CISOは、今日の急速に進化する脅威の状況により、かつてないほどメンタルヘルスへの課題に直面しています。侵害や障害が発生した場合、しばしば責任を問われ、その後CISOの平均在任期間は大幅に短くなる傾向にあります。この絶え間ないプレッシャーの中で、彼らが安らぎを見つけたり、十分な睡眠を取ることは困難です。一方で、脅威はスピードと複雑さを増していますが、予算や経営陣の関心は低下し始めています。これは悪い組み合わせです。
Proofpointの報告によると、CISOは過去最高レベルの燃え尽き症候群を経験しています。CISOの76%が、今後12か月以内に重大なサイバー攻撃を受けるリスクがあると感じています。別の調査では、多くのCISOが自分たちの役割が誤解され、十分な支援がなく、非現実的な期待を背負わされている環境で働いていることが明らかになっています。
CISOは現代組織の中で最もプレッシャーの大きいポジションの一つを担っています。知的財産、顧客データ、ブランドの評判、規制遵守を守りながら、テクノロジー、法律、ビジネス戦略、危機管理のバランスを取りつつ、絶え間ない疲労に慣れてしまっています。しかし、サイバーセキュリティのニュースは大規模な侵害やゼロデイ攻撃を取り上げることが多い一方で、静かに進行する問題、つまりCISOの燃え尽き症候群やセキュリティ疲弊というより深刻で体系的な問題にはほとんど触れません。
業界を問わず—医療、金融サービス、公益事業、運輸など—重要インフラは常に標的となります。この継続的な脅威は、職業的な疲労を国家安全保障上の懸念へと変化させます。
なぜCISOは燃え尽きるのか?
CISOの役割は大きく進化しています。Cybersecurity Diveによると、世界中のCISOはこれまで以上に企業統治において権限と影響力を持つようになり、CEOに直接報告するケースも増えています。CISOが技術的な業務だけに集中していた時代は終わりました。今日のCISOは、リスク管理、戦略的計画、収益創出、従業員のトレーニングと意識向上、物理的セキュリティ、復旧など、さまざまな分野に積極的に関与しています。
CISOが成功するために同時にこなしていることの一例を紹介します:
24時間365日—サイバーリスクは常に存在し、明確な終了日があるプロジェクトではありません。攻撃者はあらゆる時間帯に脆弱性を探っており、脅威環境は決して休みません。重要インフラを管理するCISOにとって、この絶え間ない警戒は眠れぬ夜を意味します—ダウンタイムは単なる財務上の問題だけでなく、公共の安全を脅かすことにもなり得ます。
高い責任と低いコントロール:CISOはますます責任を問われる一方で、実際のコントロールは限られています。取締役会、規制当局、さらには国家当局までもが、これらのリーダーにセキュリティインシデントの責任を負わせています。しかし、彼らはOTチーム、古いシステム、サードパーティベンダー、日常的な従業員の行動など—いずれも攻撃経路となり得るもの—に依存せざるを得ません。
同時に、CISOに与えられるリソースと期待される成果との間にギャップがあることが多いです。効果的なセキュリティには、熟練したスタッフ、高度なツール、継続的なトレーニングが必要ですが、多くの組織、特に公共事業や自治体システムでは、予算や人員が限られています。その結果、CISOは自分の組織が一度のインシデントで破滅しかねないと感じています。
複雑な規制負担:規制遵守はこのプレッシャーをさらに強めます。重要インフラのCISOは、NERC CIP、HIPAA、TSA指令、CISAなどの機関による増え続けるサイバーセキュリティ目標など、重複するコンプライアンスフレームワークを乗り越えなければなりません。これらのフレームワークに従うことは必要ですが、監査や書類作業の膨大な量が、実際のリスク低減に割く時間と注意を奪うことがあります。
インシデントからの復旧:インシデントが発生しても、業務は止まりません。各攻撃、監査、コンプライアンス要求は、特に医療やエネルギー分野のCISOにとって、数日から数週間のリアクティブなサイクルを引き起こします。復旧は単にデータやシステムを元に戻すだけでなく、コミュニケーションの再構築、脆弱性の解決、事後分析も必要です。その結果、本当の意味での休息はなく、次のインシデントへの備えだけが続きます。
孤立と期待管理:最後に、CISOは役割の進化とともに職業的な孤立に直面することが多いです。多くが非技術系出身であるC-suiteの同僚と協力するには、信頼構築や学びの統合に努力が必要です。同時に、CISOは技術的リスクを明確に伝え、リスク低減のためのリソースを提案し、組織全体のセキュリティプログラムのガバナンスや権限の明確化を支援しなければなりません。
セキュリティ疲弊の現れ方
燃え尽き症候群や疲弊は、予測可能でありながら時に微妙な形で現れます。これらの警告サインを個人レベルでも組織レベルでも早期に認識することが、長期的なレジリエンス低下を防ぐために不可欠です。
