【2023全球資安人才趨勢】全球缺少343萬資安人才，雲端安全與資安分析職務需求最高

培植資安人力是全球重視的議題，了解臺灣本身的需求之餘，國際間的現況也影響整體供需發展。為了瞭解全球的態勢，我們特別統整數個重要的資安人才調查報告。

最大技能需求並非硬性技術，而是溝通領導等軟性技能

首先，在資安人力需求方面，從國際資訊系統安全認證協會（ISC）²的資安人力研究報告來看，2022年10月底的最新報告顯示，估計2022年全球資安勞動力規模，已增至465萬人，相較於前一年度報告中指出，2021年全球資安勞動力規模為419萬人，明顯多出1成；不僅如此，在資安人力缺口方面，2022年已達343萬人，比2021年公布的272萬人，更加擴大。

在這份數據當中，亦呈現近年全球資安勞動力的發展規模。以2020到2021年間為例，全球呈現20%的增長，當中除了美國、歐洲、亞太都有顯著增長，受關注的是，德國、新加坡的成長幅度更是高達165%與61%，顯示兩國資安人力市場有明顯的擴大。

在多份資安人力相關的報告與調查中，還呈現了幾個重要的態勢。例如，在國際電腦稽核協會（ISACA）2022網路安全狀況報告中，指出資安人才最大技能缺口，第一是溝通、靈活性、領導等的軟性技能，其次是雲端運算、資安控制。顯然，資安人才需要的不只是技術上的硬實力，軟實力更受看重。

在資安業者Fortinet的2022年網路安全技能差距調查報告則顯示，全球企業找尋的資安人才中，有半數組織表示，最需要雲端安全方面的資安工作角色，其次為安全維運分析師、資安管理人員、資安架構師。

特別一提的是，資安意識與訓練管理者排名第五，比起網路架構師、DevSecOps專家、事件應變專家的排名還高。

而從Cyberseek資料來看，儘管主要針對美國市場統計，但也相當具參考性。具體而言，在美國國家安全教育倡議組織（NICE）及LighCast、CompTIA共同推動的CyberSeek網站上，以互動式圖表列出美國當地資安就業市場的現況，特別的是，當中顯示全國與各州當地市場企業招募的資安職務數量排名。若以該國整體市場來看，需求較高的前三大工作職缺，分別是：資安分析師、軟體開發人員、滲透測試與弱點測試人員，是目前當地最受歡迎的資安職務。

此外，在不同調查報告中，我們認為顯示了下列四大態勢。

一、近年企業更重視多元化團隊，因此招聘新畢業生，對女性、少數族群，甚至是退伍軍人，都變得更加積極。

根據資安業者Fortinet發布的2022 cybersecurity skills gap報告指出，過去3年有87%比例的組織表示，當招聘新畢業生時，積極尋求實現多元化團隊的目標。另外，有88%的企業積極招聘更多女性，有67%積極招聘少數族群，有53%刻意尋找退伍軍人。整體而言，臺灣近年已逐漸在強調資安女力的崛起，但對於少數族群、軍人的招聘議題，在國內是較少聽聞。

二、企業評定資安人選符合資格的重要因素，仍以先前有實務經驗為主，顯示資安防護急迫，因此偏好資安熟手。

在ISACA的2022網路安全狀況報告中，關於企業如何識別資安人員是否有資格的調查結果中，最主要的因素仍是「先前的資安實務經驗」（認為非常重要占73%），「證明專業能力的學歷、文件或證書」排第二（認為非常重要占36%，有一些重要佔52%），「實際操作訓練」排第三（認為非常重要占25%，有一些重要佔56%），其他依序為：員工推薦、大學學位與協會會員。

三、雖然企業挑選人才看重實務經驗，證照居次，但其實要找到有證照的資安人才，並不容易。

根據資安業者Fortinet的報告指出，有90%的企業表示，更願意雇用擁有技術證照的人，但也有73%企業表示，很難找到擁有這些證照的人。而這也是為何有90%組織願意為員工的培訓和認證付費的原因。

四、一位資安專業人員要花多少時間，職能才能趨於熟練？普遍認為需耗費3至5年才能養成。

根據Enterprise Strategy Group（ESG）、資訊系統安全協會（ISSA）的2021年資安專業人士生涯時代報告，一位資安專業人員需要多久時間才能熟練掌握相關技能？在受訪者的看法中，回答需要5年以上的比例有17%，需3至5年為35%，需要2至3年為25%，另外回答至少1年為3%。

國際資訊系統安全認證協會（ISC）²在2022年發布的資安人力研究報告，指出全球資安勞動力持續增長，但專業人才需求的差距也在擴大。他們估計2022全球資安人力缺口為343萬人，比前一年度的272萬更多，從地區別來看，2022年歐洲與亞太的人才需求明顯高漲。

根據國際電腦稽核協會（ISACA）的2022網路安全狀況報告指出，在資訊安全人力發展的面向中，關於受訪企業認為資安人才最大技能缺口一題，軟性技能（54%）為第一，而今年新增的雲端運算項目居第二（52%），資安控制實施第三（34%），其次為撰寫程式碼技能，以及軟體開發、資料與網路相關主題。

