ISC2調査で読むセキュリティ人材不足の本質と企業防衛の再設計

ISC2調査が映す11万人不足の焦点転換

サイバーセキュリティの話題では、長く「人材が何万人足りないか」が中心論点でした。日本でも経済産業省は、2025年5月に公表した人材育成の最終取りまとめで、ISC2の2023年調査を引用しつつ国内で約11万人の不足があるとの民間試算に触れ、2030年までに登録セキスペを5万人へ増やす目標を掲げました。

ただ、2025年12月に公表されたISC2の最新調査は、議論の重心が変わったことを示しています。焦点は単純な頭数ではなく、「必要なスキルが足りない」「採っても定着しない」「経営が重要機能として扱っていない」という組織運営の問題です。この記事では、なぜ人数不足よりもスキル設計と定着戦略のほうが深刻なのかを、国際調査と日本の政策資料をもとに整理します。

人数不足より深い能力不足

ISC2調査が示した論点転換

ISC2の2025年調査で最も重要なのは、今年は人材ギャップの推計値を掲載しなかった点です。理由は明確で、調査参加者の問題意識が「人数を増やすこと」より「必要なスキルを埋めること」へ移ったためです。実際、回答者の59%が重大または深刻なスキル不足を抱えると答え、95%は少なくとも1つのスキル不足を抱えていると回答しました。

これは単なる言い換えではありません。ISC2によれば、スキル不足の結果として88%が少なくとも1つの重大なセキュリティ上の悪影響を経験しています。具体的には、26%が業務プロセス上の見落とし、24%が設定ミス、24%が一部領域の防御不足を挙げました。頭数が足りないというより、必要な仕事を適切な能力で回せていないことが、すでに事故の形で表面化しているわけです。

ここから読み取れるのは、企業が採用人数だけをKPIにしても、実効的な防衛力は上がりにくいということです。人を増やしても、役割の定義が曖昧で、必要能力が整理されず、教育時間も確保されなければ、現場では「誰が何を守るのか」がぼやけます。人数不足は入り口ですが、本丸は能力配置の不整合です。

AI・クラウド時代の技能再編

ISC2調査では、最も不足しているスキルとしてAIが41%、クラウドセキュリティが36%で並びました。続くのがリスク評価29%、アプリケーションセキュリティ28%、セキュリティエンジニアリングとGRCが各27%です。これは、従来型のSOC運用や境界防御だけでなく、AI活用、クラウド設計、開発段階の統制、経営管理まで含めた幅広い実務が求められていることを意味します。

世界経済フォーラムの「Global Cybersecurity Outlook 2025」も同じ方向を示しています。39%の組織がスキル不足をレジリエンスの障害とみなし、必要な人材を確保できていると答えたのは14%にとどまりました。さらに67%はAI関連スキルへの投資不足を認めています。脅威が高度化しているのに、教育投資と仕事の再設計が追いついていない構図です。

Microsoftの2025年版Digital Defense Reportも、「ツールだけでなく人への投資」が必要だと強調しています。AI時代は自動化で人手を減らせる局面もありますが、それは人が不要になるという話ではありません。むしろ、AIを安全に使い、AIを使う攻撃に対抗し、クラウドやサプライチェーン全体を見渡せる人材へと再訓練する必要があります。人数不足より深刻なのは、仕事の中身が変わったのに、人材像の更新が遅れていることです。

採用競争だけでは埋まらない構造

役割定義と経営言語の不足

なぜ採用を強めても解決しにくいのか。1つは、必要な役割の定義が粗いからです。NISTのNICE Frameworkは2025年3月の更新で、サイバーセキュリティ業務を共通言語で記述し、採用、育成、定着を一貫して設計する枠組みだと改めて示しました。これは裏を返せば、多くの組織で「何の仕事に、どの能力が必要か」が十分そろっていないことを意味します。

ISC2調査でも、採用側が重視するスキルと現場が不足と感じるスキルにはずれがあります。非技術スキルでは、プロフェッショナル側がコミュニケーション力を最重要視したのに対し、採用側は3位でした。世界経済フォーラムも、非伝統的な人材背景に採用を広げている企業は23%にとどまり、法務、財務、コミュニケーションの知見を持つ人材が十分活用されていないと指摘します。サイバーリスクが経営課題になった今、技術を理解する人だけでなく、技術を経営言語に翻訳できる人が欠かせません。

