも、優れたサイバーセキュリティ人材を採用するための次のステップは、どのような人材を探すべきかを正確に把握することです。

必要なサイバーセキュリティの役割を把握する

サイバーセキュリティの専門家は、通常はジェネラリストとしてスタートし、その分野での経験を積む中で特定の領域に特化していきます。候補者の検索を始めるにあたり、自社がどの分野で最もサイバーセキュリティの支援を必要としているのかを検討する必要があります。

1. クラウドセキュリティ
2. データ損失防止
3. アプリケーションのセキュリティ
4. インシデント対応とフォレンジック分析
5. ネットワークセキュリティ
6. エンドポイント保護
7. 脅威インテリジェンス
8. 脆弱性管理
9. ペネトレーションテスト
10. IoT（モノのインターネット）セキュリティ
11. 重要インフラストラクチャセキュリティ
12. セキュアなDevOps

必要なサイバーセキュリティ専門家のタイプを明確に把握しておくと、自社を守るための適切な候補者を引き付けられるよう、検索の焦点を絞ることができます。

サイバーセキュリティ向けに職務記述書を調整する

職務記述書には、具体的な業務の種類、必要なスキル、およびIT運用全体におけるそのセキュリティ職務の目的を記載する必要があります。必須スキルと望ましいスキルを区別することで、候補者は自分が適任かどうかを判断しやすくなり、一部の候補者が応募をためらってしまう事態を防ぐ効果も期待できます。人材市場は競争が激しい可能性があることを念頭に置きましょう。求人広告で自社の企業文化や魅力について積極的にアピールすることをためらわないでください。

すべての候補者がサイバーセキュリティのバックグラウンドを持っているわけではありませんが、それでも問題ありません。最初の検索で思うような応募人数がない場合は、可能な範囲で必須スキルの一部を一般化することを検討してください。そうすることで、より幅広い人材層にとって応募しやすい職務記述書になります。

サイバーセキュリティ人材を定着させる

「2024 (ISC)2 Cybersecurity Workforce Study」によると、世界中の組織を効果的に保護するためには480万人の専門家が必要であるとされています。これほど多くの機会が存在する市場では、貴社の候補者は間違いなく複数の企業で面接を受けることになるでしょう。自社を差別化し、優秀な人材を引き付けるために、サイバーセキュリティの求職者にとって特に重要とされる要素は以下のとおりです。

• キャリアの成長。職務上の成長機会は、サイバーセキュリティの候補者にとって重要な要素です。実際、セキュリティ専門家の30%が転職するのは、成長の余地がないと感じたときです。面接の際には、候補者の3～5年のキャリアパスがどのようになるかを必ず強調してください。

• チーム文化。ITはチームスポーツのようなものなので、協力的で支援的なチーム環境を育成することが重要です。前向きな文化は、サイバーセキュリティの人材を引き付け、定着させる上で大いに役立ちます。

• 柔軟な勤務体制。サイバーセキュリティは要求の厳しい仕事であり、燃え尽き症候群につながることも少なくありません。この分野の要求の高さとのバランスを取るために、組織はリモートワークの機会を提供することで、高い職務満足度を維持しやすくなります。リモートワークが認められなくなったら転職を検討するというセキュリティ専門家は半数以上にのぼります。柔軟な働き方を可能にすることこそが、候補者が競合他社のオファーではなく貴社を選ぶ決め手になるでしょう。

忘れてはならないのは、採用だけでは目的の半分しか達成できません。ビジネスの保護に必要な優秀なサイバーセキュリティ人材を維持すること、そのために、必ず、職場の文化、企業の価値観、労働環境を最優先に考えるようにしてください。ビジネスが小規模であっても、チームの持つ影響力は甚大である可能性があります。

CrowdStrike Falcon® Complete Next-Gen MDRの詳細

クラウドストライクのマネージドサイバーセキュリティであるCrowdStrike Falcon® Completeを利用すれば、業界最強の侵害防御保証に裏付けられた確実な保護を行うべく、貴社を守ることに専念するセキュリティ専門家チームを得ることができます。小規模企業であっても強力な保護を受ける価値があるからです。

専門家に相談