逼迫した労働市場の中でサイバーセキュリティ人材を見つける5つの方法
今回は「逼迫した労働市場の中でサイバーセキュリティ人材を見つける5つの方法」についてご紹介します。
関連ワード (正直、熱意、開発手法等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
彼は私が聞いたことのない大学を卒業した。Villanova(ビラノバ大学)で修士号を取得したが、テーマは人材育成だった。米国海兵隊で16年過ごし、軍事、文民のさまざまな職についたが、サイバーセキュリティに直接関わったことはなかった。直近の職は建設会社のプロジェクトマネージャーだった。
私の会社、Sumo Logic(スモー・ロジック)の幹部たちに、セキュリティ運用センター(SOC)のマネージャー職として彼を雇うための面接をしてくれるよう頼んだとき、私は困惑と軽蔑のまなざしで迎えられた。「なぜ私がこの男と話をするのですか?」が典型的な反応だった。「まったく向いていないと思います」。
彼らが知らなかったのは、以前私がRoland Palmer(ローランド・パーマー)氏と面接して、30分で彼が適任だと結論を下したことだった。困難な任務に挑戦することへの彼の強い願望に私は感銘を受けた。この元海兵隊員はこれまでに、アフガニスタンにおける通信運用管理や、日本の放射性物質で汚染された地域から何百人もの人々を避難させるしごとなど、数々の厳しい挑戦と直面してきた。SOCの管理は、多くの危機とトラブル報告が絶え間なく起きる過酷な仕事だが、ローランド氏は履歴書にセキュリティ業務の経験がなかったにもかかわらず、生まれついた適任者に思えた。
私は同僚たちにこう言った。「あなたがたには彼と話して欲しいのですが、しなてくも私は彼を雇うつもりです」。結局全員がローランド氏に一目惚れした。彼は職を得た。
あれは3年前のことだった。2020年にローランドはシニアSOCマネージャーに昇進した。同じ年、彼は会社で最高水準の従業員功績表彰を受けた。
私がこの話をしているのは、信じられないほど競争の激しい雇用市場で優れた人材を雇う、という最大の難関を超えるために会社とサイバーセキュリティ組織は何をすべきかをものがたっていると思うからだ。
「サイバーセキュリティスキル危機は年々悪化の一途をたどり、半数以上(57%)の組織が影響を受けています」と、Information Systems Security Association(情報システムセキュリティ協会)とアナリスト会社のEnterprise Strategy Group(エンタープライズ・ストラテジー・グループ)がまとめた最新の報告書はいう。現在サイバーセキュリティ職には350万の空席があり、これはNFL(ナショナル・フットボール・リーグ)のスタジアム50個を満席にする人数だとCybersecurity Ventures(サイバーセキュリティ・ベンチャーズ)はいう。
ランサムウェア攻撃やデータ侵害、サプライチェーン襲撃が急増する今、2021年前半の全世界におけるサイバー攻撃の件数は、前年同時期に比べて125%増加した。Accenture(アクセンチュア)の調査による。果たして企業は何をすべきなのか?
今日の最高セキュリティ責任者(CSO)は、人材探しを主要業務の1つとして受け入れるだけではなく、積極的に活用していく必要がある(私は週の少なくとも10%を充てており、それ以上のことも多い)。そして、優れたセキュリティ専門家がどこから来るかに関する古い先入観を捨て、自由で創造的な人探しをしなくてはならない。
5つのアドバイス:
正直な話をしよう。採用にあたり、誰でもいいから連れてこようという誘惑にかられることがある。それは、サイバーセキュリティ職が必要だからだけでなく、不調な四半期の後に空席の職がレイオフで減らされないよう人員を確保しなくてはいけない、という圧力が加わるためだ。
これをやってはいけない。サイバーセキュリティは、仕事のできないチームメンバーを抱えておくにはリスクが高すぎるくらい重要だ。
有名大学を出ることは名誉であり、その価値を疑うつもりは毛頭ないが、私の必要条件リストでは下の方に位置する。意欲、熱意、ストレス下での平静、団結心、そして状況認識のほうがはるかに重要だ。
2015年のSumoでの最初の1週間、私はスタンフォード、UCバークレー、MITなどの大学を卒業した同僚幹部たち数人と、顔合わせを行った。自分について話す番が来たとき、私は会議室の全員に向かって自分の母校について話した。Regis University(レジス大学)はコロラド州デンバーにあるイエズス会系の小さな大学だ。
私は気後れしなかった。誇りを持っていた。そして人を雇うとき、私はスキルと個人の資質を学歴よりも優先する哲学を今も守っている。
サイバーセキュリティ部門で働くことは、世界で最もストレスのかかる仕事の1つであり、慢性的な悩みで燃え尽きてしまいがちだ。 Chartered Institute of Information Security(情報セキュリティ協会)の報告によると、セキュリティ専門家の51%が仕事のストレスで夜寝られないという。
そういうわけで、過去のセキュリティ経験は大きなプラスではあるものの、プレッシャーに対処し、さらにはプレッシャーを楽しむ能力が等しく重要だ。私は求職者に必ずこういう「この仕事は単調でつらいものになります。しかしその使命は絶対不可欠です」。これを聞いて目を輝かせる人がいる、それこそ求めている人材だ、履歴書になんと書かれていようとも。
