サイバーセキュリティの世界的リーダーで、ネットワークとセキュリティの融合を牽引するフォーティネット（Fortinet®）は、「サイバーセキュリティスキルギャップレポート 2024年版」を発表しました。このレポートでは、世界中の組織に影響を与えているサイバーセキュリティのスキル不足に関連する現在の課題を明らかにしています。フォーティネットが年次で実施している本調査の2024年版は、日本を含む29の国と地域で、テクノロジー（21%）、製造業（15%）、金融サービス（13%）など広範な業種より、1,850人を超えるITおよびサイバーセキュリティの意思決定者を対象に実施されました。
https://www.fortinet.com/content/dam/fortinet/assets/reports/ja_jp/2024-cybersecurity-skills-gap-report.pdf

本レポートの主な調査結果は、次の通りです。

• 組織はセキュリティ侵害の起因のひとつにサイバースキルギャップがあるとの考えを強めている。
• セキュリティ侵害は依然としてビジネスに多大な影響を及ぼしており、侵害が発生した場合、経営幹部がしばしば罰則を科されている。
• 認定資格は、現在のサイバーセキュリティのスキルや知識を証明するものとして、引き続き組織から重要視されている。
• スキル不足解消に寄与する採用機会としては、多様な人材プールからの余地が未だきわめて大きい。

世界中の企業に影響を与え続けているサイバースキルギャップ
深刻化するサイバーセキュリティの人材不足を解消するには、およそ400万人の専門職が必要と推計されています。さらに、フォーティネットの「サイバーセキュリティスキルギャップレポート 2024年版」では、70%の組織がサイバーセキュリティのスキル不足によって組織のリスクが高まると回答しています。世界中の企業におけるスキルギャップ増大の影響は、以下の調査結果にも表れています。
推計:https://www.isc2.org/-/media/Project/ISC2/Main/Media/documents/research/ISC2_Cybersecurity_Workforce_Study_2023.pdf

• 組織はサイバースキル不足に起因する侵害が増加していると認識：過去1年間にサイバースキル不足が一因と考えられる侵害が発生したと回答した組織幹部は90%近く（87%）に上り、2023年版レポートの84%、2022年の80%から増加しました。

2023年に侵害がまったくなかったと答えた組織はわずか13%で、2022年の15%、2021年の20%から漸減しています。侵害による金銭的被害も増大しているようです。今年の回答者のうち、サイバー攻撃による出費が発生しなかったと答えた組織はわずか17%で、2022年の21%、2021年の36%から減少しました。
2023年版レポート:https://www.fortinet.com/content/dam/fortinet/assets/white-papers/ja_jp/2023-cybersecurity-skills-gap-report.pdf

• 攻撃からの復旧には多大な時間を要する：回答者の平均復旧期間は約2.7ヵ月でした。過半数（63%）の組織は、サイバー攻撃からの復旧に1ヵ月以上を要し、約1/3（28%）は4ヵ月以上かかっています。
• 侵害によるビジネスへの影響は深刻化：セキュリティ侵害は、財務上の問題や社会的評価など、さまざまな影響を及ぼします。今年の調査では、企業幹部がサイバーインシデントの責任を問われる事例が増加していることが明らかになりました。51%の回答者は、サイバー攻撃を受けて取締役や経営幹部が罰金、禁固、罷免、解雇などの処罰を受けたと回答しています。さらに、50%以上の回答者が、昨年の侵害による減益、罰金、その他の費用が100万ドルを超えたと回答し、2023年版レポートの48%、その前年の38%から増加しました。

• 取締役会はビジネスにサイバーセキュリティが不可欠と認識：経営幹部や取締役会はサイバーセキュリティをますます重要視するようになり、回答者の72%が、2023年の取締役会は前年よりもセキュリティへの注目度が高まったと答えています。また、97%の回答者は、取締役会がサイバーセキュリティをビジネスの優先事項と考えていると回答しました。

