Executive Summary
     
    Remove Translation Translation
    Original Text

    Report Conclusions

    結論を報告する

    In early 2021, the Enterprise Strategy Group (ESG) and the Information Systems Security Association (ISSA) conducted the fifth annual research project focused on the lives and experiences of cybersecurity professionals. This year’s report is based on data from a global survey of 489 cybersecurity professionals.

    2021年初頭、エンタープライズ戦略グループ(ESG)と情報システムセキュリティ協会(ISSA)は、サイバーセキュリティの専門家の生活と経験に焦点を当てた第5回年次研究プロジェクトを実施しました。今年のレポートは、489 人のサイバーセキュリティ専門家を対象としたグローバル調査のデータに基づいています。

    The cybersecurity skills gap discussion has been going on for over 10 years, and the data gathered for this project confirms that there has been no significant progress toward a solution to this problem during the five years it has been closely researched. The skills crisis has impacted over half (57%) of organizations. The top ramifications of the skills shortage include an increasing workload (62%), unfilled open job requisitions (38%), and high burnout among staff (38%). Further, 95% of respondents state the cybersecurity skills shortage and its associated impacts have not improved over the past few years while 44% say it has only gotten worse.

    サイバーセキュリティスキルのギャップに関する議論は10年以上にわたって続いており、このプロジェクトで収集されたデータは、綿密に研究されてきた5年間にこの問題の解決に向けて大きな進展が見られなかったことを裏付けています。スキルの危機は、半数以上 (57%) の組織に影響を与えています。スキル不足の大きな影響としては、作業負荷の増加 (62%)、未充足の求人 (38%)、スタッフの高い燃え尽き (38%) などがあります。さらに、回答者の 95% は、サイバーセキュリティスキルの不足とそれに関連する影響は過去数年間で改善されていないと述べていますが、44% は悪化していると述べています。

    What’s needed to address the cybersecurity skills shortage? A holistic approach of continuous cybersecurity education (starting with public education) and comprehensive career development, mapping, and planning—all with support and integration with the business. This may seem like a big undertaking, but the research also points to one simple change organizations can make: Increase cybersecurity professional compensation. Indeed, 38% of respondents believe that the lack of competitive compensation is the biggest reason the cybersecurity skills shortage is impacting their organization. In summary, it is time for organizations to:

    サイバーセキュリティスキルの不足に対処するために必要なものは何ですか?継続的なサイバーセキュリティ教育(公教育から始まる)と包括的なキャリア開発、マッピング、プランニングの総合的なアプローチ。これらすべてをサポートし、ビジネスと統合します。これは大きな取り組みのように思えるかもしれませんが、この調査では、組織が行うことができる簡単な変更の1つも指摘しています。サイバーセキュリティの専門的な報酬を増やす。実際、回答者の 38% は、競争力のある報酬の不足が、サイバーセキュリティスキルの不足が組織に影響を与える最大の理由であると信じています。要約すると、組織が次のことをする時が来ました。

    Increase the business value placed on security, including the creation of a culture of security at all levels of the organization.

    組織のあらゆるレベルでのセキュリティ文化の構築など、セキュリティに関するビジネス価値を高めます。

    Offer cybersecurity career advancement opportunities and make a commitment to increased cybersecurity training across the organization.

    サイバーセキュリティのキャリアアップの機会を提供し、組織全体でサイバーセキュリティトレーニングを強化することを約束します。

    Include cybersecurity as part of executive planning and strategy (i.e., with executive management and the board of directors).

    経営計画と戦略の一環としてサイバーセキュリティを含める(経営幹部および取締役会など)。

    Based upon the data gathered as part of this project, the report additionally concludes:

    このプロジェクトの一環として収集されたデータに基づいて、レポートはさらに次のように結論付けています。

    Cybersecurity professionals depend upon hands-on experience, basic certifications, and networking. Information security professionals agree that standard certifications like a CISSP are a professional requirement. Beyond a few common certifications however, the ESG/ISSA data indicates that career progression is really tied to hands-on experience and taking advantage of professional networks. These are essential for beginning a cybersecurity career, skills development, and finding different job opportunities regardless of expertise or experience levels. Certifications should be used to supplement and not replace more practical education vehicles.

