NewsAngle
NewsAngle

AI時代に急伸するサイバーセキュリティ人材需要と採用難の構図

by 坂本 亮
URLをコピーしました

AI普及で防御人材が増える逆説

生成AIは、ソフトウェア開発の速度を大きく引き上げました。設計案、コード、テスト、運用手順まで短時間で作れるようになり、企業は少人数でも多くの機能を市場に出せます。ところが、この効率化はサイバーセキュリティ人材の需要を減らすどころか、むしろ押し上げています。

理由は単純です。AIが増やすのは生産性だけではなく、検証すべきコード、接続されるシステム、攻撃者が試せる経路も同時に増やすからです。BLS、CyberSeek、ISC2などの統計を重ねると、AI時代の成長職種は「AIを作る人」だけではありません。AIが生んだ複雑さを安全側に引き戻す、サイバー防御の専門家も重要な成長領域になっています。

求人統計が示すサイバー需要の底堅さ

米国雇用予測で突出する伸び率

米労働統計局は、情報セキュリティ分析職の雇用が2024年から2034年にかけて29%増えると予測しています。全職種平均の3%、コンピューター関連職全体の9%と比べても、伸び率は際立っています。年間の求人機会も平均で約1万6000件とされ、退職や職種転換の補充だけでなく、新しい需要そのものが発生していることが分かります。

賃金面でも、同職種の米国での年収中央値は2024年5月時点で12万4910ドルです。もちろん地域や産業で差はありますが、企業がセキュリティを単なる保守費用ではなく、事業継続に直結する専門職として扱っていることを示す水準です。AI導入が進むほど、モデル、API、クラウド、データ基盤を横断してリスクを読める人材の価値は上がります。

BLSは需要増の背景として、サイバー攻撃の増加に加え、AI利用と電子商取引の拡大を挙げています。ここで重要なのは、AIが「防御を自動化するから人が不要になる」という直線的な話ではない点です。攻撃と防御の双方でAIが使われるほど、アラートの優先順位付け、脆弱性の深刻度判断、経営判断への翻訳といった、人間の責任を伴う作業が増えます。

求人の厚みを支える横断需要

CyberSeekのヒートマップは、米国のサイバー関連求人が広い産業に分布していることを示しています。2025年の全国データでは、オンライン求人が45万件超の規模で確認されています。さらに2025年6月のCyberSeek資料では、NICEフレームワーク上の「監督とガバナンス」「実装と運用」「設計と開発」「保護と防御」に、それぞれ数十万件規模の求人が対応付けられています。

これは、サイバーセキュリティがSOCの監視担当や侵入テスト担当だけの市場ではなくなったことを意味します。規制対応、クラウド設計、アプリケーション開発、ID管理、サプライチェーン管理まで、職務の境界が広がっています。AIを業務に入れる企業では、モデルに渡すデータ、エージェントに許す操作、外部ツール連携の権限も設計対象になります。

World Economic Forumの「Future of Jobs Report 2025」も、ネットワークとサイバーセキュリティを、AIとビッグデータ、技術リテラシーと並ぶ成長スキルとして位置付けています。職種単位でも、セキュリティ管理専門職や情報セキュリティ分析職が成長職種として挙げられています。AIが知識労働の一部を代替する一方で、AIを含むデジタル基盤を守る仕事は別の需要曲線を描いています。

経験者偏重が生む入り口の細さ

ただし、需要が強いことと、未経験者が容易に採用されることは同じではありません。CyberSeekの資料は、サイバー人材の供給需要比率を74%とし、採用期間が平均で21%長いことにも触れています。企業は人手不足を訴えながら、実際の求人ではクラウド、ネットワーク、プログラミング、監査、インシデント対応の経験を一度に求めがちです。

ISC2の2025年調査も、採用側が求める上位スキルに問題解決、協働、コミュニケーション、学習意欲、戦略的思考を挙げています。現場のサイバー専門家は、AIやクラウドセキュリティも需要の高い技術スキルとして認識しています。つまり採用市場では、単にツール名を知っている人ではなく、技術リスクを関係者に説明し、優先順位を決め、運用に落とせる人が不足しています。

