セキュリティ戦略が燃え尽き(バーンアウト)を無視しているなら、サイバーリスクはすでに社内に入り込んでいる――ストレスを抱えた防御側は攻撃者よりも早く破綻する。
サイバー脅威がより頻繁かつ複雑になるにつれ、組織の評判や収益に目に見える形で測定可能な損害を与えている。しかし、被害はそれだけでは終わらない。侵害――あるいは少なくともその脅威――は、企業のITおよびセキュリティ部門の従業員のメンタルヘルスにも影響を及ぼしている。
新たなデータによれば、ITおよびセキュリティ従事者は、職場におけるメンタルヘルス危機と呼ぶほかない状況に直面している。ITおよびセキュリティの専門家500人を対象にしたObject Firstの最新調査では、ITセキュリティリスクにより職場で「耐えがたいほどのストレス」を感じている人が84%に上った。さらに同調査は、状況にかかわらずセキュリティインシデントの責任を個人的に問われることを恐れている人が78%いることも報告している。
これらの数字は、サイバー脅威からシステムを守る責任を担うスタッフを抱えるCSOにとって、看過できない警鐘である。企業部門は、スタッフが成長し最高の仕事ができるよう、前向きで生産的な文化をつくることに正当な価値を置いている。しかし最新データは、IT侵害がもたらす脅威の反動を恐れ、従業員が神経を尖らせ不安を抱えていることを示している。
同じ調査の別の数字は、さらに大きな警報を鳴らすべきだ。サイバー/IT従事者の約5分の3が、職務上のプレッシャーを理由に転職を検討した、または実際に探し始めたと答えている。加えて、セキュリティインシデント後に経営層から「すべてを直せ」と迫られていると感じる人が約半数いる一方、5人に1人近い(18%)が、インシデントの最中およびその後に「希望を失い、圧倒される」と感じると述べている。
セキュリティチームと密に連携し、成功に向けて支援するフィールドCTOとして、このデータには背筋が寒くなる。優秀なプロフェッショナルの多くが、サイバー由来のストレスによって退職し転職を考えるほど追い詰められている。これは単なる人事上の悪夢ではなく、事業レジリエンスの課題だ。
燃え尽き(バーンアウト)は深刻化している
サイバーセキュリティ分野の燃え尽きが、まったく新しい話題ではないことは、CSOやCISOなら誰もが知っている。サイバーが正式な専門分野として確立した2000年代初頭にはすでに、セキュリティ専門家が「常時オン」でいなければならないことによるストレスについて、リーダーたちが公然と語っていた。その後20年にわたり、調査ではセキュリティ担当者の過半数が燃え尽きを感じ、多くが業界を離れることを検討していることが示されてきた。
問題自体は新しくないが、最近の報告は、当分野の燃え尽きが深刻化しているように見えることを裏づけている。
「あらゆるレベルのサイバーセキュリティ専門家が燃え尽きています。私たちの調査では、状況は悪化する一方だと示されています」と、元業界アナリストであり、Information Systems Security Association(ISSA)の年次レポート第7版「Life and Times of Security Professionals」の著者であるJon Oltsik氏は述べる。
ISSAの調査は、サイバー従事者の仕事がより困難になっているとし、主なストレス要因として、複雑性と業務量の増大、脅威の増加と攻撃対象領域の拡大、規制遵守の圧力、人員不足を挙げている。また同レポートは、ストレス下にあると答えた回答者の大多数(81%)が定期的に退職を考えているのに対し、職務に満足している人では17%にとどまることも示している。
Gartnerも今年初めにこのテーマに言及し、サイバーセキュリティの燃え尽きを、2025年のサイバーセキュリティ上位トレンド6つのうちの1つに挙げた。
「サイバーセキュリティの燃え尽きと、それが組織に与える影響は認識され、対処されなければ、サイバーセキュリティプログラムの有効性を確保できません」と、Gartnerのシニア・プリンシパル・アナリストであるAlex Michaels氏は述べた。「最も効果的なSRMリーダーは、自身のストレス管理を優先するだけでなく、個人のレジリエンスを実証的に高めるチーム全体のウェルビーイング施策にも投資しています」
有資格のサイバーセキュリティ人材を見つけることは依然として難しい。ボストン・コンサルティング・グループの「2024 Cybersecurity Workforce Report: Bridging the Workforce Shortage and Skills Gap」によれば、新たなITまたはセキュリティ専門家の採用には通常、前任者の年収の1.5〜2倍のコストがかかり、サイバー関連職の最大28%が未充足のままだという。