採用担当者は継続的学習と認定資格を重視
ビジネスリーダーは、サイバーセキュリティの専門知識を証明するものとして、認定資格を非常に重視しています。また、認定資格保持者、または認定資格保持者と共に働く人は、その明確な利点を理解しています。今年の調査では次のような結果も得られました。

• 認定資格を持つ候補者は有利：90%以上の回答者は、認定資格を持つ候補者を優先的に採用すると回答しました。
• リーダーは認定資格によってセキュリティ態勢が改善されると回答：回答者は認定資格を高く評価しており、89%が従業員のサイバーセキュリティ認定資格取得に費用を支給する用意があると回答しました。
• 認定資格を持つ候補者を探すのは困難：70%以上の回答者は、テクノロジー関連の認定資格を持つ候補者を見つけるのが困難と回答しました。

企業は人員補充のために採用基準を拡大 サイバー人材の不足が続く中、一部の組織は採用基準を多様化し、従来型の経歴（サイバーセキュリティまたは関連分野の学位など）とは異なる実績を持つ候補者も含めることで新たな人材を獲得し、人員を補充しようとしています。このように採用条件を変更することで、特に組織が認定資格やトレーニングにも報酬を支払う意思がある場合は、新たな可能性をひらくことができます。レポートでは次のような結果も出ています。

• 組織は多様な人材プールからの採用に特化したプログラムを継続的に実施：83%の回答者は、組織が今後2～3年間のダイバーシティ採用目標を設定していると回答しました。これは昨年のレポートから変わっていませんが、2021年の89%からは若干減少しました。
• ダイバーシティ採用は年々変化：継続的な採用目標があるにもかかわらず、女性の採用は2022年の89%と2021年の88%から85%に減少、マイノリティグループからの採用は68%で変化なし（2021年の67%から微増）、退役軍人の採用は2022年の47%からわずかに増加したものの、2021年の53%からは減少して49%でした。
• 採用担当者が認定資格を重視する一方、従来型の経歴を持つ候補者を今なお優先する組織も多い：多数の回答者が認定資格を重視していると回答したものの、71%の組織は依然として大学での学位を必須条件とし、66%は従来型の教育課程修了者のみを採用しています。

組織は3本柱のアプローチでサイバーレジリエンシーを確保
大きな損害を伴うサイバー攻撃がますます頻発し、取締役や管理者個人への深刻な影響もあり得ることから、企業全体でサイバー防御を強化することが急務となっています。そのため、組織はトレーニング、意識向上、テクノロジーを組み合わせた3本柱のサイバーセキュリティアプローチに注力しています。

• ITおよびセキュリティチームが必要なセキュリティスキルを習得できるよう支援：目標達成に必要なトレーニングと認定資格取得に投資します。
• サイバーセキュリティ意識の高い現場スタッフを育成：これらのスタッフは、防御の最前線で組織のセキュリティ強化に貢献できます。
• 有効なセキュリティソリューションを利用：強固なセキュリティ態勢を構築します。

こうした組織の目標達成を支援するため、当社はフォーティネット セキュリティ ファブリックプラットフォームを通じて、50以上のエンタープライズクラスの製品から成る大規模な統合型ポートフォリオを提供しています。さらに、受賞歴のあるFortinet Training Instituteは、業界で最も広範囲なトレーニング / 認定プログラムの一つであり、すべての人がサイバーセキュリティの認定資格と新たなキャリア形成の機会を得られるようにすることに専心しています。例えばセキュリティ意識向上トレーニングでは、組織がサイバーセキュリティ意識の高い人材を育成することができます。
フォーティネット セキュリティ ファブリック:https://www.fortinet.com/jp/solutions/enterprise-midsize-business/security-fabric
Fortinet Training Institute:https://www.fortinet.com/jp/nse-training
セキュリティ意識向上トレーニング:https://www.fortinet.com/jp/training/security-awareness-training

