Research Findings
     
    Remove Translation Translation
    Original Text

    The Basic Facts

    基本的な事実

    As in past years, ESG and ISSA got some baseline information regarding cybersecurity professionals’ careers. For example:

    過去数年と同様に、ESGとISSAは、サイバーセキュリティの専門家のキャリアに関する基本情報を入手しました。たとえば、次のようになります。

    79% of cybersecurity professionals started their careers working in IT.

    サイバーセキュリティの専門家の 79% が IT 分野でキャリアをスタートしました。

    When asked which skills were most helpful in the move from IT to cybersecurity, the top responses were IT operations knowledge and skills (61%), analytics skills (53%), hands-on technology knowledge and skills (48%), and business skills (as they relate to IT technologies and processes) (42%).

    ITからサイバーセキュリティへの移行に最も役立ったスキルはどのスキルかと尋ねられたところ、IT運用の知識とスキル(61%)、分析スキル(53%)、実践的なテクノロジーの知識とスキル(48%)、ビジネススキル(ITテクノロジーとプロセスに関連するもの)(42%)が回答されました。

    When asked the reasons for becoming a cybersecurity professional, the top responses were the chance to use skills and curiosity to address technical challenges (43%), the opportunity to develop technical skills and knowledge (40%), it being a natural career move from IT (34%), and attraction to the morality of the profession (29%).

    サイバーセキュリティの専門家になる理由を尋ねられたとき、上位の回答は、スキルと好奇心を使って技術的な課題に取り組むチャンス(43%)、技術的なスキルと知識を伸ばす機会(40%)、ITからの自然なキャリア転向(34%)、および道徳への魅力でした。職業 (29%)。

    28% of survey respondents say that either they or other cybersecurity professionals they know have experienced significant personal issues because of stress associated with the cybersecurity profession (i.e., drug abuse, alcohol abuse, depression, etc.).

    調査回答者の 28% は、サイバーセキュリティ専門職(薬物乱用、アルコール乱用、うつ病など)に関連するストレス(例:薬物乱用、アルコール乱用、うつ病など)のために、自分または彼らが知っている他のサイバーセキュリティの専門家のいずれかが、重大な個人的な問題を経験していると言っています。

    50% of cybersecurity professionals surveyed say that job stress levels increased this past year as a result of remote worker support due to the COVID-19 pandemic. To help alleviate stresses caused by the pandemic, 36% of organizations instituted more CISO “check-ins” with staff, 32% created online social meetings for the cybersecurity team, and 24% added formal stress management programs driven by HR.

    調査対象となったサイバーセキュリティの専門家の 50% は、COVID-19パンデミックによるリモートワーカーのサポートの結果、仕事のストレスレベルが今年増加したと述べています。パンデミックによって引き起こされるストレスを軽減するために、組織の 36% がスタッフとより多くのCISOの「チェックイン」を制定し、32% がサイバーセキュリティチームのためのオンラインソーシャルミーティングを作成し、24% が人事によって推進される正式なストレス管理プログラムを追加しました。

    Survey respondents were also asked whether their organization employed a CISO. Those that did were asked several other related questions. On this topic, the research revealed:

    調査の回答者には、組織がCISOを採用しているかどうかも尋ねられました。そのような質問は、他のいくつかの関連する質問をしました。このトピックについて、この調査では次のことが明らかになりました。

    73% of survey respondents say that their organization employs a CISO while 5% say their organization employs a virtual CISO (vCISO).

    調査回答者の 73% は、組織がCISOを採用していると言い、5% は組織が仮想CISO (vcISO) を採用していると言っています。

    Of those organizations that employ a CISO, 43% say that the CISO reports to the CIO, 29% say the CISO reports to the CEO, 9% say COO, 9% say “other,” and 10% don’t know.

    CISOを採用している組織のうち、43%がCISOがCIOに報告すると答え、29%がCISOがCEOに報告すると答え、9%がCOOに、9%が「その他」、10%が知らないと回答している。

    61% of respondents say their CISO is an active participant with executive management and the board of directors (or similar oversight group), 14% say their CISO is not an active participant with executive management and the board of directors (or similar oversight group), and 24% don’t know. 51% think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, 23% do not think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, and 26% don’t know.

    回答者の 61% は、CISOが経営管理および取締役会(または同様の監督グループ)に積極的に参加していると言い、14% は彼らのCISOが経営管理および取締役会(または同様の監督グループ)に積極的に参加していないと答え、24% は知らない。51%は自分たちのことを考えている。組織のCISOの経営幹部および取締役会への参加レベルは適切であり、23% は組織のCISOの経営管理および取締役会への参加のレベルが適切であるとは考えていない、26% は知らない。

    43% believe their CISO has been very effective, 49% believe their CISO has been somewhat effective, 6% say their CISO hasn’t been very effective, and 2% claim their CISO has not been effective at all.

    43%がCISOが非常に効果的であると信じ、49%がCISOが多少効果的であると信じ、6%がCISOがあまり効果的ではないと答え、2%がCISOが全く効果的でないと主張しています。

    When asked to identify the most important qualities of a successful CISO, 39% said leadership skills while 30% said operational skills. The remaining 31% included business skills, technical skills, management skills, communications skills, and other.

    成功したCISOの最も重要な資質を特定するように求められたとき、39%がリーダーシップスキルと答え、30%が運用スキルと答えました。残りの 31% には、ビジネススキル、技術スキル、マネジメントスキル、コミュニケーションスキルなどが含まれていました。

    Survey respondents were asked which factors are likeliest to cause CISOs to leave one organization for another. The most popular answers were: CISOs are offered a higher compensation package at another organization (33%), the organization doesn’t have a culture that emphasizes cybersecurity (31%), and cybersecurity budgets are not commensurate with the organization’s size and industry (29%).