- 認知的疲労:集中力の低下、意思決定の質の低下、特にインシデント対応が長引いた後の戦略的思考力の減退。
- リアクティブなリーダーシップ:持続可能なレジリエンス構築よりも、目先の火消しを優先する傾向。
- 離職と人材流出:燃え尽きたCISO、アナリスト、エンジニア、コンサルタントが去り、組織の知見も失われます。特に重要インフラ分野では、業界特有の専門知識の蓄積に何年もかかるため、この問題は深刻です。
- リスクへの無感覚:時間が経つにつれ、防御側はアラートや脅威に鈍感になり、重要なシグナルを見逃す可能性が高まります。
- イノベーションの減少:疲弊は好奇心やモチベーションを奪い、ゼロトラストアーキテクチャやOTネットワーク分離など新しい防御技術の導入が難しくなります。グループシンク(集団思考)が、単なるタスク完了のために創造性を損なうこともあります。
脆弱性への対処
人的コストを超えて、CISOの燃え尽き症候群は組織的—そして社会的—な影響をもたらします。
- 運用の脆弱性:少数の上級リーダーに過度に依存すると、単一障害点が生まれます。重要インフラでは、その脆弱性が地域全体や主要資産に波及するサービス障害につながることがあります。
- コンプライアンスリスク:疲弊したチームは監査期限を逃したり、必要なコントロールを実装できず、規制違反やステークホルダーの信頼低下を招く可能性があります。
- インシデント発生率の増加:リアクティブなチームは脅威インテリジェンス、パッチ管理、インシデント検知の維持が困難です。OT環境では、こうしたギャップが運用停止や物理的損害につながることがあります。
- 人材流出:ワークライフバランスが悪いという評判は、経験豊富なサイバーセキュリティ専門家の採用をさらに困難にします—これは特に公益事業、医療、運輸分野で深刻な問題です。
燃え尽き症候群を減らすには
権限と責任の整合:CISOが国家や公共の安全に影響する成果に責任を持つなら、それに見合う権限と予算が必要です。これは、サードパーティベンダーや技術更新、組織が受け入れるリスクに対する意思決定権を持つことを意味します。規制業界では、取締役会や規制当局がセキュリティリーダーに責任だけでなく権限も与えるべきです。
セキュリティを全員の責任に:セキュリティは一つのチームだけに任せるべきではありません。セキュア・バイ・デザインの原則をエンジニアリング、OT、ビジネスプロセスに組み込むことで、現場の管理者やエンジニア、プラントオペレーターまで、全員が基本的なサイバー衛生の責任を持つことができます。このアプローチは、セキュリティチームの負担を減らすだけでなく、組織全体の防御力を強化します。
戦場ではなく作戦室を作る:インシデント対応は混乱ではなく、体系的に行うべきです。ITとOTの関係者を巻き込んだ定期的な机上演習を実施しましょう。明確なプレイブックと権限委譲の枠組みが、すべての危機がCISOの机上にまでエスカレートするのを防ぎます。
ワークライフバランスを重視:構造化されたオンコールローテーションを確立し、重大インシデント後には十分な回復時間をスタッフに与えましょう。リーダーが休暇を優先し、健全な境界線を保つことで模範を示すことも重要です。重要インフラのCISOの場合、代理役や地域ごとの代行者を設け、特定の個人に依存しない体制を作ることが必要です。セキュリティ業務は本質的にストレスが高く、特に公共の安全が関わる場合はなおさらです。秘密保持されたカウンセリング、従業員支援プログラム、ピアサポートネットワークへのアクセスを提供しましょう。また、経営層や業界カンファレンスでメンタルヘルスについてオープンに話すことを当たり前にすることも大切です。
人々に認知を与える:CISOやそのチームの働きを公に認めることで、優秀な人材の定着を促し、組織全体に支援的で前向きな文化を醸成します。
燃え尽き症候群への対策には、組織レベルと個人レベルの両方での変革が必要です。企業は人材への投資、プロセスの改善、自動化の導入を進め、サイバーセキュリティチームが「何とかやり過ごす」のではなく、最高のパフォーマンスを発揮できるようにすべきです。持続可能なサイバーセキュリティプログラムは、データやシステムだけでなく、それを守る人々の健康も守ります。
結局のところ、重要インフラの防御は技術だけの問題ではなく、持久力の問題です。そして持久力には、ケア、バランス、そしてサイバーセキュリティが技術的な使命であると同時に人間的な使命であるという認識が必要です。
ブライアン・ハレルは現在、25州で資産と事業を展開する大手エネルギー企業の最高セキュリティ責任者を務めています。元国土安全保障省インフラ保護担当次官補。
デイビッド・マシントン(CISSP)はCISAのインフラセキュリティ担当エグゼクティブアシスタントディレクターを務め、現在はメリーランド大学の実務教授。
翻訳元: https://cyberscoop.com/ciso-burnout-mental-health-cybersecurity-exhaustion-op-ed/
