セキュリティ担当者が相次ぎ燃え尽き症候群を迎えた事情と対処法

あるCISOは燃え尽き症候群を経験したことを告白した。また、ある調査によればセキュリティ・オペレーション・センター（SOC）のスタッフの約3分の2がストレスが原因で退職を考えているとしている。セキュリティの専門家が“燃え尽きる”原因を分析し、5つの対処法を解説する。

[Brian Eastwood，Cybersecurity Dive]

　多くの情報セキュリティ専門家と同様に、TessianのCISO（最高情報セキュリティ責任者）、ジョシュ・ヤボール氏は、深夜や週末にも働いている自分に気付いた。彼はチームのためにそうしていたが、それは自分のためにはならなかったという。

　「セキュリティリーダーとして、私たちは自分自身がヒーローになったふりをして組織を守ろうとする。そうすると、家族の行事や病院の予約に間に合わなくなり、燃え尽きてしまう。私たちのリーダーシップは持続不可能な行動を推進する」とヤボール氏は言う。

　ヤボール氏は、夜間や週末に仕事をすることが増えていると気付いたが、それをやめることが容易ではなかった。

　「ある一定の時間が過ぎたら仕事をやめるよう自分に課したが、プロとして最も困難なことの一つだった」と同氏は言う。

　そうした状況にあるのはヤボール氏だけではない。データや専門家の見識によると燃え尽き症候群の原因は多岐にわたり、人材不足、会議の多さ、手作業の多さ、トレーニングの少なさ、刻々と変化する脅威の状況、セキュリティ担当者とリーダーとの間のミスマッチなど、全てがその要因になる。

　典型的なセキュリティ専門家のメンタリティとして、攻撃者を足止めしてその場をしのぐために、遅くまで懸命に働いていることが頻繁にある。

　VMwareのシニア・サイバーセキュリティ・ストラテジストであるカレン・ウォーステル氏は、「私たちは、このような困難な問題を解決するために、個人的な志向を持っている。私たちは破天荒だ。私たちは、このような問題から活力を得て、成功と絶対的な災害の狭間で成長している」と述べる。

　しかし、それには代償が伴う。ウォーステル氏は、より多くの仕事をこなすために自己を犠牲にし、これまで2度燃え尽き症候群を経験したと述べている。

　セキュリティベンダーのDevoとTines、VMwareが行った別の調査では、セキュリティ・オペレーション・センター（SOC）のスタッフの約3分の2がストレスが原因で退職を考えているとしている。

　Tessianの調査では、CISOの5人に3人が、1日の業務が終わると「スイッチを切る」ことに苦労しており、CISOは平均して契約時間よりも11時間多く働いていることが明らかになった。

セキュリティリーダーとチームが燃え尽き症候群と戦うための5つの戦略

　燃え尽き症候群には多くの要因があるため、1つのステップや取り組みで問題を解決できるわけではない。

　従業員を増やし、セルフケアを奨励することは有効だが、組織はより包括的で全社的なアプローチを採る必要がある。

　ウォーステル氏とヤボール氏は、自分の仕事をより明確にし、燃え尽き症候群の影響を軽減しようとするセキュリティリーダーに、5つの推奨事項を提示した。

CISOの役割に期待されることを明確にする。

　Netskopeのクラウド戦略・イノベーション責任者であるシャムラ・ナイドゥー氏は「ほとんどの企業において、CISOの役割や実務を成熟させるのに数十年かかっている」と述べる。言い換えれば、人々は人事、財務、または業務担当の幹部が何を担当しているかを知っている傾向がある。

　一方、CISOは比較的新しいリーダーシップ機能であるため、必ずしも役割が知られているとは限らない。「CISOの職責は驚くほど広範だが、企業によってその標準は異なる。ブラックボックスのようなものだ」とナイドゥー氏は言う。