    調査の回答者には、CISOが組織を離れる可能性が最も高い要因はどれかを尋ねられました。最も一般的な回答は、CISOは別の組織でより高い報酬パッケージが提供されている(33%)、組織はサイバーセキュリティを重視する文化を持たない(31%)、サイバーセキュリティ予算は組織の規模と業種に見合っていない(29%)でした。

    Getting a Cybersecurity Job

    サイバーセキュリティ関連の仕事に就く

    For the first time, ESG and ISSA asked cybersecurity professionals how they found their current job (see Figure 1). The highest percentage (38%) say that they found their job by networking with industry contacts while 24% were contacted by an industry recruiter and 22% responded to a job posting at their company (see Figure 1). Not surprisingly, there is a slight correlation between methods used for finding a job and seniority. Senior cybersecurity professionals are more likely to find their jobs through industry contacts and recruiters while those with less experience are more likely to use job postings. This information should help guide CISOs and HR professionals as they compete to fill job requisitions.

    ESGとISSAは初めて、サイバーセキュリティの専門家に、現在の職種をどのように見つけたかを尋ねました (図 1 参照)。最も高いパーセンテージ (38%) は、業界の連絡先とのネットワーキングで仕事を見つけたと答え、24% は業界のリクルーターから連絡を受け、22% は自社の求人に応じた (図1参照)。驚くことではないが、仕事を見つける方法と年功序列の間にはわずかな相関関係がある。サイバーセキュリティのシニアプロフェッショナルは、業界の連絡先やリクルーターを通じて仕事を見つける可能性が高く、経験の少ない人は求人情報を使用する可能性が高くなります。この情報は、CISOと人事担当者が求職要求を満たすために競争する際の指針となるはずです。

    Figure 1. How Cybersecurity Professionals Found Their Current Jobs
    Figure 1. How Cybersecurity Professionals Found Their Current Jobs

    Despite the ongoing cybersecurity skills shortage, skilled candidates often complain that it can be very difficult to begin a cybersecurity career. When meeting entry-level candidates, ESG analysts and ISSA members are often asked for advice in this area. In 2021, ESG and ISSA addressed this issue directly by including a new survey question asking survey respondents for their recommendations for those seeking to enter the cybersecurity field. Nearly half (49%) of respondents suggested getting a basic cybersecurity certification, 42% proposed joining a professional industry organization, and 36% recommended finding a mentor who is willing to help develop skills and career plan (see Figure 2). This guidance will hopefully help entry-level candidates jumpstart their careers.

    サイバーセキュリティのスキルが不足しているにもかかわらず、熟練した候補者は、サイバーセキュリティのキャリアを始めるのは非常に難しいと不満を言うことがよくあります。エントリーレベルの候補者と会うとき、ESGアナリストとISSAメンバーは、この分野についてアドバイスを求められることがよくあります。2021年、ESGとISSAは、サイバーセキュリティ分野への参入を目指す人々への提言を調査回答者に尋ねる新しい調査質問を含めることで、この問題に直接対処しました。回答者のほぼ半数 (49%) が基本的なサイバーセキュリティ認定の取得を提案、42% が専門的な業界組織への加入を提案、36% がスキルとキャリアプランの開発を支援するメンターを見つけることを推奨しています (図2参照)。このガイダンスは、エントリーレベルの候補者がキャリアをスタートさせるのに役立つことを願っています。

    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity
    Figure 2. Advice for Individuals Who Want to Get into Cybersecurity

    Cybersecurity Careers Depend upon Hands-on Experience and Some Certifications

    サイバーセキュリティのキャリアは、実践的な経験と一部の認定に依存しています

    Cybersecurity is highlighted by a plethora of esoteric technical certifications, so ESG and ISSA have continually asked survey respondents to tell us which certifications they’ve achieved, and which are most important. As in past years, survey respondents were asked to write in the answer to this question, and the top responses are listed in Figure 3. Of those certifications achieved, the most useful ones for getting a job are graphed in Figure 4 . In both graphics, the certified information systems security professional (CISSP) from (ISC)2 stands out—it’s the most popular certification and the one that’s most important for getting a cybersecurity job. Other certifications may be important tactically but should be viewed as vehicles for career advancement (in some cases) or to help cybersecurity professionals gain general knowledge in a cybersecurity subdiscipline (for example, certified ethical hacker).

    サイバーセキュリティは、多数の難解な技術認定によって強調されています。そのため、ESGとISSAは、調査の回答者に、達成した認定と最も重要な認定を教えてもらうよう継続的に求めています。過去数年と同様に、アンケートの回答者はこの質問に対する回答を書くよう求められ、上位回答は図3に示されています。達成された認定の中で、就職に最も役立つ認定を図 4 にグラフ化しました。どちらの図でも、(ISC) 2 の認定情報システムセキュリティプロフェッショナル (CISSP) が際立っています。これは最も人気のある認定であり、サイバーセキュリティの仕事を得るために最も重要な認定です。他の認定は戦術的には重要ですが、キャリアアップのための手助けとして(場合によっては)見たり、サイバーセキュリティの専門家がサイバーセキュリティの専門分野で一般的な知識を得るのを助けるために見なすべきです(認定された倫理的ハッカーなど)。

    Cybersecurity professionals pursue a CISSP certification after accruing the requisite number of years of experience as this certification is a requirement for most available jobs. Beyond the CISSP, however, survey respondents take a more tactical approach to additional certifications based upon their skills, interests, and career plans. ESG and ISSA believe this is the right approach for certifications and career development. Rather than fill their resumes with acronyms, cybersecurity professionals should focus on hands-on training, mentoring, and professional networking as primary means for skills development. Rather, certifications should supplement these activities.

    サイバーセキュリティの専門家は、この認定がほとんどの利用可能なジョブの要件であるため、必要な年数の経験を積んだ後、CISSP認定を追求します。しかし、CISSPを超えて、調査回答者は、自分のスキル、興味、およびキャリアプランに基づいて、追加の認定に、より戦術的なアプローチを取ります。ESGとISSAは、これが認定資格とキャリア開発のための正しいアプローチだと考えています。サイバーセキュリティの専門家は、履歴書を頭字語で埋めるのではなく、スキル開発の主要な手段として、実践的なトレーニング、メンタリング、プロフェッショナルネットワーキングに焦点を当てるべきです。むしろ、認定はこれらの活動を補うべきです。

    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 3. Top Five Cybersecurity Certifications Achieved
    Figure 4. Top Five Most Important Certification Necessary to Get a Job
    Figure 4. Top Five Most Important Certification Necessary to Get a Job

    ESG and ISSA have long held the belief that hands-on experience is the most important factor in cybersecurity career development, but this assumption was based on anecdotal data. In 2021, ESG and ISSA tested the hypothesis in the survey.

