「業種って、何?」
先日、知人にこう聞かれてハッとした。
転職サイトの登録画面を開いた瞬間に出てくる、業種選択。「IT・インターネット」「インターネットサービス」「デジタルマーケティング」「SIer」「ソフトウェア」「ハードウェア」「通信・キャリア」「その他」── たかが8項目だが、これは数ある業種選択のごく一部の例だ。
実際の登録画面には、業種・職種・領域・役割と、何階層ものプルダウンが並ぶ。そのどれも「私はここ」と完璧に即答できる人は、IT業界に長くいる人でも少ない。一見シンプルな8項目ですらそうなのに、業種以外のもっと多くの選択肢になれば、なおさら「なんとなく」になる。
私自身、1社目ソフトバンクにいた時、5年経っても、「SIer」の読み方すら知らなかった。今でも事業会社の人と面談すると、ほとんどの人が知らない。「あ、ベンダーさんのこと?」と返ってくる。
転職エージェント時代に約10年で数千人と面談してきた。今もセコネキャリアで候補者と毎日のように話している。採用コンサルの現場でも、クライアント企業のスカウト反応・応募者の動きを毎週のように見ている。そのいずれでも、10年以上前から今までずっと共通して見えてきたのは、候補者の99%は「自分の業種・職種を正確に答えられない」「プルダウンチェックはなんとなくしていて間違える」ということだ。
これは候補者の問題ではない。「分かっていない人」が作ったシステムを、「分かっていない人」が使っているだけだ。転職サイトを企画・開発しているのは、現場のセキュリティエンジニアでも採用責任者でもない。だからチェック項目の粒度が現場と噛み合わない。
そして、このすれ違いが一番ひどく出ているのが、セキュリティ採用の現場だ。
採用したいなら、馬鹿になる。先に結論を言うと、それが採用責任者として持つべき視点になる。
そもそも、転職サイトに「セキュリティ」がない
採用コンサルとして、セキュリティ人材の採用支援を主軸にしている。
セキュリティ職の求人を出すたびに、まず最初の壁にぶつかる。主要な転職サイトに、「セキュリティエンジニア」というチェック項目自体が無いことが、珍しくない。
| 媒体タイプ | セキュリティ職の扱い |
|---|---|
| 総合型転職サイト | 「セキュリティ」のカテゴリ自体が無い場合がある。あっても「セキュリティエンジニア」1つだけ |
| IT特化型 | 「セキュリティエンジニア」が1つあるか、あっても「インフラ系」「アプリ系」の2つ程度 |
| エンジニア特化型 | 「クラウド」「DevOps」「フロントエンド」「バックエンド」は細かいのに、「セキュリティ」だけ1つ、もしくは無い |
「セキュリティ」が無ければ、候補者は「インフラエンジニア」か「アプリケーションエンジニア」あたりを選ぶしかない。「セキュリティエンジニア」1つだけだと、診断・SOC・フォレンジック・製品エンジニアまでもが全部その1個に押し込められる。
採用側はどうかというと、検索フィルタに「セキュリティ」のチェックが無ければ、絞り込みようがない。「IT・通信」「インフラエンジニア」あたりで広く拾えば、今度はノイズだらけで処理しきれない。文言一致で「セキュリティ」だけで検索すると、警備員や物理セキュリティまで引っかかる。お手上げだ。
候補者は「これで良いのかな」と適当にチェックして登録し、登録したっきり自分が何を選んだかも忘れる。一方で採用側は、その不正確なチェックを頼りに、必死に人を探し続ける。
すれ違うはずだ。構造上そうなっている。
「Web診断経験者が欲しい」と思っても、誰もチェックできない
具体的にどうなるか。Web診断・PF(プラットフォーム)診断のケースで、書いてみる。
求人側の意図はシンプルだ。「Web診断経験者が欲しい」。
ところが、転職サイトの職種チェックに「Web診断」というカテゴリは無い。そこまで細かなチェック項目のある媒体は中々無い。「セキュリティエンジニア」のカテゴリがあるだけで御の字だ。
候補者本人は、Web診断の実務を経験してきたとしよう。登録画面を開いて、職種チェックを見る。「Web診断」も「セキュリティエンジニア」も無い。何にチェックすればいい?
