セキュリティ人材を採用しようとしたとき、最初に出てくる言葉はだいたい決まっている。
「そもそも人がいない」。
これは事実だ。ISC2の調査(2023年版)によれば、日本のサイバーセキュリティ人材は約48万人。それに対して約11万人が不足している。 セキュリティ関連の求人倍率は42.6倍(※業界調査データ、2025年12月時点)。IT全体の約4倍の開きがある。
数字だけ見れば、「人がいない」は正しい。
しかし採用の現場を見ていると、「人がいない」だけでは説明できないケースのほうが多い。 人がいないのではなく、企業と候補者の間に見えないギャップがあり、それが採用を止めている。
本記事では、セキュリティ人材専門の採用コンサルタントの視点から、企業が「採れない」構造的な理由と、実際に「採れている」会社がやっていることを整理する。
採れない3つの構造的理由
1. 需給ギャップ ── 母数が少ない事実は受け入れる
まず前提として、セキュリティの即戦力層はIT人材全体の中でもごく一部だ。母数が少ないのは事実であり、ここは受け入れるしかない。
ただし、「人がいないから採れない」で思考停止すると、次の2つの問題に気づけない。
2. 求人の解像度が低い
採用が止まっている企業で最も多いのが、「どのセキュリティ人材を求めているか」が曖昧なまま求人を出しているケースだ。
たとえば「脆弱性診断経験者」と一言で書いても、Web診断、プラットフォーム診断、スマホアプリ診断では求められるスキルがまるで違う。SOCとCSIRTも別の仕事だし、GRC(ガバナンス・リスク・コンプライアンス)とAppSec(アプリケーションセキュリティ)では志向する人材像がそもそも異なる。
それにもかかわらず、「セキュリティエンジニア募集。実務経験5年以上」の一行で済ませている求人票は珍しくない。
候補者はこう思う。「何をやるかわからない会社には応募しない」。
解像度が低い求人は、そもそも候補者の目に留まらないか、留まっても応募に至らない。母数が少ない領域で、入口を自ら狭めてしまっている。
3. 社内でのセキュリティ人材の評価が曖昧
もう一つ根深い問題がある。セキュリティ人材を採用した後、社内でどう評価するかが決まっていないケースだ。
「何もなかった」ことが成果であるセキュリティの仕事は、売上のように数値化しにくい。その結果、採用しても社内での位置づけが曖昧になり、候補者の間で「あの会社はセキュリティに理解がない」という評判が広がることがある。
セキュリティ人材のコミュニティは狭い。一度ネガティブな評判が立つと、その企業への応募が減る。市場に出回る人が少ない領域だからこそ、「中に入ってからどう扱われるか」の情報は候補者に伝わりやすい。
企業と候補者の「認識ギャップ」
採用が止まるもう一つの大きな原因が、企業と候補者が見ているものの違いだ。
企業が重視すること
- 資格(CISSP、情報処理安全確保支援士など)
- 経験年数(「セキュリティ実務5年以上」)
- 直近の業務内容(SOC経験、診断経験など)
候補者が重視すること
- 裁量:自分で判断して動ける環境か
- 成長環境:技術を深掘りできるか、幅を広げられるか
- 正当な評価:セキュリティの仕事が社内で理解されているか
- 働き方:リモート、シフトの有無、オンコール体制
このズレが面接で表面化する。
企業は「この候補者は資格を持っていて、○年の経験がある。条件はクリアしている」と判断する。一方、候補者は「裁量の話がまったく出てこない。面接に出てくる方(特に人事)がセキュリティの仕事を理解していない」と感じて辞退する。
条件は合っているのに、候補者が辞退する。 この現象の背景には、ほぼ必ずこの認識ギャップがある。
候補者は条件だけで会社を選んでいるわけではない。「この会社は私の仕事を理解しようとしているか」を見ている。 その姿勢が見えるだけで、「この会社は信頼できそうだ」と感じる候補者は少なくない。
採れている会社がやっていること
では、実際に採用がうまくいっている会社は何をしているのか。共通しているのは3つだ。
1. 職種を「具体的に」定義している
「セキュリティエンジニア」ではなく、「SOCのTier2アナリスト」「Web脆弱性診断のリードエンジニア」「CSIRT立ち上げを主導できるマネージャー」のように、具体的な役割として定義している。
職種の定義が具体的であれば、スカウト文面の精度が上がり、面接での会話も噛み合う。「何をやるかわかる」求人は、それだけで候補者の反応率が変わる。
人事はすべてを理解する必要はない。自社が「今、最も欲しいセキュリティ職種1つ」を言語化すること。 それだけでも解像度は大きく変わる。
2. 採用の前線に立つ人事が「1割」を理解している
現場のマネージャーやCISOがセキュリティを語れるのは当たり前だ。問題は、採用の前線に立つ人事が、セキュリティの仕事をほとんど理解できていないケースが多いことにある。
スカウトを送るのも、書類選考をするのも、一次面接で候補者と最初に話すのも人事が大半だ。その人事が「SOCとCSIRTの違い」を説明できない状態で候補者と接すれば、候補者は「この会社はわかっていない」と判断して離脱する。
人事がセキュリティエンジニアになる必要はない。実務経験も不要だ。ただし、職種の違いを説明できる最低限の理解 ── 全体の1割程度 ── があるかどうかで、候補者との会話の質はまったく変わる。
候補者は条件だけを見ていない。「この会社は自分たちの仕事を理解しようとしているか」を見ている。 その姿勢が人事から伝わるだけで、「この会社は信頼できそうだ」と感じる候補者は少なくない。
3. 候補者体験を設計している
スカウトの文面、面接の進め方、オファーの出し方。この一連のプロセスを「候補者の体験」として設計している会社は、辞退率が低い。
セキュリティ人材は複数社から同時にオファーを受けることが多い。条件が横並びのとき、最後の決め手になるのは「プロセスの中で感じた信頼感」だ。
たとえば、カジュアル面談の段階で候補者の関心領域をヒアリングし、面接に技術的なディスカッションを組み込む。選考結果のフィードバックを丁寧に行う。こうした候補者体験の積み重ねが、「この会社を選びたい」という判断につながる。
まとめ
セキュリティ人材の採用が難しいのは事実だ。しかし、「人がいない」で止まっている限り、状況は変わらない。
採れない理由を分解していくと、多くの場合、求人の解像度・候補者との認識ギャップ・採用プロセスの設計に改善の余地がある。母数が少ない領域だからこそ、これらの精度が結果に直結する。
「うちはセキュリティのことがわからないから採れない」のではない。「そもそも人がいないから採れない」── これもただの逃げだ。わかろうとする姿勢を見せるだけで、候補者の反応は変わる。1%の人材を採るには、逃げていては採れない。
セコネのセキュリティ採用アセスメント
「自社の求人票は候補者にどう見えているのか」「どこで止まっているのか」を客観的に診断します。
セキュリティ人材専門の採用コンサルタントが、求人設計・面接プロセス・候補者体験の3軸で御社の採用を分析し、改善ポイントをレポートとしてお渡しします。
著者:高田 祥
セキュリティ人材専門の採用コンサルタント。株式会社セコネ代表。
情報処理安全確保支援士(登録番号 第019946号)。上級個人情報保護士。個人情報保護監査人。CompTIA Security+。
セキュリティベンダー・事業会社のセキュリティ採用を、職種設計からスカウト・面接設計まで一貫して支援。
出典:ISC2「2023 Cybersecurity Workforce Study」、各種業界調査データ