    ESGとISSAは、サイバーセキュリティのキャリア開発において、実践的な経験が最も重要な要素であると長い間信じてきましたが、この仮定は逸話的なデータに基づいていました。2021年、ESGとISSAが調査で仮説を検定した。

    The data supports this long-held belief again. Only 1% of respondents believe security certifications are more important than hands-on experience. Alternatively, 52% believe that hands-on experience is more important than certifications while 46% place equal value on hands-on experience and certification achievement (see Figure 5). Based on the research, ESG and ISSA believe that those who believe that hands-on experience and achieving security certifications are equally important have the CISSP certification in mind, as this is considered a foundational requirement for a cybersecurity career.

    このデータは、この長年の信念を再び支持しています。セキュリティ認定は実践的な経験よりも重要だと考えている回答者はわずか 1% です。あるいは、52% は実地経験が認定よりも重要であると信じていますが、46% は実地経験と認定の達成に同等の価値を置いています (図 5 参照)。この調査に基づいて、ESGとISSAは、実践的な経験とセキュリティ認証の達成が等しく重要であると考える人は、CISSP認証を念頭に置いていると考えています。これは、サイバーセキュリティキャリアの基本的な要件と見なされるためです。

    Based upon this data, aspiring and advancing cybersecurity professionals should take a balanced approach to skills development. As previously stated, hands-on experience should be supplemented with the appropriate security certifications on an as-needed basis.

    このデータに基づいて、意欲的で進歩的なサイバーセキュリティの専門家は、スキル開発にバランスのとれたアプローチを取る必要があります。前述のとおり、実践的な経験は、必要に応じて適切なセキュリティ認定で補足されるべきです。

    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development
    Figure 5. Hands-on Experience versus Cybersecurity Certifications for Skills Development

    Cybersecurity Professionals: A 360 Degree View

    サイバーセキュリティプロフェッショナル:360 度の視点

    What are the most important factors that distinguish a satisfactory and unsatisfactory cybersecurity job? This question has been a constant in the ESG/ISSA research study for five years. Interestingly, the results have been fairly consistent. The top three priorities in 2021 are business management’s commitment to strong cybersecurity, competitive or industry-leading financial compensation, and the ability to work with highly skilled and talented cybersecurity staff (see Figure 6).

    満足のいくサイバーセキュリティの仕事と不満足な仕事を区別する最も重要な要素は何ですか?この質問は、ESG/ISSAの調査研究で5年間絶え間なく続いています。興味深いことに、結果はかなり一貫しています。2021年の最優先事項は、強力なサイバーセキュリティ、競争力または業界をリードする財務報酬、高度に熟練した有能なサイバーセキュリティスタッフと協力する能力に対する経営陣のコミットメントです(図6参照)。

    CISOs and HR executives take note, as this data represents what it will take to hire and retain cybersecurity professionals.

    CISOとHRエグゼクティブは、このデータがサイバーセキュリティの専門家を雇用して維持するために何を取るかを表すため、注意します。

    Figure 6. Factors Determining Job Satisfaction
    Figure 6. Factors Determining Job Satisfaction

    With job satisfaction in mind, ESG and ISSA also wanted insight into the most stressful aspects of a cybersecurity job. Nearly two-thirds (32%) of survey respondents claim it is finding out about IT/initiatives/projects that were started by other teams (within the organization) with no security oversight (see Figure 7). This makes sense. Security professionals want to be engaged in projects from the start so they can “bake in” rather than “bolt on” security. Similarly, nearly one-third (31%) of respondents believe it is stressful working with disinterested business managers while another 31% point to the overwhelming workload. Similar to the top response, 24% of security professionals believe it is stressful keeping up with the security needs of new IT initiatives. Clearly, cybersecurity professionals want to be involved in projects from the start and want to see cybersecurity commitment from business and IT associates. When these conditions are absent, organizations will likely face high employee burnout and staff attrition.

    仕事の満足度を念頭に置いて、ESGとISSAは、サイバーセキュリティの仕事の最もストレスの多い側面についての洞察も求めていました。アンケートの回答者の約 3 分の 2 (32%) が、セキュリティ監視なしで他のチーム (組織内) が開始した IT、イニシアティブ、プロジェクトについて調べていると回答しています (図 7 参照)。これは理にかなっている。セキュリティの専門家は、セキュリティを「ボルトオン」するのではなく「焼き付ける」ことができるように、最初からプロジェクトに従事したいと考えています。同様に、回答者のほぼ3分の1(31%)は、無関心なビジネスマネージャーとの仕事はストレスが多いと考えていますが、31%は圧倒的な作業負荷を指しています。トップレスポンスと同様に、セキュリティ専門家の 24% が、新しいITイニシアチブのセキュリティニーズに対応するのにストレスの多いと考えています。明らかに、サイバーセキュリティの専門家は、最初からプロジェクトに関与し、ビジネスおよびIT担当者からのサイバーセキュリティコミットメントを見たいと考えています。これらの条件が満たされないと、組織は高い従業員のバーンアウトとスタッフの離職に直面する可能性が高くなります。

    Figure 7. Most Stressful Aspects of Cybersecurity Jobs
    Figure 7. Most Stressful Aspects of Cybersecurity Jobs

    As in the past, security professionals were asked their opinions on several topics (see Figure 8). A few stats stand out:

    以前と同様に、セキュリティ担当者はいくつかのトピックについて意見を求められました (図 8 参照)。いくつかの統計が際立っています。

    Conflict between the need for training and time allocated to training remains a critical issue: 91% of respondents agree that cybersecurity professionals must keep up with their skills or their organizations are at a significant disadvantage, yet 59% agree that while they try to keep up on cybersecurity skills, it is hard to do given the demands of their jobs. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note and make sure to convince the organization that ample training time and resources are an absolute requirement.

