米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が運営するサイバーインセンティブプログラムで、監査により不適切な支払いが発覚した。
国土安全保障省監察官室(OIG)の報告書によると、2020年度から2024年度の間に348人の不適格受給者に対し約141万ドルが不当に支払われた。
同期間の総支給額は1億3800万ドルを超える。不適格者には年額2万1000ドルから2万5000ドルが支給されていた。昨年のある給与期間では、CISA職員3220人中1401人がインセンティブを受給し、うち240人はサイバーセキュリティに直接関係しない支援スタッフだった。
同プログラムは2015年に国家保護・プログラム総局で開始され、2018年にCISAに移管された。適格者は国立標準技術研究所が定義するサイバーセキュリティ職の職員と、CISA承認の資格証明を持つ職員に限定されている。
OIGはプログラム修正のため8つの勧告を行った。CISA代行長官マドゥ・ゴットゥムカラは改善を約束した。
From: 
CISA misspent millions in cyber skill retention funds – The Register
【編集部解説】
米国の国土安全保障省監察官室(DHS OIG)が発表したこの監査報告書は、単なる予算の不適切使用を超えて、米国のサイバーセキュリティ体制の根幹に関わる深刻な問題を浮き彫りにしています。
組織管理の構造的欠陥
最も注目すべきは、CISAが単一のオフィスでサイバーインセンティブプログラムを管理していなかった点です。人事部門全体に責任が分散し、監視統制が機能していませんでした。これは典型的な組織運営の失敗パターンで、責任の所在が曖昧になることで不正が常態化してしまうケースです。
サイバー人材不足という背景
このプログラムの存在自体が、米国政府が直面するサイバーセキュリティ人材不足の深刻さを物語っています。2015年の開始以来、年間2万1000ドルから2万5000ドルという決して小さくない金額を支給してまで人材を確保しようとする姿勢は、民間企業との人材獲得競争の激しさを示しています。
国家安全保障への影響
監査報告書で特に重要なのは、この問題が「国家をサイバー脅威から適切に保護できない」状況を招いているという指摘です。適格でない職員への支払いが継続されることで、真に必要な専門人材への投資が阻害され、結果として国家のサイバーセキュリティ体制が脆弱化するリスクを抱えています。
制度設計の根本的問題
連邦規則では、インセンティブ支給対象を「異常に高いまたは独特な資格を持つ」職員に限定していますが、CISAは支援スタッフなど直接的にサイバーセキュリティに関わらない職員にまで対象を拡大していました。これは制度の本来の目的を逸脱した運用といえます。
今後の改革への道筋
OIGは8つの勧告を提示し、CISAも改善を約束していますが、トランプ政権下での予算削減圧力や人材流出の懸念もあり、実効性のある改革が実現できるかは未知数です。この問題は単なる会計処理の改善にとどまらず、米国のサイバーセキュリティ戦略全体の見直しを迫る可能性があります。
【用語解説】
サイバーインセンティブプログラム
連邦政府機関がサイバーセキュリティ専門人材の確保・定着を目的として実施する報奨制度である。民間企業との人材獲得競争に対抗するため、追加報酬を支給して優秀な専門家の離職を防ぐことを狙いとしている。
国家保護・プログラム総局(NPPD)
2007年に設立された国土安全保障省の前身組織で、米国の重要インフラとサイバーインフラの保護を担当していた。2018年にCISAへと改組された。
監察官室(OIG)
連邦政府各省庁に設置される独立監査機関で、政府機関の運営における詐欺、浪費、濫用を防止・発見し、効率的な運営を促進する役割を担う。1978年の監察官法により設立された。
【参考リンク】
CISA(サイバーセキュリティ・インフラセキュリティ庁)(外部)
米国の国家サイバーセキュリティ機関として、重要インフラの保護とサイバー脅威対策を統括している
国土安全保障省監察官室(外部)
国土安全保障省の独立監査機関として、省内各機関の運営監視と改善勧告を行う
NIST サイバーセキュリティフレームワーク(外部)
米国国立標準技術研究所が開発したサイバーセキュリティの標準的枠組み
【参考記事】
CISA Mismanaged Cybersecurity Retention Incentive Program(外部)
国土安全保障省監察官室が発表した原文の監査報告書。CISAの運営問題を詳細に記載
DHS inspector general: CISA mismanaged multimillion(外部)
The Record Mediaによる報道で、監査結果の詳細と業界への影響について分析
DHS watchdog finds mismanagement in critical cyber talent program(外部)
FedScoopによる連邦政府のサイバー人材政策に関する詳細な解説記事
【編集部後記】
今回のCISAの事例は、日本企業にとっても他人事ではありません。サイバーセキュリティ人材の確保・定着に向けて、皆さんの組織ではどのようなアプローチを取られているでしょうか。
技術者への適切な評価と報酬設計、そして何より組織横断的な管理体制の構築は、どの企業にとっても重要な課題です。民間企業であっても、人事制度の運用における透明性や公正性が損なわれれば、優秀な人材の流出につながりかねません。
皆さんの会社では、専門人材に対するインセンティブ制度はどのように設計・運用されていますか?また、そうした制度の監視体制は適切に機能しているでしょうか?この機会に、人材定着戦略について改めて考えてみていただければと思います。
