セキュリティ専門企業の社内セキュリティ監視・運用人材確保戦略～採用者編～

深刻な人材不足が続くセキュリティ人材

現在多くの組織において「セキュリティ人材」の必要性が叫ばれるようになりました。しかし、いざ確保を試みた結果、なかなか思うようにいかず苦労している組織もあるのではないでしょうか。セキュリティ人材はその専門性の高さから雇用にかかるコストも高くなりがちです。また、セキュリティ人材から見ると、昨今は圧倒的な売り手市場です。そのため、企業としては「採用しても定着してもらえないのでは」という懸念もあるでしょう。セキュリティ人材確保の競争がより激化するであろうこの先、組織はどのように必要な人材を確保し、彼・彼女らを定着させることができるのでしょうか。本稿では、セキュリティ人材不足の中で人材確保・定着に取り組む、トレンドマイクロの社内セキュリティ部門における戦略を紹介します。

トレンドマイクロの社内セキュリティ部門も直面する人材確保の問題

「セキュリティ人材不足はセキュリティ専門企業である当社も例外ではありません」と当社のサイバーディフェンス＆インフラストラクチャサービス課課長の林は話します。

サイバーディフェンス＆インフラストラクチャサービス課は、以前まで「インフラストラクチャサービス課」として、主にインフラの運用管理をミッションとしていましたが、2021年以降はGlobal組織全体の方針の下、新たに「セキュリティ運用」が責務として追加となり、その名称もサイバーディフェンス＆インフラストラクチャサービス課として一新し、セキュリティロールを明確に担う社内セキュリティ部門となりました。その組織変更に前後して新規プロジェクトの立ち上げや、メンバーの退職が続いたため、急ぎの人員補充が必要になりました。

インタビューアー：セキュリティ部門としては、初めて採用活動をされたとのことでしたが感触はいかがでしたか？
林：最初は、全然採用が思うように進みませんでした。当初は当課の役割として、セキュリティとインフラの実務経験を兼ね備えた人を募集していました。しかし、その要件だと書類選考を通過する人がほとんどおらず、面接を打診できたとしても、給与の面で折り合いがつかず面接までたどり着けないなどの問題がありました。また、人事からも「この採用条件だと人材会社から紹介してもらうのは難しい」といわれたこともありました。

インタビューアー：やはりセキュリティ人材は希少性価値が高いのですね。「こういう人材が欲しい、でも、このままの要件では人材が集まらないという状態」苦しいですね・・・。
林：そうですね。ただ、このままだといつまでも採用が終わらない。そのため、私たちは採用方針を転換することにしました。

インフラエンジニア経験者を採用してセキュリティ人材に育て上げる

林：端的に言うと「セキュリティ人材を最初から採用すること」をやめました。
インタビューアー：それは、なかなか大胆な転換ですね。もう少し詳しくお伺いしてもよろしいでしょうか。

林：具体的に言いますと、セキュリティ人材を最初から採用するのではなく、その素養を持ったインフラエンジニアを採用し、その後セキュリティ人材に育て上げる（upskilling）という戦略です。

林：私自身、今は当課にて社内セキュリティ部門の課長をしていますが、もともとはネットワークエンジニアからこの業界に入りました。私個人としても過去の経験から、ネットワークの知識は企業インフラを支える基幹技術であるだけでなく、セキュリティにおいても必要不可欠なものであると感じていました。
インタビューアー：確かに、システムを導入するにしても、それを守るにしても、まずネットワークの知識が必要になりますよね。セキュリティのコンテキストでよく「知っていないと守れない」という言葉をよく聞きますが、まさにそれです。またセキュリティソリューションはネットワークベースのものが少なくありません。それを考えるとネットワークの経験は不可欠なのかもしれません。

林：それと、自社のネットワークのセキュリティを守るにあたり機器を自身で操作する必要があるのですが、ネットワーク機器はベンダごとに個性が強く専門的な知識が必要になります。この操作スキルは、一朝一夕で身に着けられるものではなく、それなりの実務経験が必要になります。これを入社後に一から習得してもらうのはコストも時間も厳しいところがあります。今回は、私がもともとネットワークエンジニアであったため、ネットワークに限定しましたが、これは他のインフラエンジニアでも同じことがいえるかと思います。