    トレーニングの必要性とトレーニングに割り当てられる時間の間の対立は、依然として重大な問題です。回答者の 91% は、サイバーセキュリティの専門家が自分のスキルに追いつかなければならない、または組織が重大な不利益になることに同意していますが、59% はサイバーセキュリティのスキルに追いつこうとする一方で、彼らの仕事の要求を考えるとやることは難しい。ESGとISSAはこの状況をサイバーセキュリティトレーニングのパラドックスと呼んでいます。CISOは注意し、十分なトレーニング時間とリソースが絶対的な要件であることを組織に納得させるようにします。

    Cybersecurity professionals tend to pride themselves on their endurance and competitiveness, masking the personal price these jobs can have. The research supports this as 60% agree that a cybersecurity career can be taxing on one’s work/life balance, and 38% agree that they often feel an unhealthy level of stress with their jobs. Accordingly, CISOs should constantly monitor the mental health of team members while establishing programs for stress relief.

    サイバーセキュリティの専門家は、耐久性と競争力に誇りを持ち、これらの仕事が持つことができる個人的な価格をマスキングする傾向があります。この調査では、60%がサイバーセキュリティのキャリアがワークライフバランスに課税される可能性があり、38%が仕事に不健全なストレスを感じることが多いことに同意しているため、これを支持しています。したがって、CISOは、ストレス解消のためのプログラムを確立しながら、チームメンバーのメンタルヘルスを常に監視する必要があります。

    58% of survey respondents agree that security professionals spend too much time on the technical aspects of cybersecurity and not enough time on how cybersecurity aligns with the corporate mission. ESG and ISSA believe this is a fundamental industry dilemma, sometimes called the “shiny object problem.” To address this, CISOs must always reinforce the business focus of cybersecurity within the security team.

    調査回答者の 58% は、セキュリティ専門家はサイバーセキュリティの技術的側面に多くの時間を費やし、サイバーセキュリティが企業の使命とどのように対応しているかについて十分な時間を費やしていないことに同意しています。ESGとISSAは、これは業界の根本的なジレンマであり、「光沢のある物体問題」と呼ばれることもあると考えています。これに対処するために、CISOは、セキュリティチーム内のサイバーセキュリティのビジネスフォーカスを常に強化する必要があります。

    Interestingly, despite the personal challenges represented in this data, 79% of cybersecurity professionals agree that they are happy as cybersecurity professionals. ESG and ISSA believe that this commitment to the mission regardless of the challenges is what makes cybersecurity professionals special. Rather than business or technical professionals, cybersecurity professionals behave like dedicated public servants, with a focus tilting toward the greater good rather than personal accolades.

    興味深いことに、このデータに示されている個人的な課題にもかかわらず、サイバーセキュリティの専門家の 79% は、サイバーセキュリティの専門家として満足していることに同意しています。ESGとISSAは、課題にかかわらずこのミッションへのコミットメントが、サイバーセキュリティの専門家を特別なものにしていると考えています。サイバーセキュリティの専門家は、ビジネスや技術の専門家ではなく、専任の公務員のように振る舞い、個人的な称賛よりも大きな利益に焦点を合わせています。

    Figure 8. Respondents’ Sentiments on Cybersecurity Careers
    Figure 8. Respondents’ Sentiments on Cybersecurity Careers

    In another opinion question, survey respondents were asked how long it takes a cybersecurity professional to become proficient at their job. The plurality of respondents (35%) believe it takes anywhere from 3 to 5 years to develop real cybersecurity proficiency, while 25% say 2 to 3 years and 17% claim it takes more than 5 years (see Figure 9). Three to 5 years is a long time. CISOs should do everything they can to accelerate staff skills development and retain employees with this level of experience.

    別の意見質問では、調査の回答者に、サイバーセキュリティの専門家が仕事に習熟するまでにはどれくらい時間がかかるのか尋ねられました。複数の回答者 (35%) は、実際のサイバーセキュリティの習熟度を伸ばすには3年から5年かかると信じていますが、25% は2~3年で、17% は5年以上かかると回答しています (図9参照)。3~5年は長いなCISOは、スタッフのスキル開発を加速し、このレベルの経験を持つ従業員を維持するために、できる限りのことを実行する必要があります。

    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency
    Figure 9. Length of Time Required to Develop Cybersecurity Proficiency

    It is often said that cybersecurity is a “team sport.” In other words, an organization’s cybersecurity program success goes beyond the information security team alone and depends upon commitment and cooperation across the entire organization. With this collaborative ideal in mind, survey respondents were asked to characterize the working relationship between their organization’s cybersecurity team and other departments (see Figure 10). The data indicates that the best relationships are with IT, executives, legal, and operations teams, but ESG and ISSA believe a few points are noteworthy:

    サイバーセキュリティは「チームスポーツ」だとよく言われています。言い換えれば、組織のサイバーセキュリティプログラムの成功は、情報セキュリティチームだけにとどまらず、組織全体のコミットメントと協力にかかっています。この協調的な理想を念頭に置いて、調査の回答者は、組織のサイバーセキュリティチームと他の部門との仕事上の関係を特徴づけるよう求められました (図 10 参照)。このデータは、IT、役員、法務、運用チームとの良好な関係があることを示していますが、ESGとISSAは、いくつかの点が注目すべき点だと考えています。

    16% of respondents said the relationship between security and IT teams is fair or poor. This is somewhat alarming since these teams must work together constantly on tasks like technology deployment, configuration management, and risk mitigation.

    回答者の 16% が、セキュリティチームと IT チームの関係は公平または貧弱であると回答しました。これらのチームは、テクノロジーの展開、構成管理、リスク軽減などのタスクで常に協力する必要があるため、これはやや驚くべきことです。

    21% of respondents said the relationship between security and executives was fair or poor. Similarly, 27% said the relationship between security and the board of directors was fair or poor. These are likely organizations that still believe that security is related to technology and not the business. It’s likely that these firms still equate security with regulatory compliance.