フォーティネットの最高マーケティング責任者（CMO）、John Maddison（ジョン・マディソン）は、次のように述べています。
「フォーティネットのサイバーセキュリティスキルギャップレポート最新版の調査結果は、スキルギャップを解消するための協調的で多面的なアプローチが極めて重要であることを示しています。組織が効果的にリスクを軽減し、今日の複雑な脅威に対抗するには、適切なセキュリティ技術の活用、トレーニングと認定資格による現在のセキュリティ担当者のスキルアップ、そして、サイバーセキュリティ意識の高い人材の育成を戦略的に組み合わせて導入する必要があります。当社はこの3本柱のアプローチでスキルギャップを解消する取り組みの一環として、2026年までに100万人にサイバーセキュリティトレーニングを実施することを確約しました。この5年越しのコミットメントも折り返し地点に差し掛かり、現時点で50万人がトレーニングを修了しています」

関連資料
● サイバーセキュリティの意識向上や製品関連のトレーニングを始めとするフォーティネットの無料のサイバーセキュリティトレーニングの詳細
https://www.fortinet.com/jp/training/cybersecurity-professionals
Fortinet Training Instituteは、フォーティネットTraining Advancement Agenda（TAA）の一環として、認定ネットワーク セキュリティ エキスパート（NSE）プログラム、Academic Partner Program、Education Outreach Programも提供しています。
NSEプログラム :https://www.fortinet.com/jp/training-certification
Academic Partner Program:https://www.fortinet.com/training/academic-partner-program
Education Outreach Program:https://www.fortinet.com/training/education-outreach-program
● fortinet.com/jp/trust フォーティネットのイノベーション、協力パートナー、製品セキュリティプロセス、実証済みのサイバーセキュリティを必要とされるあらゆる場所に提供するエンタープライズグレード製品の詳細
https://www.fortinet.com/jp/trust
● 製品のセキュリティと完全性に対するフォーティネットの取り組み 当社の製品開発と脆弱性の責任ある開示のアプローチとポリシーの詳細
https://www.fortinet.com/content/dam/fortinet/assets/flyer/ja_jp/flyer-fortinet-commitment-to-product-security-and-integrity.pdf
● FortiGuard Labsの脅威インテリジェンスとリサーチや最新のサイバーセキュリティ攻撃を減災する方法をタイムリーにお知らせするアウトブレイクアラートの詳細
https://www.fortinet.com/jp/fortiguard/labs
https://www.fortinet.com/jp/fortiguard/outbreak-alert
● フォーティネットのお客様による組織の保護の事例
https://www.fortinet.com/jp/customers
● フォーティネットのX（旧Twitter）、LinkedIn、Facebook、Instagramをフォローし、フォーティネットのブログまたはYouTubeチャネルに登録してください。
X:https://x.com/fortinetjapan
LinkedIn:https://www.linkedin.com/company/fortinet/
Facebook:https://www.facebook.com/FortinetJapan/
Instagram:https://www.instagram.com/fortinet/
ブログ:https://www.fortinet.com/jp/blog
YouTube:https://www.youtube.com/@FortinetJapan

##

※本プレスリリースは、米Fortinet, Inc.が2024年6月26日(現地時間)に発表したプレスリリースの抄訳です。
原文:https://www.fortinet.com/corporate/about-us/newsroom/press-releases/2024/fortinet-annual-skills-gap-report-reveals-growing-connection-between-cybersecurity-breaches-and-skills-shortages
※この日本語版はフォーティネットのニュースルームでもご覧いただけます。
https://www.fortinet.com/jp/corporate/about-us/newsroom/press-releases/2024/fortinet-annual-skills-gap-report-reveals-growing-connection-between-cybersecurity-breaches-and-skills-shortages

