ITセキュリティの仕事 ― 5つの苦い現実

Volodymyr TVERDOKHLIB | shutterstock.com

サイバーセキュリティ専門家への需要は、その給与水準と同じくらい高いものです。米国を中心とした最新のIANSとArtico Searchによるベンチマークレポートによると、北米のITセキュリティ分野の管理職の平均基本給は年間15万ドルを超えています。ヨーロッパやドイツではやや低い傾向にあるものの、こちらでもセキュリティのプロは十分に高収入です。

しかし現実として、サイバーセキュリティ業界で働くことには、求人広告やメディア報道、業界イベントなどでほとんど語られない様々な課題が伴います。その理由は明白です。セキュリティの仕事には大きな消耗・疲労のリスクがあるからです。これは冒頭で紹介した調査結果にも表れており、多くの専門家は自分の仕事に前向きな姿勢を持っていますが、経験を積むほどに不満も増していく傾向があります。

なぜそうなるのかを明らかにするため、私たちはその実情をよく知る経験豊富なサイバーセキュリティ専門家たちに話を聞きました。彼らの視点は、セキュリティ現場の厳しい現実を示すだけでなく、それらの課題を乗り越えるための有効な戦略も教えてくれます。

1. ITセキュリティの“クラブ思考”

Mike Morrato氏（Forward NetworksのCISO）によれば、サイバーセキュリティ分野でキャリアを始める上で最初の大きなハードルは、入口を見つけることだといいます。その理由の一つは、業界内の閉鎖性が根強いことです。「かつては、効果的なセキュリティプロになるには基本的なネットワーク知識が不可欠だと思っていました。しかし今はその狭い見方を捨てましたが、業界内ではまだ広く残っています」と語ります。

そのため、Morrato氏によれば、管理職や人事部門は特定の学位や資格、大手ベンダー（Cisco、Juniper、Palo Altoなど）の認定資格を持つ応募者だけに注目しがちです。高い初任給を考えれば理解できるものの、多くの有能な人材を不当に排除してしまっています。

こうした慣習を変えるため、Forward NetworksのCISOである彼自身が積極的に採用活動に関わっています。求人票を自ら作成し、人事部と協力して応募書類をチェック。「特に、型破りな経歴で見落とされがちな応募者に注目しています。例えば神経多様性のある方など。こうした応募者を無視すれば、開発やセキュリティ部門で優秀な人材を失うことになります。」    

一方で、Morrato氏は学位や資格を、同等の能力を持つ候補者同士の決定材料としてのみ活用しています。また、彼は同業者に対し、関連分野からの応募者も検討するよう勧めています。「ネットワーク技術者がサイバーセキュリティに転職したい場合は非常に適しています。すべてのセキュリティ技術を知らなくても、それを支える技術には精通していますから。」

2. 文化的ギャップ

困難なスタートを切った後でも、一部のセキュリティ専門家は、歓迎されていない・サポートが得られないチームに配属されることがあります。これは、Jinan Budge氏（Forresterリサーチディレクター）によれば、多くのサイバーセキュリティのキャリアパスの構造に起因します。「多くのチームリーダーが技術職から昇進しているため、健全なチーム文化やステークホルダーとの効果的な関係構築に必要なリーダーシップや対人スキルが不足しがちです。この文化的ギャップは、個人に心理的な不安をもたらすことがあります。」

ちょうど良いタイミングで、Forresterのアナリストたちは、心理的安全性の低さと、欠勤・孤立したコミュニケーション、さらには侵害発生リスクの増加などの組織的問題との強い関連性を示す調査を発表しました。Budge氏は、こうした環境にいるプロフェッショナルには率直な自己反省を勧めています。「本当に有害な環境なのか？自分に変えられることはあるのか？自分自身が変わるべきなのか？それとも組織や上司の問題なのか？と自問することが重要です。」

こうした問いを明確にするためには、従業員支援プログラムやエグゼクティブコーチ、心理カウンセラーなどのリソースも活用すべきだとBudge氏は述べます。「最終的に組織自体に根本的な問題があると分かった場合は、退職も選択肢に入れるべきです」と語ります。ただし、Budge氏は多くの専門家が有害な職場をすぐに離れることをためらうと認めています。「数週間しか在籍しなかったことが将来のキャリアに悪影響を及ぼすのではと心配し、12～18か月も我慢してしまうことがよくあります。」