    回答者の 21% は、セキュリティとエグゼクティブの関係は公平または貧弱であると答えました。同様に、27% は、セキュリティと取締役会の関係は公平または貧弱であると答えました。これらの組織は、セキュリティはビジネスではなくテクノロジーに関連していると考えている可能性が高いです。これらの企業は、依然としてセキュリティを規制遵守と同一視している可能性があります。

    29% of respondents said the relationship between security and HR was fair or poor. This is of concern since the two groups work together on projects like security awareness training, recruitment, and hiring. These tasks are probably managed sub-optimally at organizations with fair or poor security/HR working relationships.

    回答者の 29% は、セキュリティと人事の関係は公平または貧弱であると答えました。2つのグループがセキュリティ意識向上トレーニング、採用、採用などのプロジェクトで協力しているため、これは懸念事項です。これらのタスクは、公平または貧弱なセキュリティ/人事関係を持つ組織では、おそらく最適に管理されません。

    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations
    Figure 10. Relationship Status between Cybersecurity and Other Functional Organizations

    What can organizations do to improve some of these relationships? Survey respondents were asked this question directly about the relationships between security, IT, and business management teams. With regard to improving the security/IT relationship, security professionals suggest making sure security staff is included in all IT projects from the beginning, embedding cybersecurity staff within functional technology groups, and increasing cybersecurity training for all IT staff (see Figure 11).

    これらの関係を改善するために、組織は何ができるでしょうか。アンケートの回答者には、セキュリティ、IT、およびビジネス管理チームの関係について、この質問が直接寄せられました。セキュリティと IT の関係の改善に関しては、セキュリティ担当者は、最初からすべての IT プロジェクトにセキュリティスタッフを含めるようにし、サイバーセキュリティスタッフを機能的なテクノロジグループに組み込み、すべての IT スタッフに対するサイバーセキュリティトレーニングを増やすことを提案しています (図 11 参照)。

    These suggestions are especially interesting. Recall that the most stressful aspect of a security job identified previously relates to IT projects/initiatives lacking security oversight. Alleviating this issue will not only decrease employee stress but also improve the working relationship between security and IT as well as overall security protection. Embedding cybersecurity staff members into functional technology groups is happening with activities such as DevSecOps focused on cloud-native application development. Along with additional security training (especially for software developers), organizations are fusing security into more aspects of IT people, processes, and technologies.

    これらの提案は特に興味深いものです。以前に特定されたセキュリティ業務で最もストレスの多い側面は、セキュリティ監視のない IT プロジェクト/イニシアティブに関連していることを思い出してください。この問題を緩和することで、従業員のストレスが軽減されるだけでなく、セキュリティとITの協力関係が改善され、セキュリティ保護全体が改善されます。クラウドネイティブなアプリケーション開発に重点を置いた DevSecOps などの活動では、サイバーセキュリティスタッフを機能的なテクノロジーグループに組み込むことが行われています。組織は、追加のセキュリティトレーニング (特にソフトウェア開発者向け) とともに、IT 担当者、プロセス、テクノロジーのさまざまな側面にセキュリティを融合させています。

    Figure 11. Suggestions for Improving the Relationship between Security and IT
    Figure 11. Suggestions for Improving the Relationship between Security and IT

    In terms of the relationship between security and business management, survey respondents suggest encouraging cybersecurity participation in business planning and strategy, improving cyber-risk identification/quantification, and focusing cybersecurity resources and investments on business-critical assets (see Figure 12). Like the IT relationship, cybersecurity pros believe that working closer and earlier with business teams can be beneficial. As this happens, security teams must be prepared with the right communications, reports, and metrics that present cybersecurity in a business context.

    セキュリティとビジネス管理の関係について、調査回答者は、サイバーセキュリティが事業計画と戦略に参加することを奨励し、サイバーリスクの特定/定量化を改善し、サイバーセキュリティのリソースと投資をビジネスクリティカルな資産に集中させることを提案しています(図 12)。IT関係と同様、サイバーセキュリティの専門家は、ビジネスチームとより緊密かつ早期に連携することが有益であると考えています。その場合、セキュリティチームは、サイバーセキュリティをビジネスコンテキストで表現する適切なコミュニケーション、レポート、メトリクスを用意する必要があります。

    Figure 12. Suggestions for Improving the Relationship between Security and Business Management
    Figure 12. Suggestions for Improving the Relationship between Security and Business Management

    The Cybersecurity Skills Shortage Persists, and in Many Cases, Continues to Worsen

    サイバーセキュリティスキルの不足は続いており、多くの場合、悪化し続けています

    ESG and ISSA believe the cybersecurity skills shortage has two major implications. The most obvious is a shortage of talented cybersecurity professionals, with simply more cybersecurity job openings than qualified candidates to fill them. The other implication isn’t as widely discussed but is at least as important: Many members of the current cybersecurity workforce lack the advanced skills necessary to safeguard critical business assets or counteract sophisticated cyber-adversaries.

    ESGとISSAは、サイバーセキュリティスキルの不足には2つの大きな影響があると考えています。最も明白なのは、有能なサイバーセキュリティ専門家の不足であり、資格のある候補者よりもサイバーセキュリティの求人が多いことです。もう1つの影響はそれほど広く議論されていませんが、少なくとも同じくらい重要です。現在のサイバーセキュリティ労働力の多くのメンバーは、重要なビジネス資産を保護したり、巧妙なサイバー攻撃者に対抗したりするために必要な高度なスキルを欠いています。

    After researching the cybersecurity skills shortage for five years, ESG and ISSA are convinced that it is real and impactful, yet each report on the subject receives a fair amount of negative feedback, questioning its existence. Comments include theories that there are plenty of cybersecurity professionals to go around, if only organizations knew how and where to recruit them.