ローランド・パーマー氏は、最高のサイバーセキュリティ専門家が必ずしもサイバーセキュリティ世界から来る必要がないことを示す一例だ。しかし、他にもたくさんある。
例えば私はソフトウェア開発組織がセキュリティ人材の育成に好適な場所であることを発見した。 DevOps(デブオプス)などのアジャイル開発手法は、開発と運用とセキュリティを伝統的な縦割り構造から引っ張り出した。今や全員が力を合わせて、迅速で効率的で堅牢なソフトウェアパイプラインを育てることを期待されている。
これによって、デベロッパーがセキュリティの専門知識の幅を広げ、会社のソフトウェアライフサイクルを別な形で推進しながら、自らの領域を広げる新しい機会を与えることができる。
私はよく開発者にこういう「うちのチームに入れば、クラウドのインフラストラクチャの仕事も、アプリケーションの仕事も、APIとマイクロサービスを融合させる仕事もすることができます。そしてその過程でソフトウェアパイプラインの高いレベルの理解を深め、セキュリティが織り込まれたカルチャーを推進することができます。そして将来エンジニアリングに戻ることにした時、あなたは今や決定的に重要な幅広い経験とセキュリティ習慣を身につけたうえで戻ることができます」。
私は経理業務の経験者にも注目している、それは彼らに規制遵守の姿勢とセキュリティ業務に不可欠な細部への注意力があるからだ。
私がセキュリティ業務を始めた頃、他の社員が廊下を歩く私を見て隠れるようになったのを感じた。彼らには私が、何かのセキュリティ問題で叱りつけにきた悪い奴に見えていた。
今のより協調的なカルチャーでは、もはやそれは受け入れられない。セキュリティ専門家は、信頼できるてームメートとして近くにいて安心感をあたえる存在にならなければならない。
好むと好まざるとにかかわらず、一流の人材を雇うことは、CSOの仕事の中で最も重要かつ困難な部分になってきており、すぐには変わりそうにない。しかし、決断力と形にとらわれない思考があれば、困難に打ち勝つ答えを導くことができるだろう。
編集部注:本稿の執筆者George Gerchow(ジョージ・ガーチョウ)氏は、 Sumo Logicの最高セキュティ責任者。
画像クレジット:Ivan balvan / Getty Images
【原文】
He graduated from a college I’d never heard of. He earned a master’s degree from Villanova, but it was in human resources development. He spent 16 years in the Marine Corps in various military and civilian roles, but none directly involved cybersecurity. His most recent job was as a project manager at a construction firm.
When I asked other senior executives at my company, Sumo Logic, to interview him for a security operations center (SOC) manager position, I initially was met with shoulder shrugs and eye rolls. “Why am I talking to this guy?” went the typical response. “He doesn’t seem a fit at all.”
What they didn’t know was that in my earlier interview with Roland Palmer, I concluded within a half-hour that the job was his. I was blown away by his intense desire to take on hard assignments and win. This ex-Marine had faced daunting challenges, such as planning communications operations in Afghanistan and helping evacuate hundreds of people from an area in Japan contaminated by a nuclear spill. Managing a SOC can be grueling, a constant barrage of crises and incident tickets, but Roland, despite the lack of security work on his resume, seemed born for it.
I told my colleagues, “I’d like for you to talk to him, but if you don’t, I’m hiring him anyway.” They ended up falling in love with Roland, too. He got the job.