この構造は、若手には厳しい面があります。AIで一次分析や定型作業が効率化されるほど、初級者が経験を積む足場が細くなるからです。一方で、組織側がセキュリティチャンピオン制度、実務型演習、開発チーム内のセキュア設計教育を整えれば、入口を広げながら中堅層を育てる余地はあります。採用難の解決は、求人票の条件を積み上げることではなく、育成可能な仕事を設計し直すことにあります。

生成AIが広げる攻撃面と検証負荷

AI生成コードに残る既知の弱点

サイバー人材需要を押し上げる第一の要因は、AIが書くコードの量です。Veracodeの2025年調査と2026年春の更新では、複数の大規模言語モデルを対象にしたコード生成テストで、全タスクのうち安全なコードになった割合は55%にとどまったとされています。言い換えれば、少なくないケースで既知の弱点を含むコードが生成されます。

この数字は、AIコーディングの価値を否定するものではありません。問題は、生成速度にレビュー速度が追いつかないことです。開発者がAIで実装を増やすほど、静的解析、依存関係管理、シークレット検出、脆弱性修正、設計レビューを担うセキュリティ側の作業も増えます。生成AIは「コードを書く人」を補助しますが、「安全だと判断する責任」までは自動的に引き受けません。

OWASPのLLMアプリケーション向けTop 10も、プロンプトインジェクション、機密情報漏えい、サプライチェーン、データとモデルのポイズニング、過剰なエージェンシーなどを主要リスクに挙げています。従来のWebアプリ脆弱性に加え、モデルの入力、出力、記憶、外部ツール実行、RAGのデータ接続まで、レビュー対象が広がっています。

Mythosが示した発見速度の段差

第二の要因は、脆弱性の発見と悪用の速度が変わり始めたことです。Anthropicは2026年4月、Claude Mythos Previewを使うProject Glasswingを発表しました。公開情報では、Amazon Web Services、Apple、Google、Microsoft、NVIDIA、Palo Alto Networksなどの組織が関わる防御目的の取り組みとして説明されています。

Anthropicは、Mythos Previewが重要ソフトウェアから多数の高深刻度脆弱性を見つけ、主要OSや主要ブラウザーにも影響が及ぶ発見があったと説明しています。5月の初期報告では、1000超のオープンソースプロジェクトを対象に、AIが推定した高または重大レベルの脆弱性が6202件、全体では2万3019件に達したとされています。独立したセキュリティ企業などが精査した1752件のうち、90.6%が真陽性だったという点も重い材料です。

ここで発生している変化は、「脆弱性を見つける能力」の希少性が下がり、「発見後に正しく扱う能力」の希少性が上がることです。AIが大量の候補を出せるなら、次に足りなくなるのはトリアージ、再現、影響範囲の特定、責任ある開示、パッチ設計、回帰テスト、顧客説明です。Anthropicの初期報告も、発見そのものより検証、開示、修正が律速段階になっていると示しています。

この現象は、防御側にとって好機でもあります。人間だけでは見逃していた古い欠陥や複雑な組み合わせを、AIが見つける可能性があるからです。ただし攻撃者側も同じ方向に進みます。CrowdStrikeの2026年脅威報告は、AIを使う攻撃者による攻撃の増加、平均ブレイクアウト時間の短縮、マルウェアを使わない侵入の多さを示しています。防御チームは、攻撃速度の上昇を前提に運用設計を見直す必要があります。

シャドーAIと供給網が生む統制負荷

第三の要因は、企業内でAI利用が公式な統制より早く広がることです。IBMの2025年「Cost of a Data Breach Report」に関する発表では、侵害を経験した組織の63%がAIガバナンスポリシーを持たない、または策定中だったとされています。また5社に1社がシャドーAIに起因する侵害を報告し、シャドーAI利用が高い組織では侵害コストも上がったとされています。