さらに重要なのは経営層の優先順位です。ISC2調査では、自社がサイバーセキュリティを重要な事業機能として優先していると答えたのは32%にとどまりました。従業員が現在の勤務先に残る見込みは12カ月先で75%、2年先では66%まで下がっています。ここから言えるのは、離職の原因は市場全体の人手不足だけではなく、「組織が自分たちの仕事を本気で重視していない」という実感にもあるということです。

中小企業と地域に残る実装の壁

日本ではこの問題が中小企業でさらに深くなります。レバテックの2026年1月時点のデータでは、セキュリティ関連人材の求人倍率は42.6倍でした。採用市場は極端な売り手市場で、特に中堅・中小企業が単独で専門人材を囲い込むのは難しい状況です。だからこそ、正社員を何人採れるかだけで競う発想には限界があります。

IPAの2025年調査は、中小企業4191社を対象に、サプライチェーン上のセキュリティ不備が取引先にも深刻な影響を及ぼしていることを示しました。一方で、発注元から要請された対策が取引につながった大きな要因だと答えた企業は42.1%、過去に情報セキュリティ投資を行っている企業では49.8%でした。ここで重要なのは、常勤の高度専門家を抱えることだけが正解ではないという点です。外部専門人材の活用、業務の標準化、役割分担、最低限の教育、経営者の関与をどう組み合わせるかが現実的な論点になります。

経済産業省が2025年に示した方針も同じ方向です。登録セキスペのアクティブリスト整備や、中小企業向けの実践的ガイドの提示を進めるのは、各社が単独でフルスペックの専門チームを持てない現実を踏まえているからです。ここでの深刻さは人数不足そのものではなく、必要な対策を回せる運用モデルが社内にないことです。

採用偏重とAI楽観論を避ける3課題

このテーマで注意したいのは、「人が足りないのだから、とにかく採用を増やせばよい」という短絡です。ISC2は、スキル不足の原因として、必要スキルを持つ人を見つけられないことが30%、十分な採用予算がないことが29%、需要の高い人材をつなぎ留められないことが23%だと示しています。採用は必要ですが、それだけでは再現性がありません。

もう1つの誤解は、AIが普及すれば人材問題が自然に解消するという見方です。実際には、AIの導入が新しいスキル需要を生み、教育投資不足が逆に露呈しています。今後の争点は、1. 役割定義を細かく分けること、2. 技術と経営をつなぐ人材を増やすこと、3. 中小企業が外部支援を使いやすい市場を整えること、の3点です。人数の議論は続きますが、競争力を分けるのはスキルの棚卸しと定着の設計になります。

AI・クラウド時代の企業防衛再設計

サイバーセキュリティ人材をめぐる本当の問題は、「何人不足しているか」だけではありません。2025年のISC2調査が示したのは、企業が直面している本丸が、AIやクラウド時代に必要な能力を定義できていないこと、現場を疲弊させて離職を招いていること、そして経営がセキュリティを事業機能として十分に扱っていないことだという現実です。

日本企業に必要なのは、採用数の競争に偏らず、必要業務を分解し、社内育成と外部活用を組み合わせ、経営層が優先順位を引き上げることです。人材不足はこれからも続きますが、より深刻なのは、足りない能力を見える化しないまま危険な運用を続けることです。その点を直視できるかどうかが、今後の企業防衛の分かれ目になります。

参考資料:

• 2025 ISC2 Cybersecurity Workforce Study
• Understanding complexity in cyberspace - Global Cybersecurity Outlook 2025
• NICE Releases NICE Framework Components v2.0.0 | NIST
• Microsoft Digital Defense Report 2025 | Microsoft
• 「サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ」を公表しました | 経済産業省
• サイバーセキュリティ人材の育成促進に向けた検討会最終取りまとめ（PDF） | 経済産業省
• 「2024年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について | IPA
• 「2024年度中小企業等実態調査結果」速報版を公開 | IPA
• サイバー攻撃激化でセキュリティ人材の需給逼迫が加速 求人倍率は42倍超えに | レバテック