在國際資訊系統安全認證協會（ISC）²的2021年資安人力研究報告中，特別點出全球近三年的資安勞動力規模成長態勢，可以看出呈現了逐年增長情形，不僅是美國、歐洲與亞太，若以個別國家來看，德國的資安勞動力規模成長最顯著，從17.5萬人躍升至46.4萬人，而新加坡也從5.7萬人增長至9.2萬人。

填補雲端資安人才是當前大難題，求才、留才不易也是挑戰

特別的是，還有其他資安人力調查呈現的結果同樣值得關注。例如，在ISC²的2022網路安全人力研究報告提到，自動化在資安領域越普及，有57%的組織，已經採用自動化，並有26%企業表示，有意在未來採用。

我們可以想見，自動化不太可能取代資安人員，但如果能將高度重複、可規則化的流程自動化後，能夠釋放更多員工的時間，讓他們專注於更高層次的任務。

該報告也指出，高達7成企業表示資安人才短缺，然而，要解決這樣的問題並不容易，該怎麼做？

他們在調查中發現一些組織可著重的三大關鍵。第一，公司決策者應積極聆聽員工的聲音，才能瞭解人員短缺的具體情況；第二，重視內部培訓，包括工作輪調、指導計畫，以及鼓勵非IT員工學習網路安全，他們發現有這三項措施的組織，最不容易出現人員短缺的情形；第三，招聘資安人才時，應與人力資源部門合作，而在此項調查中顯示，僅有52%受訪者表示，雙方有良好工作關係。

此外，公司文化對於員工的工作體驗，也會帶來很大程度的影響，而這將反映在留才的挑戰上。

值得一提的是，2023年我們看到資安業者Fortinet，在臺灣突然公開表達他們的觀察。該公司針對全球資安技能差距的議題，特別在臺灣舉辦記者會說明，以外商而言相當少見。

一方面是該公司先前曾發布相關的調查報告，再加上該公司本身在臺設有研發團隊，綜合這些因素之後，可能促使他們決定在臺公開揭露這方面的見解，表現他們對於臺灣資安人才招募與培育的重視。

其中一項調查結果，相當引人注目，那就是：資安能力短缺是否會為企業組織帶來額外的風險？Fortinet北亞區技術總監劉乙表示，全球有68%比例的企業表示肯定，然而，有56%的企業認為難以招聘人才，54%企業認為難以留住資安人才。

關於企業組織最需要哪些資安能力？在最多選擇三種的情況下，第一名是雲端安全，這顯示雲端資安人員目前相當欠缺，大家都搶著招募，第二名是威脅情資，其次為惡意程式分析、安全系統維運，以及資安基礎建設。

至於企業目前最難填補的資安人才角色，以雲端安全與安全維運這兩類的需求最高，其次為網路安全、軟體開發安全與風險管理。

根據Fortinet的2022網路安全技能差距報告示，有半數組織表示，最需要雲端安全方面的資安工作角色，其次為安全維運分析師、資安管理人員。

在ISACA的2022網路安全狀況報告中，關於企業如何識別資安人員是否有資格的調查結果中，最主要的因素仍是「先前的資安實務經驗」（認為非常重要占73%），「證明專業能力的學歷、文件或證書」排第二（認為非常重要占36%，認為有一些重要佔52%），「實際操作訓練」排第三（認為非常重要占25%，認為有一些重要佔56%），其他依序為員工推薦、大學學位與協會會員。

在美國國家安全教育倡議組織（NICE）及LighCast、CompTIA共同推動的CyberSeek網站上，以互動式圖表列出美國當地資安就業市場的現況，特別的是，當中顯示了全國與各州當地市場企業招募的資安職務數量的排名，等於是目前最受歡迎的資安職務，從該國整體市場來看，以資安分析師、軟體開發人員這兩類人才最受歡迎，需求最高。

根據The Life and Times of Cybersecurity Professionals 2021報告中指出，一位資安專業人員需要多久時間才能熟練掌握相關技能？也就是能有豐富知識並具高效率。在受訪者的看法中，回答需要5年以上時間的比例有17%，需要3-5年時間的比例為35%，需要2-3年時間的比例為25%，另外回答至少1年的比例為3%。

根據資安業者Fortinet指出，有8成3企業受訪者表示，他們持續會將多元化團隊招聘，作為未來2到3年目標之一，而調查中也指出，企業組織有針對女性、少數族群、軍人的招聘計畫，數量都在7成以上。整體而言，臺灣近年已逐漸在強調資安女力的崛起，但對於少數族群、軍人的招聘議題，在國內是較少聽聞。

面對資安技能欠缺的議題，資安業者Fortinet近年也有全球性的調查報告，特別的是，該公司今年4月亦在臺公開揭露他們的觀察，以外商而言相當少見。他們不僅說明了全球對於資安技能需求的調查現況，也指出普遍受訪者認為雲端安全與安全維運的職務，是企業最難填補的資安角色。（攝影／羅正漢）

 更多相關報導