判断はバラける。
- 「アプリケーションエンジニア」にチェック:Webアプリの脆弱性を見ているのだから、近いといえば近い
- 「ソフトウェアエンジニア」にチェック:そもそも開発出身で、診断は後から始めた人ならこっちのほうがしっくりくる
- 「セキュリティエンジニア」にチェック:それしかない媒体ならここ
- 何もチェックしない:迷ったので空欄のまま登録
採用側はどうするか。「現職が『ソフトウェアエンジニア』は開発者だから違うな、今Web診断実務経験者の人じゃないとダメだから外そう」── そう判断した瞬間に、「ソフトウェアエンジニア」にチェックしていたWeb診断経験者は、全員候補から消える。超絶なプロ診断員であっても、消える。
検索結果に出てこないから、採用側は「今月もWeb診断経験者がいない」と判断する。
実際にはいる。チェックの場所が違うだけだ。
PF診断側はもっと複雑になる。媒体によって「インフラエンジニア」1つだけ、「ネットワーク」「サーバー」の2つだけ、「クラウド」まで分かれている、最近は「DevOps」「SRE」まで独立している ── と粒度がバラバラ。
PF診断をやってきた候補者がこれをどう自己分類するか、本人視点では筋が通った判断がいくつも並ぶ。
「NWの設計構築の実務経験はないんだよな…サーバーの脆弱性は見つけてたしサーバーエンジニアで良いか」
「クラウド環境の診断もやっているから『クラウドエンジニア』かな」
「インフラ全般を見ているから『インフラエンジニア』にしておこう」
採用側はどうか。そもそも人事がサーバーとNWの差を理解していなかったりする。探しようがない。
現場が探す場合、「NWエンジニア経験があった方が良いな」と思ってNWエンジニアで絞ると、Cisco系の「TheNWエンジニア」ばかり引っかかる。「いない」。
じゃあ「サーバーエンジニア」にチェックしてさらにここに文言一致で「脆弱性診断」を入れるとどうなるか。...Web診断経験者しか出てこない。
「何でサーバーエンジニアを選択して脆弱性診断って用語入れたのにWeb診断が出てくるんだよ…」とイラっとする。
候補者の側はというと、「Webサーバーの脆弱性は見ているしサーバーエンジニアにチェックしよう。だってWeb診断ってチェックが無いんだもん。私は開発の実務経験がないままWeb診断を始めちゃったからアプリケーションエンジニアにチェックするのはためらわれるんだよな」と思っているかもしれない。
これ実は実例だ。
以前面談した候補者に「なぜ登録時サーバーエンジニアにチェックしてたんですか?」と聞いてみたら、「チェックしてました?(そもそも覚えていない)」「あ〜、チェック項目よく分からなくて、開発経験はないから適当にサーバーエンジニア選びました、Webサーバーの診断はしているので」という返事をもらったことが、マジである。
候補者は「意識していない、分かっていない」。採用側はシステムに振り回されている、とも言える。
「分かっていない人」が作って、「分かっていない人」が使う
これはセキュリティに限った話ではない。
「PdMだ」と誇りを持っている候補者でも、転職サイトの選択肢に「PdM(プロダクトマネージャー)」が無くて「PM」しか無ければ「PM」を選ぶ。採用側が「プロジェクトマネージャー」のつもりで「PM」を絞ると、プロダクトマネージャーが混ざってくる。
PdMとPMの論争は尽きないし、PdMの人がPMと言われると怒るケースもある。エージェント時代に実際に怒られたこともある。「アーキテクトという言葉を安易に使わないでください」とスカウトに苦情をもらったこともある。インフラエンジニアはどこまでを含むのか(DBエンジニアは?ミドルウェアは?)── どこまでがどの職種なのかの論争は現場で尽きないし、個々人の思いは想像以上に強い。
私自身、エージェント時代には5年目でようやくPdMとPMの差を理解した。「アセットマネジメント」という言葉も、金融業界の候補者に教えてもらって、ようやくちゃんと分かった。ITに特化した転職エージェントですら、金融業界の用語は分からない。IT分野の中でも、セキュリティは最難関だ。
では、転職サイトを作っている側は分かっているのか。
答えは「否」だ。分かっていたら「セキュリティエンジニア」を1個で済ませるなんてあり得ない。もっと細かく業種・職種を作りたくなるはずだ。システムを企画する人も開発する人も、セキュリティの現場が分かるはずがない。それは企画者・開発者であって、現場の人間ではないから当然だ。
「分かっていない人」が、転職サイトを作る。そして「分かっていない人」が、チェック項目を選ぶ。分類する側と自分とでは、頭の構造・理解・現場での使われ方・思想すら、それぞれ違う。
採用する側は「分かっていない人がシステムを作っているし、使っている」と思って、採用の組み立てを見直したほうがいい。
採用したいなら、馬鹿になれ
10年以上ひとつの業界にいると、「分からない人の気持ちが分からなくなる」。
私が常に意識しているのは、「自分が素人になる」こと。言葉は悪いが、「馬鹿になる」。
採用コンサルでも、教育でも、相手が何で躓いているか、根幹の原因は何か、ここを見失った瞬間に何も伝わらなくなる。設計したサービスは、自分本位になる。
「あ、そうか、脆弱性診断って当たり前に言っていたけど、わかんないよな」── ここから始まる。
セキュリティエンジニアでも、ごく一部しか診断に関わっていない。なのに「PF診断じゃなくWeb診断の人が欲しいって何度言ったら分かるんだ!」と現場が言っても、99%の人事は「?」となる。それは現場が悪いのでも、人事が悪いのでもない。「分かっている人」が自分の言葉のまま要件を書いて、「分かっていない人」に投げているだけだ。
システムを作るにも、コンサルをするにも、教育をするにも、採用をするにも── 「分からない人の立場に立つ」人が、結局強い。
ふと「あ、このサービス、自分本位になっていたな」と気づくシーン、ありませんか。
売上が伸びない、応募が来ない、問い合わせが少ない、スカウトに返信が来ない。そういう時こそ、「馬鹿になる」と見えてくるものがある。
セコネのセキュリティ採用支援
セコネがセキュリティ採用コンサルでやっているのも、結局はこの「馬鹿になる」視点を、御社の採用の中に取り戻すことだ。
求人票が候補者からどう見えているか。スカウトの絞り込み条件が誰を取りこぼしているか。「分かっている人」だけで回している採用設計に、外の目を一度入れて見直す。
「うちの採用、自分本位になっていないか」── そう感じたタイミングが、見直し時です。
著者:高田 祥
セキュリティ人材専門の採用コンサルタント。株式会社セコネ代表。
情報処理安全確保支援士(登録番号 第019946号)。上級個人情報保護士。個人情報保護監査人。CompTIA Security+。
セキュリティベンダー・事業会社のセキュリティ採用を、職種設計からスカウト・面接設計まで一貫して支援。