CISA、報酬インセンティブプログラムを廃止

米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）は、サイバーセキュリティ専門家を引き留めるために活用してきた「サイバーセキュリティ引き留めインセンティブ（CRI）」プログラムを廃止することを発表しました。

この決定は、監査でCRIプログラムの管理不備が指摘されたことを受けています。当初、CRIは専門性の高い少数のCISA職員向けに、民間企業への流出を防ぐための追加報酬として2015年に導入されましたが、後にその適用範囲が広範にわたっていることが判明しました。

新しいサイバー人材管理システム「CTMS」への移行

CISAは、CRIプログラムが一時的な措置であり、サイバー人材管理システム（CTMS）が本格稼働するまでのつなぎであったと説明しています。今後は、CTMSをサイバー人材の採用、雇用、引き留めのための中核的なツールとして全面的に活用していく方針です。

CTMSは、バイデン政権下で導入されたシステムで、政府職員の通常の給与水準を超える報酬を可能にし、より迅速な採用プロセスを提供することで、サイバーセキュリティ分野の専門家を確保することを目的としています。

従業員への影響と移行の課題

CRIプログラムの廃止は2段階で進行します。まず、2026年4月4日までに「非サイバー」職の職員がCRIプログラムから除外され、2026年9月30日までにプログラム全体が完全に終了する予定です。

現在CRI給付を受けている従業員（年間数万ドルに及ぶこともある）がどうなるかは依然として不透明です。CISAは、これらの従業員がCTMSの職務へ移行する可能性があることを示唆していますが、現在のCTMSへの移行には「完全に再競争する必要がある」との声も上がっており、すべてのCRI受給者がスムーズに移行できるかは課題となっています。

また、CISAのサイバーセキュリティ部門の従業員の70%以上がCRI給付を受けているとされており、この大規模な人員を1年未満で新しいプログラムに移行させることにはロジスティクス上の大きな課題が伴うと見られています。

背景と今後の展望

CISAは、今回のプログラム変更について、監査報告書には直接言及していませんが、「納税者の資金の適切な管理を確実にしながら、インテリジェンス、サービス、サポートを提供するために、才能と意欲のある専門家を雇用し、引き留めることが重要だ」と述べています。

CISAは2026年3月末までに、新しいインセンティブポリシーの概要を発表することを約束しており、その中では厳格なレビューと内部統制が組み込まれ、監査要件に効果的に対応する予定です。この動きは、米政府機関が進化するサイバー脅威に対抗するための人材戦略を、より透明性と説明責任のある形へと変革しようとする試みの一環と見られます。

---

元記事: https://www.cybersecuritydive.com/news/cisa-eliminate-cyber-pay-incentives-ctms/806981/