    ESGとISSAは、サイバーセキュリティスキルの不足を5年間調査した結果、それが現実的でインパクトのあるものであると確信していますが、この問題に関する各レポートは、その存在を疑問視するかなりの量の否定的なフィードバックを受けています。コメントには、組織だけが彼らを募集する方法と場所を知っていれば、サイバーセキュリティの専門家がたくさんいるという理論が含まれています。

    Based on this feedback, ESG and ISSA asked survey respondents a basic question in the 2021 survey: Has the cybersecurity skills shortage been overstated? As it turns out, one-third of respondents share the opinion that the skills shortage has been greatly or somewhat overstated, but the highest percentage of cybersecurity professionals (44%) believe it has received the right amount of attention, while 23% claim it has been understated (see Figure 13).

    このフィードバックをもとに、ESGとISSAは2021年の調査で、「サイバーセキュリティスキルの不足は誇張されているのか」という基本的な質問を回答者に尋ねました。その結果、回答者の 3 分の 1 は、スキルの不足が大きく、または多少誇張されているという意見を共有していますが、サイバーセキュリティ専門家の割合が最も高い (44%) が、適切な注目を集めていると答え、23% が過小評価されていると答えています (図 13 参照)。

    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage
    Figure 13. Opinions on Industry Discussions of the Cybersecurity Skills Shortage

    As further research clearly indicates, the cybersecurity skills shortage is real, leading to lots of problems for organizations. At the same time however, the research points to the fact that some organizations may be experiencing self-inflicted wounds and truly don’t recruit well, provide the right level of training, or address the skills shortage with the right strategies. In essence, both groups are right: The skills shortage is real, but organizations could and should be doing more.

    さらなる調査が明らかに示しているように、サイバーセキュリティスキルの不足は現実的であり、組織にとって多くの問題を引き起こしています。しかし同時に、この調査では、一部の組織が自傷行為を経験している可能性があり、本当にうまく採用できない、適切なレベルのトレーニングを提供していない、または適切な戦略でスキル不足に対処していないという事実を指摘しています。本質的には、どちらのグループも正しいです。スキルの不足は現実的ですが、組織はもっと多くのことを行うことができ、そうすべきです。

    As in past years, ESG and ISSA wanted to understand the implications of the global cybersecurity skills shortage and how it is affecting organizations. For the first time, the data improved slightly. This year, 57% of organizations claim they’ve been impacted by the cybersecurity skills shortage, compared to 70% in 2020 and 73% in 2019 (see Figure 14).

    過去数年のように、ESGとISSAは、世界的なサイバーセキュリティスキル不足の影響と、それが組織にどのような影響を及ぼしているのかを理解したいと考えていました。初めて、データはわずかに改善されました。今年、57% の組織がサイバーセキュリティスキル不足の影響を受けたと答えています。2020年は 70%、2019年は 73% でした (図 14 参照)。

    Figure 14. Level of Impact of the Cybersecurity Skills Shortage
    Figure 14. Level of Impact of the Cybersecurity Skills Shortage

    While this data point seems to represent an encouraging trend, additional data paints a different picture. Last year, ESG and ISSA added a question asking cybersecurity professionals whether they believe the cybersecurity skills shortage is improving or getting worse. This year’s results are distressing as 44% believe the cybersecurity skills shortage (and its impact) have gotten worse over the past few years while 51% say it’s about the same today as it was over the past few years (see Figure 15). Sadly, only 5% believe the situation has gotten better.

    このデータポイントは有望な傾向を表しているように見えますが、データを追加すると別の状況が描かれます。ESGとISSAは昨年、サイバーセキュリティの専門家に、サイバーセキュリティスキルの不足が改善しているのか、それとも悪化しているのかを尋ねる質問を追加しました。44% が過去数年間でサイバーセキュリティスキルの不足 (およびその影響) が悪化したと考え、51% が今日と過去数年間とほぼ同じであると答えたため、今年の結果は悲惨です (図 15 参照)。悲しいことに、状況が良くなったと信じているのはわずか5%です。

    Based upon years of research, ESG and ISSA firmly believe that the cybersecurity skills shortage is a long-term reality where the industry has achieved little progress. While education and recruitment programs may be worthwhile, CISOs must craft enterprise security programs that accommodate and plan for perpetual skills shortages.

    ESGとISSAは、長年の研究に基づいて、サイバーセキュリティスキルの不足は、業界がほとんど進歩していない長期的な現実であると固く信じています。教育および採用プログラムは価値があるかもしれませんが、CISOは永続的なスキル不足に対応し、計画を立てるエンタープライズセキュリティプログラムを作成する必要があります。

    Figure 15. The Cybersecurity Skills Shortage Is Not Improving
    Figure 15. The Cybersecurity Skills Shortage Is Not Improving

    As in the past, survey respondents working at organizations impacted by the cybersecurity skills shortage were asked about the ramifications experienced (see Figure 16). Once again, the top response (62%) was that it has increased the workload on existing staff (similar to last year’s results, 58%). This is the biggest consequence of the skills shortage by far. Additionally, 38% of respondents indicated that the skills shortage has led to new security jobs remaining open for weeks or months (this may be one reason why 29% of organizations must hire and train junior employees rather than experienced candidates). Consistent with the mental health theme described previously, 38% of respondents said that the skills shortage has led to employee burnout and employee attrition.

    これまでと同様に、サイバーセキュリティスキル不足の影響を受けている組織で働いている調査回答者には、発生した影響について質問がありました(図 16 参照)。繰り返しになりますが、トップレスポンス (62%) は、既存スタッフの作業負荷が増加したというものでした (昨年の結果と同様、58%)。これは、スキル不足の最大の帰結です。さらに、回答者の 38% が、スキル不足により新しいセキュリティ関連の仕事が数週間から数か月間継続していると回答しています(これが、29% の組織が経験豊富な候補者ではなく後輩の雇用と訓練を必要とする理由の1つである可能性があります)。前述のメンタルヘルスのテーマに沿って、38% の回答者が、スキル不足が従業員の燃え尽き症候群や離職につながっていると答えています。

    It is also noteworthy that one-third of respondents say that the skills shortage has led to a situation where the cybersecurity team is unable to learn or utilize some security technologies to their full potential. Think about that for a moment: Organizations determine they need some new security technology for threat prevention, detection, or response. They go through the rigor of researching, purchasing, testing, configuring, deploying, and operating the product as well as training staff. After all this work, they still lack the staff or skills to operate the product correctly. Given this situation, CISOs must reassess their priorities, only purchasing technologies that can be used appropriately. In other cases, organizations should consider managed services as an alternative to underutilized security technologies.