■フォーティネットについて
フォーティネット（NASDAQ: FTNT）は、ネットワーク/セキュリティの融合とサイバーセキュリティの進化を、牽引し続けている企業です。あらゆる場所で、人・デバイス・データの安全を確保するというミッションのもと、お客様が必要とするすべての場所にサイバーセキュリティを提供しています。エンタープライズでの利用に対応した50を超える製品群で構成される業界最大規模の統合ポートフォリオを実現し、業界最多の導入実績、特許数、認証数に支えられ、70万を超えるお客様からの信頼を獲得しています。脅威分析とセキュリティ研究を行う組織「FortiGuard Labs」を運営し、自社開発した最先端の機械学習やAIテクノロジーを活用することで、タイムリーかつ一貫したトップクラスの保護と共に、実用的な脅威インテリジェンスをお客様に提供しています。また、「Fortinet Training Institute」では、誰もがサイバーセキュリティのトレーニングと新たなキャリアの機会を得られるよう、業界最大規模かつ最も広範なトレーニングプログラムを提供しています。詳しくは当社ホームページ、フォーティネットブログ、FortiGuard Labsホームページをご参照ください。
フォーティネットブログ:https://www.fortinet.com/jp/blog
FortiGuard Labs:https://www.fortinet.com/jp/fortiguard/labs

Copyright© 2024Fortinet, Inc. All rights reserved.「®」および「™」マークはいずれも、Fortinet, Inc.とその子会社および関連会社の米国における登録商標および未登録商標であることを示します。フォーティネットの商標には、Fortinet、Fortinetロゴ、FortiGate、FortiOS、FortiGuard、FortiCare、FortiAnalyzer、FortiManager、FortiASIC、FortiClient、FortiCloud、FortiMail、FortiSandbox、FortiADC、FortiAI、FortiAIOps、FortiAntenna、FortiAP、FortiAPCam、FortiAuthenticator、FortiCache、FortiCall、FortiCam、FortiCamera、FortiCarrier、FortiCASB、FortiCentral、FortiConnect、FortiController、FortiConverter、FortiCWP、FortiDB、FortiDDoS、FortiDeceptor、FortiDeploy、FortiDevSec、FortiEdge、FortiEDR、FortiExplorer、FortiExtender、FortiFirewall、FortiFone、FortiGSLB、FortiHypervisor、FortiInsight、FortiIsolator、FortiLAN、FortiLink、FortiMoM、FortiMonitor、FortiNAC、FortiNDR、FortiPenTest、FortiPhish、FortiPlanner、FortiPolicy、FortiPortal、FortiPresence、FortiProxy、FortiRecon、FortiRecorder、FortiSASE、FortiSDNConnector、FortiSIEM、FortiSMS、FortiSOAR、FortiSwitch、FortiTester、FortiToken、FortiTrust、FortiVoice、FortiWAN、FortiWeb、FortiWiFi、FortiWLC、FortiWLM、FortiXDRなどが含まれますが、これらに限定されるものではありません。その他の製品名およびサービス名等は、各社の商標である場合があります。フォーティネットは、本プレスリリース内の第三者に帰する声明、認可またはテストについては、検証を行っておらず、また、このような第三者に帰する声明を承認するものではありません。本プレスリリースは、保証または債務保証、または契約として一切拘束を受けるものではなく、記載された製品仕様または製品性能は、ある特定の環境や条件のもとで計測されていることがあります。また、本プレスリリースには、将来の見通しに関して不確実性および仮説を伴う記述が含まれている場合がありますが、本不確実性が現実になったり、あるいは本仮説が正しくないことが判明したりする場合、明文的あるいは暗黙的に記述された内容と異なる結果が生じることがあります。これには、サイバー犯罪活動の動向予測に関する記述などが含まれますが、これに限定されるものではありません。このような動向は予測することが困難であり、また、このような動向に関する公開予測や期待事項は結果として正しくないことがあります。フォーティネットは、このような将来見通しを改正する義務を一切負うものではなく、また改正を発行することもありません。