第4回の火曜日は「PoC の学習を組織に蓄積させろ」という話をしました。

その学習を担う人材が、セキュリティチームから流出しているという問題があります。

「ウチのセキュリティ担当、去年優秀だった人が 3 人辞めちゃいました」
「CISSP や CCSK の資格を取った人から、順に転職しちゃう」

これは、単なる「給与が安い」という問題ではありません。

もっと深い、「組織設計の問題」が隠れています。

目次 [ close ]
  1. セキュリティ人材が育つ環境の条件
  2. ① 「学習の自由」
  3. ② 「挑戦の場」
  4. ③ 「組織内での認知」
  5. 「セキュリティ職」という専門職化が遅れている
  6. 「セキュリティ資格」という観察ポイント
  7. 今週、経営が決めること
  8. 具体例:「セキュリティエンジニア育成プログラム」
  9. セキュリティチームの「学習の可視化」
  10. 金融機関での「セキュリティ人材育成」
  11. 問いかけ
  12. 参考資料

セキュリティ人材が育つ環境の条件

セキュリティの仕事は、他の IT 職と違う特徴があります。

  • 営業企画なら:「今年の売上目標は 100 億」という明確なゴール
  • 製造業なら:「この製品を 100 万台売る」という目標
  • セキュリティは:「ウチが被害を受けないこと」が目標

つまり、「成功の形が見えない」仕事なんです。

「侵害を受けなかった」ことは、「何もしなかった」のか「ちゃんと防いだ」のか区別がつきません。

そこで、セキュリティ人材が育つには、他の条件が必要になります。

① 「学習の自由」

新しい脅威、新しい防御技術が毎月出てくる。

セキュリティ担当者は「時間をかけて学び続ける」ことが必須です。

でも、兼務状態では、その時間がない。

結果、スキルが停滞し、優秀な人ほど「他の会社で学びたい」と転職する。

② 「挑戦の場」

ゼロトラストの導入、EDR の導入、マイクロセグメンテーションの実装……

新しい技術に挑戦する機会があれば、人は成長する。

でも、予算や人手がなければ、「既存システムの保守」だけに終わる。

それは「キャリアの停滞」と同じです。

③ 「組織内での認知」

セキュリティの仕事は、成功が目立ちません。

だからこそ、経営や他部門から「ちゃんと評価される」ことが重要です。

「この人がいるから、ウチは安全」という認識が、給与や配置転換に反映されないと、人は出ていきます。

「セキュリティ職」という専門職化が遅れている

日本企業で特に顕著な問題:セキュリティを「キャリアパス」として見ていないということです。

多くの企業では:

  • セキュリティ部門 → IT 部門の一つ
  • セキュリティ担当 → 「異動がある」「数年で別部門へ」という前提

だから、優秀な人は「セキュリティで 5 年」という人生設計ができない。

結果、「外資系でセキュリティのプロとして稼ぐ」という選択肢を取る。

欧米では「セキュリティは専門職」という認識が強く、キャリアパスが用意されています。

「セキュリティアナリスト → シニアアナリスト → セキュリティマネージャー → CISO」みたいに。

日本企業も、このモデルを採用すべきです。

「セキュリティ資格」という観察ポイント

「CISSP や CCSK を取った人が、その直後に辞める」というのは、実は重要なシグナルです。

なぜか。

  1. 資格取得後、その人は「市場価値が上がった」ことを強く感じるから
  2. 現企業では「資格を取った = 給与が上がる」という反応がない
  3. だから、「別の会社で、その資格を活かす」という選択をする

逆に、「資格取得費用を会社が負担する」「資格取得後、役割が明確に変わる」という企業では、人が定着します。

今週、経営が決めること

「セキュリティ人材を『専門職』として位置づけるキャリアパス」を 1 つ作ること。

具体例:「セキュリティエンジニア育成プログラム」

項目内容
年間研修予算専任者 1 人あたり 50~100 万円
外部研修SANS、CompTIA、CISSP 対策などに派遣
資格取得費用会社が全額負担(受験料・更新料含む)
資格取得後の役割新しいプロジェクトのリード担当として配置
キャリアパスセキュリティアナリスト → シニア → マネージャー → CISO

これだけで、人の定着率が変わります。

重要なのは「予算だけあげること」ではなく、**「学習後に、その知識を活かす場を用意する」**ことです。

セキュリティチームの「学習の可視化」

第4回の火曜日で「PoC の学習を蓄積させろ」という話をしました。

セキュリティチームは、そもそもが「学習の連続」です。

新しい脅威が出るたびに「これにどう対応するか」を学ぶ。

その学習を、Wiki や Notion に記録しておく。

記録すべき内容の例:

  • 「2025 年の主要脅威と対応」
  • 「このベンダーの EDR を導入した際の学習点」
  • 「マイクロセグメンテーション設計の失敗例と改善策」

こうした**「組織的な学習」を可視化する**ことで:

  • 新しい人が入った時の「オンボーディング」が楽になる
  • 「この人たちは何を学んでるか」が経営層にも見える
  • セキュリティチームのメンバーが「自分の学習が評価されている」と感じる

金融機関での「セキュリティ人材育成」

金融機関では、既にこの構造ができています。

  • 「セキュリティ部門」は独立した専門部門で、給与テーブルも他部門と分かれています
  • キャリアパスも「セキュリティアナリスト → シニア → マネージャー」という流れが明確

だから、金融機関のセキュリティチームは「長期的に安定している」傾向があります。

民間企業も、この構造を参考にすべきです。

問いかけ

セキュリティチームの過去 3 年の離職率、知ってますか?

その人たちは「転職直前に何の資格を取ってた」でしょうか?

「資格取得後、新しい役割を与えた」という記録がありますか?

もし「資格取得 → 3 ヶ月以内に転職」みたいなパターンがあれば、それは「人材育成の失敗」です。

来週の火曜日は「セキュリティ予算の配分」について。「防御」と「検知」のバランスは、どう取るべきか。

参考資料