最高情報セキュリティ責任者(CISO)たちは、膨大な業務量、AIがもたらす変化への対応、そして何か過ちを犯した際の法的責任への不安に直面しており、業界を離れる人も出てきています。
サイバーセキュリティおよびIT専門家の3分の2以上(68%)が、2年前と比べて現在の仕事がより困難になったと感じています。半数以上が、業務の複雑さと作業量の両方が増加した(55%)と回答し、サイバー脅威がより圧倒的になったと感じている人も52%に上っています。これは、Information Systems Security Association(ISSA)インターナショナルとアナリスト企業Omdiaが共同で発表した調査レポートによるものです。ISSAの前会長であり、現在自らもフラクショナルCISOを務めるShawn Murrayは、こうした状況がフルタイムCISOの流出と、パートタイム、いわゆる「フラクショナル」コンサルタントの増加の一因となっていると述べています。また、多くのCISOがセキュリティミッションに対して十分なサポートを得られていないと感じていることも付け加えています。
「週50〜70時間働いてきたCISOたちは、レポートで指摘されているような課題——組織文化の問題、戦略的な議論なしにテクノロジーを導入するビジネス側の姿勢、適切なステークホルダーの巻き込み——に悩まされています」とMurrayは語ります。「CISOたちは独立してコンサルタントとして活動する道を選び始めており、自分たちの声に耳を傾けてくれる組織と連携していくでしょう。」
興味深いことに、法的責任への懸念——UberおよびSolarWindsのCISOへの訴追によって高まっていたもの——はやや落ち着いており、CISOのストレス要因の上位にはランクインしていません。しかし調査では、最新のITイニシアチブ、特にAI導入に伴うセキュリティニーズへの対応という重圧が、この役割をかつてないほどストレスの多いものにしていることが明らかになっています。
CISOへの重圧
AIはCISOにとってまさに諸刃の剣となっています。OmdiaのサイバーセキュリティプラクティスディレクターであるMelinda Marksは、AIの導入、とりわけ企業内でのシャドーAIの普及が、サイバーセキュリティ管理にさらなる頭痛の種をもたらしていると指摘します。
「クラウド導入の際にも同じことが起きました。従業員がクラウドセキュリティ機能を勝手に有効化し、セキュリティチームに知らせないというケースです」と彼女は語ります。「そうなると、リスク管理や脅威・攻撃の検知と対応の局面で、セキュリティチームはどのようなセキュリティプロセスやツールが導入されているかを把握しきれず、不利な立場に置かれてしまいます。」
フルタイムCISOは減少し、パートタイムCISOが急増。出典: Omdia/ISSA
一方で、多くのCISOはセキュリティやコンプライアンス報告の業務負担を軽減するAIツールへの期待も高めています。調査では、サイバーセキュリティおよびIT専門家の大多数が業務効率化にAIの活用を望んでいることが明らかになりました。すでにサイバーセキュリティ上の課題解決にAIソリューションを活用しているのは37%に上り、さらに46%が導入を計画しています。セキュリティチームがAIに委ねたいと最も多く挙げた業務は、サイバーセキュリティ評価とソフトウェアテストの自動化、予測的リスク分析、そして脅威検知でした。
つまり、多くのことが急速に変化しており、AIを最大限に活用する方法と、ビジネスにおけるテクノロジーの安全な利用を確保する方法を習得することがサイバーセキュリティ専門家にとって重要になっていると、地域銀行Atlantic Union BankのCISOであるAlex Huttonは述べています。
「仕事が楽になっているとは言いにくい状況です」と彼は語ります。「フロンティアAIが大きなインパクトをもたらすと考えるかどうかにかかわらず、現在の環境は2〜3年前とは明らかに異なります。それは教育を必要とし、情報を必要とし、行動を必要とします。そしてそれらすべてが、仕事のストレスをいっそう増やすことになるでしょう。」
CISOの消滅は考えにくい
前述のとおり、こうしたストレスが一部のCISOを業界から遠ざけているのは事実です。調査によると、フルタイムのCISOを置く企業の割合は2024年の76%から63%に低下し、フラクショナルCISOの活用は2024年の6%から15%に増加しています。ISSAのMurrayは、これは一時的な現象ではなくトレンドであると述べつつも、戦略的なサイバーセキュリティアドバイスの市場も拡大していると付け加えています。
「中小規模の企業が、自社のサイバー衛生を証明しなければならない場面が増えています。その多くはサイバー保険の加入要件に結びついています」と彼は語り、保険会社の基準を満たしていることを証明するプロセスを管理するには高度な専門知識が必要だと指摘します。「そのため、確かなアドバイスを提供する責任は、CISOに直接かかってくるのです」と続けます。
Atlantic Union BankのHuttonは、フルタイムCISOからの移行が進む背景として、こうした戦略的アドバイスへの需要増大の方が有力な要因だと見ています。
「多額のIT予算を持つ企業と同様のサイバーセキュリティリスクやニーズを抱えながら、単に支援が必要な業界は世の中に数多く存在します」と彼は語ります。「フラクショナルCISOやバーチャルCISOは、そのニーズに応えてコストを分散させる優れた手段だと思います。ただ、私自身はCISOが減少しているとは見ていませんし、ポジションが削減されているとも思えません。」
翻訳元: https://www.darkreading.com/cybersecurity-operations/stressors-ai-changes-cybersecurity-teams