こうした事態を避けるためにも、特に管理職を目指す場合は、候補となる雇用主を慎重に調査することを勧めています。

3. 「ノー」と言う人のレッテル

IT部門自体がしばしばサイロ化していますが、サイバーセキュリティがその中でさらにサイロ化すると、孤立度が増すとBharat Mistry氏（Trend Micro フィールドCTO）は説明します。「ネットワークチーム、サーバーチーム、ITアプリケーションチームがあり、セキュリティチームはその最後に来ます。この孤立が、組織内でサイバーセキュリティがどのように認識されるかにも影響します。」

内部のギャップを埋めるため、Mistry氏は、サイバーセキュリティチームが全体の脅威状況や企業の現状を共有し、他部門からも意見を求めるイベントの開催を勧めています。こうした対話は、根強い誤解を払拭する助けになります。「サイバーセキュリティは技術的な問題と見なされがちで、多くの企業ではITだけの責任だと思われていますが、実際はそうではありません。」

その対策として、Trend MicroのMistry氏は、各部門から「サイバーチャンピオン」を任命することを提案しています。これはITセキュリティの神秘性を解消するだけでなく、リスク意識の向上や良好なサイバーハイジーンの推進にも役立ちます。 

Richard Addiscot氏（Gartnerバイスプレジデントアナリスト）は、こうした非公式な役割がビジネス情報セキュリティオフィサー（BISO）のような正式なポジションに移行しつつあると指摘します。これは、企業全体でITセキュリティを根付かせる必要性が高まっていることの表れです。ただし、Addiscot氏は「こうした役割があっても、コミュニケーションは上層部から始める必要があります。CISOは、セキュリティが企業全体の目標にどう貢献するかを明確に伝えるべきです。しかし、企業の期待とCISOが実際に伝えていることの間にギャップがあることが多い」と述べ、その原因はCISOの技術的バックグラウンドにあると指摘しています。

4. 過剰な期待

技術革新のペースの速さも、サイバーセキュリティのキャリアにとっては問題だとAnthony Diaz氏（Exterro CISO）は語ります。「攻撃者はすぐに学び、新しい手法や最新技術（AIを含む）を活用します。私たち守る側は、常に学び続けて適応しなければならず、非常に大変です。」

しかも、学ぶだけでなく、やるべきことも増えています。特に管理職レベルでは多くのことが求められます。Forresterのアナリストはこれを「ダ・ヴィンチの誤謬」と呼んでいます。Budge氏は「CISOにはサイバーセキュリティだけでなく、技術、戦略、財務、人事、コミュニケーションなど、あらゆる分野の専門知識が求められています。これは大きな負担です」と説明します。

こうした要求に応えるため、ExterroのDiaz氏は、サイバーセキュリティの基本だけでなくリスクマネジメントも組み込んだ研修プログラムを提案しています。「定期的で現実的なリスク評価を行い、技術面だけでなく人の要素も考慮したリスク低減策を実践的に構築すべきです。」

5. 感情的な負担

セキュリティやITの意思決定者にとって、休暇は例外的なものです。Jason James氏（Aptos CIO）は、もはやワークライフバランスという言葉を使わないと言います。「私は『ワークライフハーモニー』という言葉を好みます。ワークライフバランスだと、仕事と私生活が同等であるかのような印象を与えますが、この仕事では常に警戒態勢です。それは感情的な負担になります。」

「ワークライフハーモニー」を実現するために、James氏は、喜びや新たな視点をもたらすことに集中することを勧めています。「私の場合、仕事と関係ない本を読んだり、家族で出かけたりします。そして、チームにも同じことをするように促しています。メンバーがきちんと休暇を取っているかも定期的に確認しています。」

重要なチームメンバーが休暇を取る場合でも、業務が滞りなく進む体制が必要です。そのため、Patrick Glennon氏（IDIQ CTO）は、知識の共有によるクロストレーニングを重視し、各役割間の冗長性を確保しています。「主要なスタッフの一人が数週間ヨーロッパ旅行で休暇を取っていますが、それが可能なのは代理を務めるスタッフが2人いるからです。」

結局のところ、ITやセキュリティの意思決定者には、システムや自分自身だけでなく、部下を守る責任もあるとAptosのJames CIOは述べています。「私たちの環境はテクノロジーで守られていますが、最終的には私たちを守ってくれる人たちを守るのも私の義務です。」（fm）

ITセキュリティに関する他の興味深い記事をお探しですか？無料ニュースレターで、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。