    サイバーセキュリティの専門家は、実践的な経験、基本的な認定、ネットワーキングに依存しています。情報セキュリティの専門家は、CISSP のような標準的な認定が専門的な要件であることに同意します。しかし、いくつかの一般的な認定資格以外にも、ESG/ISSAのデータは、キャリアの進歩が実践的な経験と専門的なネットワークを活用することと本当に結びついていることを示しています。これらは、サイバーセキュリティのキャリア、スキル開発、専門知識や経験レベルに関係なく、さまざまな雇用機会を見つけるために不可欠です。認定資格は、より実践的な教育車両を補完し、置き換えるために使用すべきではありません。

    Security career success and happiness depends upon strong collaboration. Cybersecurity professionals are happiest when they are asked to participate directly in all IT planning but grow frustrated when they are relegated to a technology administration role and forced to address security needs in later phases of projects. The same is true of the security team’s relationship with business management: They want to participate in business planning, but they are often shut out of meetings and not considered in the development of strategic plans. To improve the relationship between security and IT, survey respondents suggest including security participation in all IT projects from their onset, embedding security professionals within IT functional departments and increasing cybersecurity training for IT staff. To enhance the relationship between security and business management, cybersecurity professionals recommend encouraging cybersecurity participation in business planning, improving cyber-risk identification, and focusing cybersecurity resources on business-critical assets.

    セキュリティキャリアの成功と幸福度は、強力なコラボレーションにかかっています。サイバーセキュリティの専門家は、すべてのIT計画に直接参加するように求められたときに最も満足していますが、技術管理者の役割に追いやられ、プロジェクトの後半段階でセキュリティニーズに対処することを余儀なくされたときに不満を感じます。セキュリティチームとビジネスマネジメントの関係についても同じことが言えます。彼らはビジネスプランニングに参加したいが、会議から締め出され、戦略計画の策定には考慮されないことがよくあります。セキュリティとITの関係を改善するために、調査の回答者は、すべてのITプロジェクトに最初からセキュリティ参加し、IT機能部門にセキュリティ専門家を組み込み、ITスタッフのためのサイバーセキュリティトレーニングを増やすことを提案しています。セキュリティとビジネスマネジメントの関係を強化するために、サイバーセキュリティの専門家は、ビジネスプランニングへのサイバーセキュリティの参加、サイバーリスクの特定を改善し、ビジネスクリティカルな資産にサイバーセキュリティリソースを集中させることを推奨しています。

    The cybersecurity training paradox continues and needs attention. For the fifth straight year, the research reveals a cybersecurity training gap: 91% of respondents agree that cybersecurity professionals must keep up with cybersecurity skills or the organizations they work for are at a disadvantage against cyber-adversaries. Despite this need however, 59% of cybersecurity professionals agree that while they try to keep up with cybersecurity skills development, job requirements often get in the way. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note: This training gap is quietly increasing cyber-risks at your organization. To address this directly, CISOs must push the organization, ensuring that ample training time and resources are built into every member of the cybersecurity staff’s schedule on a continual basis.

    サイバーセキュリティトレーニングのパラドックスは継続しており、注意が必要です。5年連続で、この調査ではサイバーセキュリティトレーニングのギャップが明らかになりました。回答者の 91% は、サイバーセキュリティの専門家がサイバーセキュリティのスキルに追いついていかなければならない、または彼らが働いている組織がサイバー攻撃者に対して不利な立場にあることに同意しています。しかし、このニーズにもかかわらず、サイバーセキュリティの専門家の 59% は、サイバーセキュリティのスキル開発に追いつこうとする一方で、仕事の要件が邪魔になることが多いことに同意しています。ESGとISSAはこの状況をサイバーセキュリティトレーニングのパラドックスと呼んでいます。CISOは注記:このトレーニングギャップは、組織のサイバーリスクを静かに増加させています。これに直接対処するには、CISOは組織を強化し、十分なトレーニング時間とリソースをサイバーセキュリティスタッフのすべてのメンバーのスケジュールに継続的に組み込む必要があります。

    The cybersecurity skills shortage remains a perpetual problem with no solution in sight. This year, 57% of organizations claim they are impacted by the global cybersecurity skills shortage. While this is a slight improvement from years past, the situation doesn’t appear to be improving. In fact, 44% of survey respondents say that things have gotten worse over the past few years while 51% claim that the situation is about the same as a few years ago. Of those organizations impacted by the cybersecurity skills shortage, the biggest effects include increasing workloads on cybersecurity personnel, new jobs that remain open for weeks or months, high cybersecurity staff burnout and attrition, and an inability to learn or use security technologies to their full potential.