    また、回答者の3分の1が、スキル不足により、サイバーセキュリティチームが一部のセキュリティテクノロジーを十分に習得または活用できない状況につながったと回答していることも注目に値します。ちょっと考えてみてください。組織は、脅威の防止、検出、対応のために新しいセキュリティテクノロジーが必要だと判断しています。彼らは、製品の調査、購入、テスト、構成、導入、運用、およびスタッフのトレーニングという厳しい経験を経ています。このすべての作業の後、製品を正しく操作するためのスタッフやスキルはまだ不足しています。このような状況を踏まえ、CISO は優先事項を見直し、適切に使用できるテクノロジーのみを購入する必要があります。また、組織は、十分に活用されていないセキュリティテクノロジーに代わるものとしてマネージドサービスを検討する必要があります。

    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 16. How the Cybersecurity Skills Shortage Has Impacted Organizations

    For the first time, organizations claiming to be impacted by the cybersecurity skills shortage were asked to identify contributing factors. The three top responses included issues related to compensation, HR’s understanding of cybersecurity skills, and working in an industry that may be unattractive to cybersecurity professionals (see Figure 17). It is also worth noting that 25% pointed to unrealistic job postings (i.e., asking for skills that were not commensurate with compensation offered, real job requirements, etc.). To some extent, this data supports the theory that the cybersecurity skills shortage is related to mismanagement rather than a dearth of qualified candidates or advanced skills.

    サイバーセキュリティスキル不足の影響を受けていると主張する組織は、初めて、要因を特定するよう求められました。上位3つの回答には、報酬、人事におけるサイバーセキュリティスキルの理解、サイバーセキュリティの専門家にとって魅力のない業界で働くことに関する問題が含まれていました(図 17 を参照)。また、25%が非現実的な求人情報(つまり、提供された報酬や実際の職務要件に見合っていないスキルを求めている)を指摘していることも注目に値します。このデータは、サイバーセキュリティスキルの不足は、資格のある候補者や高度なスキルの不足ではなく、管理ミスと関連しているという理論をある程度裏付けています。

    Compensation is a binary issue—either an organization offers competitive compensation, or it does not. The same could be said of an organization’s industry. If compensation or industry is unappealing, the hiring company is at a distinct disadvantage and will only be successful at recruiting if other job attributes are especially attractive (i.e., working hours, training opportunities, benefits, etc.). With regard to compensation, CISOs must lobby HR, finance, and other departments to offer competitive salaries, or they face a perpetual losing battle for staff recruitment and retention. As for other factors mentioned, CISOs must ensure that HR departments and recruiters are well versed in cybersecurity needs and put together accurate and realistic job postings as part of their recruitment process.

    報酬は二元的な問題です。組織が競争力のある報酬を提供するか、提供しないかのどちらかです。組織の業界についても同じことが言えます。報酬や業界が魅力的ではない場合、採用企業は明らかに不利な立場にあり、他の職種(労働時間、研修の機会、福利厚生など)が特に魅力的である場合にのみ採用が成功します。報酬に関しては、CISOは人事、財務、その他の部門に競争力のある給与を提供するように働きかけなければなりません。そうしないと、スタッフの採用と定着をめぐる絶え間ない敗戦に直面します。前述の他の要因については、CISOは、人事部門と採用担当者がサイバーセキュリティのニーズに精通していることを確認し、採用プロセスの一環として正確で現実的な求人情報をまとめる必要があります。

    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations
    Figure 17. Factors Contributing to How the Cybersecurity Skills Shortage Has Impacted Organizations

    Additional data from this year’s survey results add further evidence to the extent of the cybersecurity skills shortage. According to Figure 18, when asked how difficult it is to recruit cybersecurity professionals, 76% of security professionals say it is either extremely (18%) or somewhat difficult (58%).

    今年の調査結果から得られた追加データは、サイバーセキュリティのスキル不足の程度に関するさらなる証拠となります。図 18 によると、サイバーセキュリティの専門家を募集するのがどれほど難しいかを尋ねられたとき、セキュリティ専門家の 76% が、極度 (18%) またはやや難しい (58%) と答えています。

    Figure 18. Difficulties in Recruiting for Cybersecurity
    Figure 18. Difficulties in Recruiting for Cybersecurity

    Survey respondents were asked to identify areas with the most acute skills shortages. Nearly four in ten (39%) cite cloud computing security, followed by nearly a third (30%) who identify application security and/or security analysis and investigations as areas of personnel deficiency (see  Figure 19).

    調査回答者は、最も深刻なスキル不足のある地域を特定するよう求められました。10 人中 4 人近く (39%) がクラウドコンピューティングのセキュリティを挙げており、3 分の 1 近く (30%) がアプリケーションのセキュリティやセキュリティの分析と調査を人員不足の領域として挙げています (図 19 参照)。

    CISOs must understand the level of competition for candidates with these skill sets. It may be worthwhile to craft backup plans if recruitment efforts languish or fail completely. Examples include training software developers and DevOps personnel on application security, recruiting and training server virtualization administrators as cloud computing security specialists, and working with experienced managed services providers.