実際に当社が公開した求人票とは

さて、ここまで当社の社内セキュリティ部門における、人材採用戦略を説明させていただきました。ここからはそれを踏まえ、当社が実際に公開した求人票を見ていきましょう。

当社が公開していた求人票(一部抜粋、一部変更あり。既に上記内容では募集していません)
※クリックで拡大表示されます

インタビューアー：こちらが実際に公開された求人票の１つですね。
林：はい、こちらの求人は2023年に公開した求人票になります。当時、本社の移転プロジェクトが予定されていたことから、特にネットワーク周りの要件が多くなっています。ただし、求人の通り最終的には当社のセキュリティを担う人材になってもらうことを前提に求人を作成しています。
インタビューアー：なるほど、確かにサイバーディフェンス＆インフラストラクチャサービス課という部署名ではありますが、「セキュリティの経験必須」とはなっていないですね。
インタビューアー：ちなみに、歓迎要件に「CISSP、CEH等のセキュリティ関連資格」とありますが、これはどういう意図で記載されたのでしょうか。
林：これも実はポイントで、ネットワークエンジニアの中でセキュリティの素養がある方に来てほしいという思いから記載しました。よく「資格は実務において不要」なんて話もありますが、一方、資格を保持していれば少なくともその分野に興味を持っていることが読み取れます。前述の通り、当社では社内セキュリティ人材を育成するという考えを持っています。そのため、直接セキュリティには携わっていないけれども、興味を持っているという方にも是非、応募を検討してほしいという思いで記載しています。
林：こちらには記載していませんが、「社内セキュリティ人材を育成する」としている以上、当然採用された方にはセキュリティ人材となるための教育機会を用意しています。例えば、直近でいえば、SANS InstituteやEC-Councilが開催している外部研修に参加したメンバーがいました。また当社が社外向けに提供している研修の受講などもしています。研修を受ける中で、自身の知識やスキルの幅を増やして自信をもってもらう、そしてそれらを実務で活かすことで自身の成長を感じながらやりがいを持って取り組んでほしいという思いからです。そのため、部門の予算確保の際は、これら費用は必ず確保するよう努めています。

やりがい・成長を感じながら組織を支えるセキュリティ人材へ

インタビューアー：求人のご説明ありがとうございます。応募要件ではないですが、「セキュリティ会社のセキュリティを守ること」それすなわち、「トレンドマイクロの製品をお使いいただいているお客様の看板を守ること」という一言に感銘を受けました。
林：それはよかったです！これは、採用された方にはぜひ「やりがいを持って働いてほしい」との思いから記載しています。当社に限らず、社内セキュリティ部門は縁の下の力持ちといわれるような役割を持っているのではないでしょうか。私としては、そのような役割の部門こそ、個々のメンバーが「やりがいを感じてもらうことが重要」と考えています。具体的な取り組みとしては、前述の研修による知識・スキルの強化の他、自社製品の実利用者として、お客様の元に伺い経験に基づくアドバイスや事例紹介などを行ったり、ウェビナーで当社の取り組みを紹介するなど、メンバーが社外に出ていく機会を用意しています。
インタビューアー：縁の下の力持ちだからこそ「やりがいを持って働いてほしい」ということですね。昨今、セキュリティ人材は売り手市場であることから、その定着を懸念する声もあります。セキュリティ人材の獲得が激化するこの先、いかに「やりがいを感じてもらえる場を提供できるか」という点も大きなポイントになりそうですね。

さて、今回はトレンドマイクロの社内セキュリティ部門のセキュリティ人材確保戦略と、それらを踏まえた実際の求人を見ていきました。次回は、本求人に実際に応募した当社の社内セキュリティ人材にインタビューを行います。「セキュリティ人材の視点」から、昨今のセキュリティ人材不足の現状や、応募理由を見ていきます。