ISACA調査2025解説：セキュリティ現場の問題は、人手不足ではなく構造疲労？

2025年9月29日、ITガバナンス、リスク管理、情報セキュリティ、監査・保証といった分野における専門家が集う、国際的な専門家団体ISACA（イサカ）が、3,800人以上の専門家を対象に実施した年次調査「State of Cybersecurity 2025」を発表した。

このレポートは、サイバーセキュリティの最前線が直面する、構造的かつ深刻な課題を改めて浮き彫りにするものだった。本記事で、内容を紹介する。

参考：State of Cybersecurity 2025（レポート内容はこちら）

構造的な問題、「人手不足」と「スキルギャップ」

レポートがまず示すのは、依然として深刻な人材不足だ。調査対象のサイバーセキュリティチームの55%が「人員不足」であると回答し、65%の組織がポジションを「未充足」のまま抱えている。採用にも3ヶ月から6ヶ月を要するのが実情であり、問題の根深さを物語っている。

しかし、問題は単なる頭数不足にとどまらない。レポートは、市場に存在する人材と、組織が真に求める能力との間の「質的なズレ」、すなわちスキルギャップへと問題が深化していることを示唆する。

採用において最も重視される資格要件は「適応力」(61%)であり、「実務経験」(60%)がそれに続く。これは、特定の技術知識よりも、変化し続ける環境へ柔軟に対応できる能力が求められていることの現れだ。

レポートでは、特にコミュニケーション能力やクリティカルシンキングといったソフトスキルが、技術力と同様に重要視されているとされていた。

現場で求められる主要なソフトスキル
- コミュニケーション能力 (57%)
- クリティカルシンキング (56%)
- 問題解決能力 (47%)

現場を蝕むストレスと、高まる脅威

この構造的な人材問題は、現場で働く専門家に深刻な影響を及ぼしている。回答者の66%が「5年前よりも仕事のストレスが増している」と感じており、その最大の要因として63%が「複雑な脅威の状況」を挙げた。

この過度なストレスは、離職の最大の引き金となっている。実に47%もの組織がサイバー人材の維持に苦労していると回答しており、経験豊富な人材が現場を去っていくという負のスパイラルに陥っている。

その一方で、脅威は増加の一途をたどる。43%が「攻撃が増加した」と報告しており、その攻撃手法はソーシャルエンジニアリングや脆弱性の悪用などが挙げられた。

このような状況下で、自チームのインシデント対応能力に「自信がある」と回答した専門家は、わずか41%にとどまる。これは、多くの組織が防御体制に不安を抱えたまま、日々の運用を続けている危険な現実を示している。

AI活用の現実と、新たな責任

この困難な状況を打開する鍵として期待されるのがAIの活用だ。レポートによれば、AIは脅威検知や定型業務の自動化といった領域で、その活用が進んでいる。

セキュリティ運用におけるAIの主な用途
- 脅威検知 (32%)
- エンドポイントセキュリティ (30%)
- 定型業務の自動化 (28%)

AIが現場の負荷を軽減する可能性を秘める一方で、セキュリティチームには新たな責任も生まれている。AIのガバナンス策定に関与するチームは47%（前年35%）、実装に関わるチームは40%（前年29%）へと顕著に増加した。

これは、AIを単に利用するだけでなく、その動作を理解し、組織として正しく管理・統制していくという、より高度で戦略的な役割が求められていることを意味する。AIの導入は、現場にとって効率化への期待であると同時に、新たな責任の始まりでもあるのだ。

【考察】問題の本質は「人手不足」ではなく「構造疲労」？

ここからは、レポートを受けての考察を行いたい。

まず、筆者がこのレポートを読んで感じたことを率直に表現すると、「数字の裏に透けて見えるのは、個々の担当者の悲鳴と、組織的な戦略の限界」なのではないか？ということだ。

我々IT業界は、もう何年も「人材不足」という言葉を呪文のように唱えてきた。しかし、このレポートが真に示しているのは、人材不足の問題が「頭数」から「質」、そして「持続可能性」へ移行したという厳しい現実ではないだろうか。

高騰し続ける、理想の人材像

採用要件のトップが「適応力」や「コミュニケーション能力」であるという事実は、筆者にとっては意外であった。

これは、かつて「持っていると有利」だった特定のファイアウォールやEDR製品を操作できる専門知識や、それを証明する認定資格などのソフトスキルが、今や「無ければ話にならない」必須要件へと昇格したことを示唆しているように見える。

その場合の問題は、これらのスキルを持っていることを前提に、ビジネスの文脈を理解し、複雑な人間関係を調整する高度なコミュニケーション能力や、未知の脅威に即応する適応力まで同時に求められている点だ。

我々は、技術にもビジネスにも精通し、人間力にも溢れた「スーパーマン」を求めすぎてはいないだろうか。完璧な人材など存在しないという現実と、高騰し続ける理想のギャップ。その歪みが、採用の現場で深刻なミスマッチを引き起こしているのではないだろうか。

現場は、日々すり潰されている？

次に、「ストレスが増した」という回答に注目しよう。

インシデント対応という業務は、その特性上どうしても「対処」に追われがちで、状況を「改善」しているという達成感を得にくい。そして、そこへAIの台頭が拍車をかける。

攻撃者もAIを悪用し、脅威の種類と手口は爆発的に増加。防御側も、いたちごっこで新たなツールや対策を導入せざるを得ず、運用は複雑化の一途をたどる。そして、次から次へと現れる新技術を学び続ける知的消耗も、担当者の責任感や使命感を蝕んでいく。

47%もの組織が人材維持に苦労している背景には、給与や待遇の問題もあるだろう。しかし、継続的に学びやすい環境や最新のツールの導入など、組織が成長を実感できる環境を提供し、社員のストレスの原因を探ることで、引き留められる優秀な人材もいるのではないだろうか。

AIは「救世主」ではなく、新たな「マネジメント対象」である

AIの導入が進んでいるという報告は希望に見えるが、その実態は「脅威検知」や「エンドポイントセキュリティ」といった、さらなるアラート源になりかねない領域に集中している。本当に価値があるはずの「定型業務の自動化」は3番手だ。

さらに、AIのガバナンスや実装にセキュリティチームが駆り出されているという事実は、AIが「仕事」を減らすだけでなく、「新たな仕事」を生み出していることを示している。AIは、それを使いこなす専門家がいて初めて機能する。安易な導入は、管理すべき複雑なシステムを一つ増やすだけで、現場の疲弊を加速させかねない。