　多くの新任幹部はすぐに問題解決に乗り出すが、CISOは企業文化がどのように反応するかを落ち着いて見極める必要がある。

　最善の策は、セキュリティリーダーが優先順位の決め方を明確にし、CISOに期待できることを取締役会や他の役員に伝え、境界線を設定することだ。

　「ある事柄への対処が遅れた場合、より重要な別の事柄に集中していることを説明する必要がある」とヤボール氏は言う。

他の事業部門と連携する。

　「ほとんどの企業機能は、委員会による決定を好まない。しかし、セキュリティは例外だ。CISOの責任は社内の全ての人に関わるからだ」とナイドゥ氏は言う。

　他の事業部門と協力することによって、CISOは事業部門の優先順位を把握し、セキュリティに関する意思決定を分散できる。全てがセキュリティチームの肩にかかることを防げる。

　「各自が最適な立場で意思決定を行うようにすれば、専門家のコミュニティーが形成される」とナイドゥは述べている。

より集中的なアプローチを採用する。

　「セキュリティリーダーは、どのようなツールに投資するか、どのような問題を解決するかなどの優先順位を決める際に、まず会社の最も緊急なニーズに集中すべきだ」と、Devoのサイバーセキュリティエバンジェリスト、ジョシュ・クリック氏は指摘する。そうすれば、万が一何か問題が発生しても、リスクが少なく、ビジネスへの影響も最小限に抑えられる。

　優先順位の高い問題の解決を重視すれば、セキュリティチームとその他の事業部門との連携を向上させ、セキュリティチームの評判は「イノベーションの阻害要因」から「ビジネスパートナー」へと変化する。その結果、セキュリティチームが次に何をすべきかが決まるとナイドゥ氏は述べる。

　このアプローチの一環として、リーダーは反復的なセキュリティタスク（チームが毎日数回行う作業）の自動化を検討する必要があるとクリック氏は言う。

　課題となるのは、チームが学習し維持しなければならないツールを増やすことなく、これを実現することだ。ツールの増殖は、運用を複雑化させるだけでなく、さまざまな特注ツールの管理経験を持つセキュリティ専門家を見つけることを困難にしていると、ナイドゥ氏は述べている。

適切なトレーニングに投資する。

　Info-Tech Research Groupの主任セキュリティアドバイザーであるカルロス・リベラ氏は「燃え尽き症候群と従業員の減少の結果として、セキュリティ専門家が退職する際に企業に蓄積された知識が失われることがある」と述べている。

　「これはセキュリティリーダーにとってストレスであり、不確実性の高い環境を作り出している。新しい人材を採用し、技術や組織を学んでもらうのに、90日もかかることもある」（リベラ氏）

　これに対し、CISOは、CISSP（Certified Information Systems Security Professional）やCISA（Certified Information Systems Auditor）のブートキャンプなど、3000ドル以上の費用がかかるトレーニングへの投資を増やしている。

　「企業はこれまでこのようなことを考えもしなかったが、セキュリティの専門家にとっては必然だと感じられるようになってきている」と同氏は言う。「企業が自社の従業員に投資することにCISOは満足感を覚える」（リベラ氏）

リアクションから焦点を移す。

　セキュリティ専門家の仕事がファーストレスポンダーの仕事だとすれば、1日に何百ものアラートを受信し、数分間で脅威を評価しなければならない。つまり、セキュリティはリアクションベースで機能することになる。

　「リアクションベースでは、予防ではなく、英雄的な行動が必要になる。英雄的行為も必要だが、それは失敗したときの結果であることが多い」とヤボール氏は話す。

　この問題に対処するためのアプローチの一つとして、優先度の低いヘルプデスクチケットになりがちな「セキュリティブロッカー」に対するセルフサービスツールを有効にすることが挙げられると、ヤボール氏は指摘する。例えば、従業員がビジネスアプリケーションにログインできない場合、ITシステムは人間の対応を必要とするアラートを生成する代わりに、セルフヘルプソリューションを呼び出せる。

　「次のステップで人間が別の人間と話すようなアラートやエンゲージメントフローの場合、ツールを適用して非同期にする方法はないだろうか。大半のケースは夜中に誰かを起こしてまでアラートなどを同期する必要はない」（ヤボール氏）

出典：「Security professionals are burned out. Here are 5 ways to help them」（Cybersecurity Dive）