    CISO は、これらのスキルセットを持つ候補者の競争レベルを理解する必要があります。採用活動が鈍化したり、完全に失敗したりした場合は、バックアップ計画を立てる価値があるかもしれません。たとえば、アプリケーションセキュリティに関するソフトウェア開発者や DevOps 担当者のトレーニング、クラウドコンピューティングセキュリティスペシャリストとしてのサーバー仮想化管理者の採用とトレーニング、経験豊富なマネージドサービスプロバイダーとの連携などがあります。

    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category
    Figure 19. Area(s) with Biggest Shortage of Cybersecurity Skills by Technology Category

    The research also points out that it is most difficult to recruit mid-career and senior cybersecurity professionals while fewer organizations have trouble recruiting entry-level security staff or cybersecurity leadership (see Figure 20).

    また、この調査では、中堅および上級サイバーセキュリティの専門家を採用するのが最も難しい一方で、エントリーレベルのセキュリティスタッフやサイバーセキュリティリーダーの採用に苦労している組織は少ないことも指摘しています (図 20 参照)。

    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels
    Figure 20. Area(s) with Biggest Shortage of Cybersecurity Skills by Experience Levels

    While organizations find it difficult to recruit and hire cybersecurity staff, security professionals are constantly being recruited for new positions with promises of higher pay, better benefits, and an assortment of perks. In fact, 70% of the cybersecurity professionals surveyed are solicited to consider other job opportunities at least once per month (see Figure 21). Furthermore, 71% of survey respondents believe that the frequency/volume of job solicitations has increased over the past few years. Cybersecurity truly remains a seller’s market.

    組織はサイバーセキュリティスタッフの採用と雇用が難しいと感じていますが、セキュリティプロフェッショナルは、より高い賃金、より良い福利厚生、さまざまな特典を約束して、新しいポジションに常に採用されています。実際、調査対象のサイバーセキュリティ専門家の 70% は、少なくとも月に 1 回、他の雇用機会を検討するよう求められています (図 21 参照)。さらに、調査回答者の 71% が、求人募集の頻度/量が過去数年間で増加したと回答しています。サイバーセキュリティは依然として売り手の市場です。

    Figure 21. Frequency of Solicitations for Cybersecurity Jobs
    Figure 21. Frequency of Solicitations for Cybersecurity Jobs

    In 2021, survey respondents were once again asked to identify who is responsible for addressing the cybersecurity skills shortage. Respondents indicate that CISOs/CSOs really own this problem (see Figure 22). Are these individuals and the organizations they work for doing enough to address the cybersecurity skills shortage? Not according to survey respondents, as 27% believe their organization could be doing somewhat more to address the skills shortage while nearly one-third (32%) say their organizations could be doing much more here (see Figure 23).

    2021年、調査回答者には、サイバーセキュリティスキルの不足に対処する責任者を特定するよう再度求められました。回答者は、CISO/CSO がこの問題を実際に抱えていると答えています(図 22 を参照)。これらの個人と彼らが働いている組織は、サイバーセキュリティスキルの不足に対処するのに十分なことをしていますか?調査の回答者によると、27% は組織がスキル不足に対処するためにより多くのことができると考えており、ほぼ 3 分の 1 (32%) が、組織はここでさらに多くのことができると答えています (図 23 参照)。

    As previously stated, this data reinforces the need for CISOs/CSOs and the organizations they work for to plan for staff and skills shortages by including plans for additional use of professional/managed services and process automation. Organizations should also research, test, and pilot “smart” security solutions based on advanced analytics. These technologies vary widely in terms of efficacy and should be approached cautiously, but their potential to augment human skills in the future is worth pursuing.

    前述のとおり、このデータにより、プロフェッショナル/マネージドサービスの追加利用とプロセスの自動化を計画することで、CISO/CSOおよびCSOが所属する組織がスタッフやスキルの不足に備えて計画を立てる必要性が高まります。また、高度な分析に基づいた「スマート」なセキュリティソリューションの調査、テスト、パイロット試験も行う必要があります。これらのテクノロジーは有効性の点で大きく異なり、慎重にアプローチする必要がありますが、将来的に人間のスキルを向上させる可能性は追求する価値があります。

    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 22. Responsibilities for Addressing the Impact of the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage
    Figure 23. Organizational Response to the Cybersecurity Skills Shortage

    With most respondents believing that their organizations could do more to address the skills shortage, ESG and ISSA asked them for some specific recommendations (see Figure 24). Cybersecurity professionals suggested actions like increasing the commitment to cybersecurity training, increasing compensation, providing additional perks, and creating or improving a cybersecurity internship program.

    ほとんどの回答者は、組織がスキル不足に対処するためにより多くのことができると考えているため、ESGとISSAは具体的な推奨事項をいくつか求めました(図24参照)。サイバーセキュリティの専門家は、サイバーセキュリティトレーニングへの取り組みの強化、報酬の増加、追加の特典の提供、サイバーセキュリティインターンシッププログラムの作成または改善などのアクションを提案しました。

    The top three recommendations are clear; organizations need to offer competitive compensation, benefits, and training opportunities to attract top cybersecurity talent. Aside from these basics, survey respondents have some additional advice such as looking beyond security and IT for talent, working more closely with cybersecurity professional organizations, and increasing work with local colleges and universities. In summary, successful cybersecurity recruiting requires a bit of experimentation and creativity. Organizations should take chances with the goal of creating programs that are attractive to the cybersecurity community. CISOs should gather further feedback and enlist the HR department’s help to create this type of environment.

    上位3つの推奨事項は明確です。組織は、サイバーセキュリティの優秀な人材を引き付けるために、競争力のある報酬、福利厚生、トレーニングの機会を提供する必要があります。アンケートの回答者は、これらの基本事項以外にも、セキュリティやITの枠を超えて人材を探したり、サイバーセキュリティの専門家組織とより緊密に連携したり、地元のカレッジや大学との仕事を増やしたりするなど、追加のアドバイスを得ています。要約すると、サイバーセキュリティの採用を成功させるには、多少の実験と創造性が必要です。組織は、サイバーセキュリティコミュニティにとって魅力的なプログラムを作成することを目標に、チャンスをつかむ必要があります。CISO は、このような環境を構築するために、さらなるフィードバックを収集し、人事部門の協力を得なければなりません。

    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage
    Figure 24. Actions that Could Be Used to Address the Cybersecurity Skills Shortage