    サイバーセキュリティスキルの不足は、解決策が見えない永続的な問題のままです。今年、57% の組織が、グローバルなサイバーセキュリティスキルの不足の影響を受けていると回答しています。これは過去数年からのわずかな改善ですが、状況は改善していないようです。実際、調査回答者の 44% は、過去数年で状況が悪化していると言いますが、51% は状況が数年前とほぼ同じであると主張しています。サイバーセキュリティスキルの不足の影響を受ける組織のうち、最大の影響には、サイバーセキュリティ担当者のワークロードの増加、数週間または数か月間オープンな新しい雇用、サイバーセキュリティスタッフの燃え尽きと人員減り、セキュリティテクノロジをフルに学習または使用できないことが挙げられます。潜在的な。

    Many organizations are making basic mistakes in hiring and recruiting cybersecurity professionals. More than three-quarters (76%) of respondents say it is extremely or somewhat difficult to recruit and hire security professionals. This is certainly related to supply and demand in the cybersecurity professional market, but survey respondents pointed to some organizational causes as well: 38% said their organization doesn’t offer competitive compensation, 29% said their HR department doesn’t understand the skills needed for cybersecurity, and 25% said that job postings at their organization tended to be unrealistic. Alarmingly, 59% of respondents said their organization could be doing more to address the cybersecurity skills shortage.

    多くの組織は、サイバーセキュリティの専門家の雇用と採用において基本的な間違いを犯しています。回答者の4分の3 (76%) 以上が、セキュリティ専門家の採用や雇用は極めてまたはやや難しいと回答しています。これは確かにサイバーセキュリティの専門市場における需要と供給に関連していますが、調査回答者は組織にもいくつかの原因を指摘しました。38%は組織が競争的な報酬を提供していないと回答し、29%は人事部門がサイバーセキュリティに必要なスキルを理解していないと答えました。25%は、組織での求人情報が非現実的になる傾向があると述べています。驚いたことに、回答者の 59% は、組織がサイバーセキュリティスキルの不足に対処するためにより多くのことをできると答えています。

    Specific cybersecurity experience and skills are in high demand. When asked which types of cybersecurity talent were most difficult to hire, 41% said mid-career professionals (i.e., 4-7 years of experience), and 30% said senior career professionals (i.e., 7+ years of experience). Interestingly, organizations have less trouble finding cybersecurity leaders, probably because they only need a few. Survey respondents were also asked which skill set areas were in the shortest supply. The top three were cloud computing security, security analysis and investigations, and application security.

    特定のサイバーセキュリティ経験とスキルが求められています。どのタイプのサイバーセキュリティ人材が最も雇用が難しいか尋ねられたとき、41% が中途採用専門家(例:4〜7年)、30%がシニアキャリアプロフェッショナル(つまり7年以上の経験)と答えました。興味深いことに、組織はサイバーセキュリティリーダーを見つけるのに苦労が少なくなっています。おそらく必要なのはごくわずかだからです。調査の回答者には、どのスキルセット分野が最短供給か尋ねられました。上位 3 つは、クラウドコンピューティングセキュリティ、セキュリティ分析と調査、およびアプリケーションセキュリティでした。

    Cybersecurity job solicitation is frequent and increasing. Seventy percent of cybersecurity professionals are solicited by recruiters to consider another job at least once per month. This “seller’s market” is only gaining momentum: 71% of survey respondents claim that the pace of recruitment solicitation has increased over the past few years.

    サイバーセキュリティの求人の勧誘は頻繁に行われ、増加しています。サイバーセキュリティの専門家の 70% は、少なくとも月に一度は別の仕事を検討するようリクルーターから勧誘されています。この「売り手市場」は勢いを増しているに過ぎない。調査回答者の71%が、ここ数年で採用勧誘のペースが上がったと主張している。

    Cybersecurity professionals have recommendations for addressing the skills shortage. Respondents were asked what their organizations could do to address the impact of the cybersecurity skills shortage. Their top suggestions were to increase the organization’s commitment to cybersecurity training, increase compensation levels to make them more competitive, and provide extra incentives like paying for certifications or participation in industry events.

    サイバーセキュリティの専門家は、スキル不足に対処するための推奨事項を持っています。回答者には、サイバーセキュリティのスキル不足の影響に対処するために組織に何ができるのか尋ねられました。彼らの提案は、サイバーセキュリティトレーニングに対する組織の取り組みを高め、報酬レベルを上げて競争力を高め、認定資格の支払いや業界イベントへの参加などの追加のインセンティブを提供することでした。