That was three years ago. In 2020, Roland was promoted to senior SOC manager. The same year, he won our company’s highest award for employee achievement.
I’m telling this story because I think it says something about what companies and their cybersecurity organizations need to be doing to power over one of their highest hurdles: hiring great talent in an absurdly tight labor market.
“The cybersecurity skills crisis continues on a downward, multi-year trend of bad to worse and has impacted more than half (57%) of organizations,” said a recent report by the Information Systems Security Association and analyst firm Enterprise Strategy Group. There are now 3.5 million unfilled cybersecurity jobs – enough to fill 50 NFL stadiums – according to Cybersecurity Ventures.
At a time when ransomware attacks, data breaches and supply chain intrusions are skyrocketing — the volume of cyber intrusion activity globally soared 125% in the first half of 2021 compared with the same period last year, according to an Accenture study – what is a company supposed to do?
Cybersecurity is too important to risk having team members who can’t (no pun intended) hack it. Wait to find the best people, no matter what.
Today’s chief security officer (CSO) needs to start by not only accepting but embracing the talent hunt as a core part of the job. (I spend at least 10% of my week on it, often more.) Then they need to tear up old assumptions about where good security professionals come from and be open-minded and creative in their search.
Five pieces of advice:
Beware the warm body syndrome
Let’s be honest: It’s tempting to just grab anyone you can, not only because cybersecurity jobs need to be filled but due to additional pressures such as protecting headcount before any open positions are cut in a layoff after a bad quarter.
Don’t do it. Cybersecurity is too important to risk having team members who can’t (no pun intended) hack it. Wait to find the best people, no matter what.
Degrees, shmegrees
Graduating from a prestigious institution is a feather in someone’s cap, and I don’t at all mean to discount it, but it’s down my list of prerequisites. Drive, ambition, calm under pressure, team spirit and situational awareness are far more important.
In my first week at Sumo, in 2015, I attended an introductory meeting with several fellow executives who had graduated from schools like Stanford, UC-Berkeley and MIT. When it was my turn to share more about myself, I told everyone around the conference table about my alma mater: Regis University, a small Jesuit university in Denver.
I wasn’t embarrassed; I was proud. And in hiring others, I’ve maintained a philosophy of valuing skills and personal qualities over college backgrounds.
Resilience matters as much as or more than experience
Working in a cybersecurity organization is one of the world’s most stressful jobs, with burnout a constant concern. According to a report by the Chartered Institute of Information Security, 51% of security pros are kept up at night by work stress.
So while past security experience is a huge plus, an ability to handle or even relish the pressure matters as much. I always tell job candidates, “This job is going to be a grind, it’s going to be tough. But the mission is vital.” Some people’s eyes light up when they hear this – that’s who you want, regardless of what’s on their resume.
Exploit nontraditional sources
Roland Palmer is one example of how the best cybersecurity pros don’t necessarily come from the cybersecurity world. But there are many others.
For example, I’ve found software development organizations to be a fertile breeding ground for security talent. Agile development methods such as DevOps are taking development, operations and security out of their traditional silos. Everyone is now expected to work together to foster a fast, efficient, secure software pipeline.
This offers new opportunities for developers to stretch out into the security specialty and help drive the company’s software lifecycle in a different way while expanding their own horizons.
As I often tell developers, “If you join our team, you get to work on infrastructure in the cloud, you get to work on applications, and how APIs and microservices play together. And along the way, you’re developing a higher-level understanding of the software pipeline and helping drive a security-baked-in culture. And if you decide to return to engineering in the future, you’re better prepared to do so with broader experience and the security mindset that has become so crucial.”
I also look at folks with financial operations backgrounds because of their regulatory compliance orientation and attention to detail that is essential to security work.
Seek empathy
When I got started in security, I sensed other employees would hide from me when they saw me walking down the hall. They viewed me as the bad guy arriving to rap their knuckles over some security issue.
In today’s more collaborative culture, that no longer flies. Security pros need to be seen as trusted teammates to feel comfortable around. Therefore, a collaborative, empathetic personality is a trait I always look for in prospective hires.
Whether they like it or not, hiring top-notch people has become one of the most important and challenging facets of a CSO’s job, and that won’t change anytime soon. But with determination and some out-of-the-box thinking, they can answer the challenge.
(文:George Gerchow、翻訳:Nob Takahashi / facebook )