信頼でき、才能あるセキュリティ専門家が持つスキルに見合う人材を見つけるだけでも難しい。同じ専門家が組織内で長期間働き、IT脅威の防御に携わることで得る組織固有の知識を置き換えることは、少なくとも短期的には不可能だ。
サイバーストレスの根本要因
サイバー部門の従業員がプレッシャーを感じる理由はさまざまだ。フィッシング、ランサムウェア、ソーシャルエンジニアリングの脅威を見逃さないため、常に警戒状態を維持しなければならないと感じる人は多い。自分や同僚の「たった一度の誤クリック」で会社が危険にさらされ、職を失うかもしれないと恐れる人もいる。繰り返されるパスワード変更、MFAの手順、セキュリティ意識向上トレーニングへの対応を迫られる「コンプライアンス過多」を感じる人もいる。
Object Firstの調査回答者の過半数は、重い業務量と人員不足のチームが最大のストレス要因だと答え、次いでサイバー攻撃への懸念、稼働時間とサービス可用性を維持するプレッシャーが続いた。ほぼ全員(85%)が何らかのレベルでセキュリティ関連のストレスを経験しており、31%は少なくとも週1回、継続的なストレスに直面していると述べた。
この種の持続的ストレスは意欲を奪い、精神的疲労を引き起こし、身体的健康問題の引き金となり、総じて働く目的意識を損なうことで、全体的なパフォーマンスを低下させる。ストレスと疲労を抱えた従業員はミスをしやすく、組織を侵害やセキュリティ上のリスクにさらしやすくなる。
従業員のウェルビーイングとメンタルヘルスを優先する企業こそが、この問題を解決できる可能性が最も高い。問題は、そうしている企業ばかりではないことだ。Object Firstの調査によれば、ITおよびセキュリティ従業員の50%は、拡大するメンタルヘルス危機への対処として自社は十分に取り組んでいないと感じている。
CSOだけで燃え尽き問題を解決することはできない。企業はサイバーセキュリティの燃え尽きを、取締役会およびC-suite全体にとっての優先課題にする必要がある。しかしCSOとCIOにも重要な役割がある。スタッフが感じているプレッシャーを下げるために実行できる施策をいくつか挙げる。
- 安全な文化を築く: 組織をサイバーインシデントから守ることは恐怖を伴うプロセスであり、従業員はインシデントが拡大し自分が責められるのではないかという恐れに常にさらされている。CSOは、エスカレーションが奨励され、インシデント後の議論がチーム全体の改善点に焦点を当てるプロセスを整備すべきだ。インシデント封じ込めだけでなく早期検知を称えることは、パフォーマンスを高め、緊張を和らげる。
- ノイズを減らす: 燃え尽きは、構造的な不整合――仕事量が多すぎる、人員が少なすぎる、フィルタリングされていないアラートによるノイズが多すぎる、システム不具合、オンコールによる過度なプレッシャー――によって引き起こされることが多い。CSOは運用と慣行を見直し、スタッフが業務過多になっていないか、反応的なタスクに偏りすぎていないかを確認すべきだ。
- リソースを提供する: ストレスはメンタルヘルスに悪影響を及ぼしうる。メンタルヘルスやレジリエンスのプログラム提供はHRが主導すべきだが、CSOは指針を示し、従業員が個別の配慮を必要としている兆候に目を配るべきだ。
- チームメンバーが「見てもらえている」と感じられるようにする: 表彰や、うまくできた仕事を共有して称える場などの「承認」は、長期的・集団的なストレスの軽減に大きく寄与する。定期的な1:1ミーティングやグループセッションを設け、職場でのストレス状況の例を共有するようサイバー従事者に促すCSOもいる。CSOが従業員の燃え尽きの兆候を見たとき、いったん切り離して休息し回復するよう促すことで、ストレスを管理可能なレベルまで下げられることが多い。
サイバーセキュリティにおけるメンタルヘルス危機は現実だ。サイバー防御の最後の砦であるというプレッシャーは、専門家のメンタルヘルスと職務遂行に深刻な打撃を与えており、より多くの支援を提供すべき時が来ている。CSOは、ウェルビーイングは任意ではなく、頻度と複雑性を増すサイバー脅威に直面しても企業がレジリエントであり続けるために不可欠だという強いメッセージを発信できる。
この記事はFoundry Expert Contributor Networkの一環として掲載されています。
参加したいですか?