シャドーAIは、単なる利用規定違反ではありません。社員が機密情報を外部AIに入力する、未承認のAIエージェントが業務アプリに接続する、モデル出力を検証せず顧客向け処理に流す、といった形で具体的な攻撃面になります。NISTの生成AIプロファイルも、バックドア、依存関係の侵害、データ漏えい、モデル窃取、推論回避、自律エージェントなどを評価対象に含める必要を示しています。

供給網のリスクも無視できません。Verizonの2025年DBIRは、第三者が関与する侵害の割合が倍増し、脆弱性悪用も増えたと報告しています。AIを使う企業は、自社コードだけでなく、OSS、SaaS、AIモデル、プラグイン、ベクトルデータベース、認証基盤まで含めて依存関係を把握しなければなりません。この広がりが、セキュリティエンジニア、アプリケーションセキュリティ担当、クラウドセキュリティ担当、GRC担当の需要を同時に押し上げています。

自動化時代に残る人間の判断領域

AIは防御現場の生産性を高めます。ISC2の2025年調査では、AIセキュリティツールを使っているチームの63%が生産性の大きな向上を感じているとされています。ログ要約、脅威インテリジェンスの整理、検知ルールの下書き、脆弱性修正案の作成などは、今後さらに自動化される領域です。

一方で、自動化が進むほど人間の仕事は消えるのではなく、より高い判断へ移ります。AIが示した脆弱性候補を本当に悪用可能と見るのか、業務停止を伴うパッチをいつ適用するのか、顧客にどこまで説明するのか、規制当局へいつ報告するのか。これらは技術だけでなく、事業、法務、広報、倫理を横断する判断です。

リスクは、企業がAIツール導入を「人員削減の代替」と誤解することです。アラートの山をAIで要約しても、資産台帳が古く、権限設計が曖昧で、開発プロセスにセキュリティレビューが埋め込まれていなければ、根本的な防御力は上がりません。むしろ自動化で処理量だけが増え、少数の経験者に説明責任が集中する危険があります。

今後伸びるのは、AIを監督できるセキュリティ人材です。モデルの限界を理解し、検知と修正を自動化しつつ、重大判断は人間のレビューに戻す設計が求められます。セキュリティ専門家は「AIに置き換えられにくい職種」ではなく、「AIを使うほど責任範囲が広がる職種」と捉える方が実態に近いです。

採用と学習で注視すべき実務指標

企業がまず見るべき指標は、採用人数だけではありません。AI生成コードのレビュー待ち件数、重大脆弱性の平均修正時間、未承認AIツールの利用状況、重要システムのMFA適用率、外部依存関係の棚卸し率を追う必要があります。求人票には、資格名の羅列よりも、どのリスクをどの権限で減らす役割なのかを明記すべきです。

個人が学ぶべき領域も明確です。ネットワーク、OS、クラウド、Webアプリ、ID管理、セキュアコーディングを土台に、AIエージェントの権限設計、プロンプトインジェクション対策、RAGのデータ管理、モデル出力の検証を重ねることが有効です。AIツールを使えること自体より、AIの出力を疑い、再現し、修正に結び付ける力が評価されます。

AI時代のサイバー人材需要は、一時的な流行ではなく、デジタル社会の構造変化から生じています。AIがコードと攻撃面を増やすほど、防御側には物理学でいう保存則のように、別の場所で検証と統制の負荷が現れます。採用する企業も、学ぶ個人も、その負荷がどこに移っているのかを見極めることが次の一手になります。

参考資料:

坂本 亮

テクノロジー・サイエンス

宇宙開発・AI・バイオテクノロジーなど最先端の科学技術を、社会的インパクトの視点から読み解く。技術と倫理の交差点を追い続ける。

関連記事

データセンター窃盗が映すAIサプライチェーン防衛の新たな盲点

アイスランドのビットコイン採掘機窃盗から米国の130万ドル相当データセンター資材窃盗まで、AI時代のクラウド基盤はサイバー攻撃だけでなく、物流詐欺、内部者、銅線やGPUの転売、電力制約という物理リスクにさらされている。拡大するAIインフラ投資の裏側で、データを支える「現場」を守る多層防衛の論点を解説。

