「セキュリティ人材を採用したいが、市場に人がいない」
この悩みを持つ経営者・人事担当者は多い。しかしこの問いを立てる前に、一つ確認すべきことがあります。
自社はセキュリティ人材に対して、正しく評価しているか。資格の更新費用を出しているか。専任として役割を与えているか。
IPA情報セキュリティ白書2025によると、2024年12月のセキュリティ人材の転職求人倍率は54倍に達し、IT業界における順位が1位となっています。しかしこの数字を「市場に人がいない」という外部環境の問題として読むだけでは、問いの立て方が間違っています。
なぜセキュリティ人材が市場に育たなかったのか。その原因の一部は、経営がセキュリティを長年「コスト」として扱い、評価・待遇・専任化を後回しにしてきた結果です。採用に困っている経営者は、業界全体の経営判断の積み重ねを受け取っています。
本記事では、セキュリティ人材不足の実態を整理した上で、「採用できない」という問いを立て直し、今から動かせる設計の変数を解説します。
この記事でわかること
- セキュリティ人材不足の実態(白書データ・転職求人倍率54倍・16.9万人不足)
- なぜ市場に人材が育たなかったのか(経営の意思決定の構造)
- 「採用できない」という問いを立て直す方法
- 専任を置く前に必要な2つの設計
- 逆張りのチャンス(設計が整った組織が優秀な人材を獲得できる理由)
セキュリティ人材不足の現状|数字が示す実態
IPA情報セキュリティ白書2025は、セキュリティ人材不足の実態を複数のデータで示しています。
転職求人倍率54倍: 2024年12月時点でセキュリティ人材の転職求人倍率は54倍に達し、IT業界における順位が1位となっています。求職者1人に対して54の求人が存在するという意味です。
追加で必要な専門家16万9,603人: ISC2の調査によると、日本のサイバーセキュリティ人材の不足は過去最大に達しており、追加で16万9,603人の専門家が必要とされています。
中小企業の専門部署あり9.3%: 同白書によると、中小企業でセキュリティの「専門部署または担当者がある」企業はわずか9.3%にとどまっており、「組織的には行っていない(各自の対応)」企業が69.7%と大幅に増加しています。
この数字を並べると「採用が必要だ」という結論に飛びたくなります。しかしその前に立てるべき問いがあります。
セキュリティ人材不足が生まれた構造|経営の意思決定の積み重ね
なぜ市場にセキュリティ人材が育たなかったのか。外部環境の問題として語られることが多いですが、経営の意思決定の積み重ねという内部の問題でもあります。
経営がセキュリティを「コスト」として扱ってきた
評価制度にセキュリティ行動を組み込まない。資格の更新費用を個人負担にする。専任を置かず兼務で対応させる。この判断が積み重なると、セキュリティ担当者は「やりがいのない兼務・評価されない・費用も出ない」という環境に置かれます。
優秀な人材がセキュリティ職を選ばなくなった
キャリアを考える優秀な人材は、評価されない職種を選びません。セキュリティの重要性は理解していても「その会社でセキュリティをやっても評価されない」という判断から、他のキャリアパスを選ぶ。結果として市場全体でセキュリティ人材が育たない構造が生まれました。
採用に困っている経営者は結果を受け取っている
今「採用できない」と嘆いている経営者は、自社だけでなく業界全体の経営判断の積み重ねが生んだ市場の状態を受け取っています。この構造を理解せずに「採用できない→外部委託する」という判断に飛ぶと、同じ問題が繰り返されます。
セキュリティ人材不足の問いを立て直す|外部環境から内部設計へ
「採用できない」という問いを市場の問題として見ると、選択肢は外部委託しかなくなります。しかし内部設計の問題として見ると、動かせる変数が見えてきます。
動かせる変数①:評価制度 セキュリティ行動を評価制度に組み込んでいるか。担当者が「セキュリティをやることで評価が上がる」という経験を積める環境にあるか。
動かせる変数②:費用負担の方針 資格の更新費用・セキュリティ研修費用を組織として負担する方針があるか。個人稟議に任せている状態では、担当者はコストと評価の両方の壁にぶつかります。
動かせる変数③:専任化の設計 兼務ではなく専任として役割を与えているか。ただし専任を置けば解決するわけではありません。次のセクションで整理します。
セキュリティ専任を置く前に必要な2つの設計
専任を置いても、役割が会社の事業・組織体制と接続されていなければ、ハレーションを生むだけの存在になります。
設計①:何の機能を内製化するか(役割設計)
セキュリティ担当者の社内育成でも整理していますが、セキュリティ担当者に何を担わせるかが先に決まっていなければ、採用しても「何をすれば良いか分からない」状態になります。
情報漏洩リスクへの対応なのか・システム停止時のインシデント対応なのか・★制度への対応窓口なのか。役割が決まれば、求める人材像とスキルが自然に決まります。
設計②:その役割が事業と接続しているか(位置づけ設計)
専任のセキュリティ担当者が組織の中で機能するためには、その役割が事業上の価値として定義されている必要があります。
「この人がいることで取れる案件がある」「★3取得の窓口を担う」「取引先へのセキュリティ説明責任を担う」という形で、事業との接続が見えるか。これが定義できない専任は、営業・開発・管理部門から「業務の邪魔をする存在」として見られるリスクがあります。
セキュリティ対策を何から始めるかでも整理していますが、セキュリティの役割設計は「何を守るか」という問いから始まります。その問いへの答えが、専任に与えるべき役割を決めます。
セキュリティ人材不足が生む逆張りのチャンス
ここまで整理した構造には、逆の読み方があります。
多くの組織がセキュリティ人材を軽んじてきた結果、「正しく評価され・資格費用が出て・専任として役割を与えられる」という当たり前の環境が、市場における差別化になっています。
転職求人倍率54倍の市場で高騰している年収を払わなくても、環境の質で惹きつけられる可能性があります。セキュリティ担当者として優秀だが「評価されない・費用も出ない・兼務で消耗している」という状態で転職を考えている人材が市場に存在しているはずです。
その人材にとって「評価制度に組み込まれている・資格費用を会社が出す・専任として役割を与えられる」という環境は、年収より魅力的な条件になり得ます。ただしこの逆張りが機能するのは、2つの設計が整った後の話です。設計なしに「正しく評価します」と言っても、採用できた後に何をすれば良いか分からない状態になります。
まとめ|セキュリティ人材不足は設計の問題として捉え直す
セキュリティ人材不足という外部環境の問題を「市場に人がいない」として諦めるか、「自社の設計を変えることで逆張りのチャンスになる」として捉えるかで、次の打ち手が変わります。
転職求人倍率54倍・追加16.9万人不足という数字が示しているのは、採用競争の激しさだけではありません。多くの組織がセキュリティを軽んじてきた構造の結果であり、その構造を変えた組織が優位に立てるという示唆でもあります。
確認してみる価値があることがあります。「自社のセキュリティ担当者は、評価制度に組み込まれ・資格費用が出て・専任として役割が定義されていますか。その役割は事業の売上や組織体制と接続されていますか。」
この問いに答えられる状態にあるかどうかが、人材不足という外部環境を自社の設計問題として捉え直せているかどうかの判断材料になるかもしれません。
コメント