Security Pro Burnout Signals IT Security Shift
2022/01/03 SecurityBoulevard — 世界的なパンデミックに端を発した、この世界の大きな変化は、IT セキュリティ専門家たちのメンタルヘルスに大きな負担をかけている。あらゆる組織において、リモートファーストの働き方への適応を求める動きが強まったことで、IT セキュリティの専門家たちは、迅速なデジタル・トランスフォーメーションだけでなく、安全なデジタル・トランスフォーメーションを実現するために、時間外労働を強いられている。
1Password の調査によると、サイバー・セキュリティの専門家たちは、このような変化による悪影響を受けており、組織にとっての危険性が高まっている。セキュリティ専門家たちの中で、燃え尽き度の高いケースにおいては、セキュリティのルールやポリシーに対して、「手間をかける価値がない」という答えが増えてくる。
1Password の CEO である Jeff Shiner は、「サイバー・セキュリティに関して言うなら、従業員の燃え尽き症候群についての議論を中心に据えるべきであり、地理的に分散した従業員が増えている中では、なおさらだ」と述べている。
Shiner は、「今回のレポートで明らかになったのは、生産性の向上やプロセス上の課題解決などを実現する、高品質で使いやすいソフトウェアを、企業が採用することの重要性だ。そうすることで、セキュリティを大きく改善できる。また、セキュリティ・スタッフへのサポートを改善したいと考える組織にとって、最も重要な最初のステップは、彼らが対処に苦しんでいる課題があることを認めることだ」と述べている。
つまり、組織は従業員の燃え尽き症候群の原因を定期的に評価し、社内のプロセスを検討し、企業のミッションや文化に沿った方法で、問題に対処する必要があるということだ。
Confluera の CEO である John Morgan は、「残念なことに、現時点で導入されている多くのサイバー・セキュリティ・ソリューションは、情報が多ければ多いほどセキュリティが向上するという考え方に基づき、警告を発するように設計されている。もちろん、それが現実と乖離していることは分かっている」と述べている。
Morgan は、「サイバー・セキュリティにおいては多くの誤検知があるため、セキュリティ専門家が、自身の努力に報いられたと感じることや、組織のセキュリティ全体の向上に貢献していると信じることが難しい。
それは、長年に渡って、サイバー・セキュリティ業界の課題となっている。リモートワークへの移行からクラウドの採用にいたるまで、ビジネス・モデルの転換により、取り組むべきことが急激に増加したことで、あらゆる組織が、重大かつ現実的なサイバー・セキュリティの課題に直面している」と述べている。
IT セキュリティの時間を最大化する
Morgan は、企業は IT セキュリティ・スタッフの時間を最大限に活用し、また、彼らが効率よく作業できるよう注力すべきだと述べている。彼は、「自動化は助けになるが、セキュリティ・プロセスの間違った部分を合理化すると、人間の分析が必要とされるタスクが増え、さらに状況が悪化する可能性がある。組織が注目すべきは、IT セキュリティ・スタッフの責務のうち、どの部分を自動化するのが最適なのかを評価することだ」と説明している。
たとえば、誤検知の調査に多くの時間を費やしている場合、プロセスを合理化して “重要 “なアラートだけを抽出することで、セキュリティ・スタッフの生産性を大幅に向上させ、仕事の満足度を高めることができる。
Morgan は、「従業員の燃え尽き症候群には、さまざまな要因があるす。燃え尽き症候群のリスクを減らすための主な要因は、従業員が自身の仕事に対する達成感を持ち、感謝されていると感じ、話を聞いてもらい、意思決定の権限を与えられることだ」と述べている。
彼は、「一般的に IT は、上手くいっているときには、あまり褒められない仕事であることが多いが、上手くいっていないときには、ビジネスの生産性が低下することもあり、信じられないほどのプレッシャーと危機感を伴う。このことを念頭に置いて、私が経営者にアドバイスするのは、消火活動における苦痛を相殺するために、良い時には褒めてあげることだ」と述べている。
彼は、パンデミックが続き、脅威が拡大する限り、燃え尽き症候群は問題であり続けると付け加えている。
燃え尽き症候群の緩和
Morgan は、「ありがたいことに、燃え尽き症候群を軽減するための解決策がある。あらゆる組織は、サイバー・セキュリティのスキルアップのためのトレーニングのコアとして、この問題の解決を検討すべきだ。また、サイバー・セキュリティ専門家たちの失業率は、ほぼゼロという報告もあり、企業は優秀な人材を獲得するために戦っているとも言える。燃え尽き症候群を真摯に受け止めることは、人材の採用と維持のための、競争上の優位性となり得る」と付け加えている。
サイバー・セキュリティのアドバイザリー・サービスを提供する、Coalfire の Cyber Executive Advisor である John Hellickson は、仕事を仕事と感じさせないための良い方法を見つけるために、この業界は HR ビジネスパートナーとの協力を強化する必要があると述べている。
彼は、「従業員の大半がリモートワークに移行したことで、共通の目標に向かって共に働くという、人と人とのつながりの要素が失われてしまった。ほとんどの企業が、完全なリモートワークへの移行に成功したことで、セキュリティ・リーダーには創造的な方向へ向けて、関心を変化させる必要性が生じている。それは、従来のセキュリティ対策が、リモートワーカーに負わせていた負担を軽減することである」と述べている。
Hellickson は、有能でジョブ・ホッピングが容易なサイバーセキュリティ・スタッフへの市場需要に対して、CISO と HR ビジネス・パートナーが迅速に適応する方法を見つけない限り、この燃え尽き症候群は当面続くだろうと警告している。
彼は、「率直に言って、従業員を勧誘するための、高額な報酬や福利厚生の提示が急増するだろう。それにより、人事部門で必要とされるのは、市場が要求するものを分析するための従来からの構造化された発想から、現在の従業員の報酬プランを積極的に調整することへの移行となるだろう」と述べている。
それが実現しなければ、CISO やセキュリティ・リーダーは、組織におけるサイバー・セキュリティ・リスクの管理に費やすはずの時間を、離職率の管理に費やすことになるだろうと、彼は予測している。
John Morgan も、同様の見解を述べている。彼は、IT セキュリティ専門家たちが抱える課題が、近い将来に解決されるとは思えないと述べている。多くの業界がビジネスを進化させ続けており、新しいプロセスや技術の採用が衰える気配がない一方で、さまざまな要因を悪用する新たなサイバー攻撃も加速していると、Morgan は指摘している。
彼は、「コストや人材の確保を考えると、単純にリソースを増やすことは、現実的なアプローチではない。サイバー・セキュリティは専門的な分野であるため、リモートワーカーの雇用を推進することも有効だが、適格な人材であることの保証は困難だ」と述べている。
Morgan は、「組織は IT セキュリティ専門家たちに適切なツールを提供し、特にクラウド環境におけるサイバー・セキュリティの脅威と攻撃を特定させるべきだ。それにより、組織に大きな価値をもたらす、彼らの達成感を向上させる能力を、最大化していくべきだ。幸いなことに、サイバー・セキュリティ業界における革新により、そのようなツールが提供されている」と彼は述べている。
この世の中、上手くいっているときには、誰もなんの関心も示さず、何か問題が生じると、たいへんなプレッシャーに晒されるという、職種がありますよね。IT セキュリティ専門家も、その1つですが、たとえば医療従事者と同様の、大切な役割を担っていると思います。それを理解してもらうには、セキュリティ・チームの外側に味方を作ることが大切なはずです。このブログには、たくさんのエビデンスがあります。上手く利用して、味方作りに使ってもらえると嬉しいです。
IoT OT Security News 