AI企業が哲学者を採る理由、モデル倫理を担う新職種の現実と限界

OpenAI、Anthropic、Google DeepMindがモデル仕様書やClaudeの憲法、民主的入力に哲学的思考を取り込む理由を整理。AI安全性と倫理設計を前進させる可能性、25万ドル級求人が生まれる人材市場の変化、Google DeepMindの実例、倫理ウォッシュや商業圧力で効力が薄れるリスクまで解説。

Anthropic最強AI制限解除、米規制転換の深層分析と課題

米政府は6月12日に停止されたAnthropicのFable 5とMythos 5の輸出規制を6月30日に解除した。サイバー悪用懸念、99%防御策、CAISI評価、AWSやGoogle Cloudでの再開、企業利用への影響を軸に、日本企業の今後の導入判断にも及ぶフロンティアAI統治の新局面を読み解く。

Anthropic Mythos規制緩和で揺れる米AI統制の行方

米商務省がAnthropicのMythos 5を重要インフラ防衛組織に限定復旧した一方、Fable 5の制限は継続。6月2日の大統領令、6月12日の輸出管理指令、OpenAIへの限定公開要請、欧州の主権論争を照合し、サイバー能力が国家管理の対象になる米AI規制と企業戦略の新たな転換点の深層を読み解く。

AnthropicのAI停止が映す輸出管理新時代と安全保障論

米政府はAnthropicのFable 5とMythos 5を外国人に使わせない輸出管理を命じ、同社は全顧客のアクセスを停止した。サイバー防衛に有益な高性能AIを国家安全保障資産として扱う判断が、研究利用、企業導入、国際競争に及ぼす影響を、米輸出規制とモデル安全性の交点から日本企業が読むべき論点まで解説。

最新ニュース

アルツハイマー病血液検査が拓く早期診断と発症予測の臨床最前線

p-tau217などの血液バイオマーカーは、PETや髄液検査に頼った診断を変えつつあります。FDA承認検査、Nature Medicineの発症予測研究、JAMA報告の精度と限界を整理し、発症前検査の倫理、治療薬との接続、かかりつけ医での実装課題まで、臨床導入で何が変わるのかを最新研究から読み解く。

米住宅危機が老後資金を直撃し退職不安を広げる米国資産格差の構図

米国では住宅が生活の場から老後資産へ変わり、持ち家世帯の純資産増と賃貸世帯の家賃負担が退職準備の格差を広げています。FRB家計調査は住宅純資産の増加と購入難を示し、国勢調査や401(k)データは家賃、金利、退職口座の弱さを映します。米国経済の構造変化として、住宅危機が年金不安へ連鎖する仕組みを読み解く。

NY州データセンター停止令が問うAI投資と電力政治の歴史的転換点

NY州が50MW以上の大型データセンターを最長1年停止し、環境影響評価と送電網負担の新基準を作る。AI投資、電気料金、水利用、州議会案、連邦FERCとの力学を整理し、全米初の州全域モラトリアムが他州規制、技術覇権、生活コスト、地域雇用、税優遇の見直しに広がる、日本企業にも及ぶ示唆と政策転換を読み解く。

米EV後退が揺らすデトロイト自動車産業と中国EVの低価格戦略

米国EV市場は補助金終了と高価格で失速する一方、中国勢は低価格モデルと輸出攻勢で成長を続けます。Ford、GM、Stellantisの戦略後退は、雇用や設備投資だけでなく金融市場の評価にも波及します。IEAやCoxの統計を基に、世界需要、政策変更、価格競争から米製造業の競争力低下の構図を深く読み解く。

米国人口減少が早まる理由と社会保障危機を左右する移民政策の行方

CBOは米国人口が2026年349百万人から2056年364百万人へ伸び悩み、2030年に死亡数が出生数を上回ると予測した。出生率低下、移民減少、2034年の社会保障信託基金枯渇、学校と労働市場の縮小を手がかりに、家族支援、移民統合、教育投資の優先順位を含め、これから米国社会が人口減少へ備える制度転換を読み解く。