セキュリティの仕事は大変?

どんな仕事でも困難に直面しストレスを感じる時がありますが、組織のセキュリティ担当者も例外ではありません。ある調査によれば、情報セキュリティの責任者であるCSOやCISOの平均在職期間はわずか26ヶ月(2.2年)で、回答者の88%が強いストレスにさらされているという結果が出ています。一方、その他のCxOの平均在職期間に関する調査レポートでは、CEOは6.9年、CIOは4.6年と平均して5年程度はそのポジションについていることがわかります。異なる2つの調査のため単純な比較はできませんが、セキュリティ責任者は相当なプレッシャーの中で働き、早々に燃え尽きている可能性が高いといえます。その要因はいくつか考えられますが、3つの代表的なものをあげてみます。

代表的な3つの要因

休日や夜間にもインシデントが突然発生する

日常業務や期間の決まったプロジェクトとは異なり、セキュリティインシデントは時間や曜日を問わず突然発生します。休日にインシデントが発生したため、プライベートの予定をキャンセルして対応にあたった経験を持つセキュリティ担当者は決して少なくありません。現在はランサムウェアのように重要システムやデータが暗号化され業務が停止してしまう攻撃が主流となっています。重大インシデントが発生するかもしれない、という不安を常に抱えているのは相当なプレッシャーです。

組織から業務や専門性を理解してもらえない

大半の会社や組織の本業はサイバーセキュリティではありません。セキュリティベンダーとはちがい、こうした組織ではセキュリティ部門が傍流と捉えられることも多く、専門的な知識を持つ人員の採用やキャリア形成、待遇が他部門の後回しになっているケースもあります。

他部門との軋轢が生じるという話もよく聞きます。例えば業務効率化のためにツールやサービスを利用したいという要望が出されても、セキュリティ部門が調査・検証が必要なためすぐに許可が出ないことに対する不満などです。とくに近年クラウドやIoT、モバイルなど業務利用するデバイスやシステムの増加にインフラやセキュリティ部門の拡充が追いついていないこともあります。セキュリティ部門が置かれている環境や、業務に対する周囲の理解不足も、ストレスの一因になっている場合があります。

継続的学習が求められる

自組織のビジネスに対する脅威の影響とリスクを低減させるため、セキュリティ担当者は幅広い知見が求められます。例えば、自組織のインフラで利用するパソコンやIoT機器、OSやソフトウェア、ネットワーク、クラウド基盤、SaaSといったものであったり、それらを防御するセキュリティ製品、また最新の脅威動向といったものも知っておく必要があります。こうしたテクノロジーの動向は日々変化していますので、定期的に新しい情報を収集しアップデートしなければ、持っている知識はすぐに陳腐化してしまいます。またセキュリティは自組織のビジネスと密接に結びついているので、自社ビジネスや業界動向に対する理解も必要です。しかし日常業務や突発的に発生するインシデントへの対応で学習のための時間が十分とれなかったり、職務に直結する自己研鑽そのものを業務と認めてもらえない職場もまだまだあります。

セキュリティの仕事には価値がある

セキュリティの仕事はストレスも多く大変ですが、以下の理由からその価値は非常に高いと言えます。

事業継続に不可欠

多くの業界でデジタルトランスフォーメーションが加速しており、IT技術の活用が業績に直結するようになってきています。そのビジネス基盤であるITに対するリスクや脅威、特にシステム停止や情報漏洩を引き起こすランサムウェアのようなサイバー攻撃が当たり前になってきています。そのため顧客やビジネスを保護するセキュリティの重要性に対する経営者の認識は変わってきており、中期経営計画の中でDXと共にセキュリティをしっかり推進すると明記する会社も出てきています。どんな組織にとっても今やセキュリティは傍流ではなく、事業継続にかかわる重要かつ不可欠な部門の1つです。

活躍の場が今後も広がる

重要であるにもかかわらずセキュリティに携わる人員の数はいまだ十分ではありません。(ISC)²によれば、セキュリティ人材は世界で270万人、日本国内でも4万人不足しており、経営者は能力のある熟練したセキュリティ専門家を見つけるのに苦労しているという調査結果が出ています。セキュリティ人材に関しては売り手市場という言い方ができるかもしれません。

さらに、DXの推進にともない、これまで外注していたシステム開発の内製化に舵を切る国内企業が増えてきています。開発段階からセキュリティを意識し、セキュリティバイデザインの考え方やDevSecOpsといった仕組みを導入する必要があるため、セキュリティ人材の活躍の場はさらに広がることが考えられます。

待遇面で有利に

待遇面でも興味深い調査結果があります。国内におけるITエンジニアの中でもセキュリティエンジニアの平均年収が2番目に高いというデータが公開されています。また、米国商務省産業安全保障局がまとめた各職業の年収の中央値に関するデータでは、情報セキュリティアナリストの額はIT業界の中でも高いことがわかっています。今後ジョブ型雇用が広がり、セキュリティエンジニアの専門性と希少性が多くの国内企業でも評価されるようになれば待遇面でより恵まれるようになるかもしれません。

ストレス低減: 経営層の積極関与とチーム体制による属人化排除

セキュリティの仕事は困難でストレスがいくつもありますが、その価値を理解して従事している人が大勢います。弊社がSNS(LinkedInTwitter)で実施した簡易なアンケート調査でも、セキュリティの仕事を「やりがいがあり今後も続けたい」という回答が最多でした。セキュリティの仕事に特有な突発的に発生するインシデントへの対応などは無くすことはできませんが、ストレスを低減させることは可能です。

まずは経営者の関与です。経済産業省のサイバーセキュリティ経営ガイドラインでも、セキュリティは経営者のリーダーシップによって対策を進めることが必要とされています。経営者が積極的に関与し、セキュリティ経営を進めることでセキュリティに対する理解が組織内で進み、環境も整備されていくでしょう。

セキュリティ部門においては、特定の人しか対応できない状況を改善するためのトレーニングの実施やマニュアルの整備、自動化の導入などで可能な限り属人化された業務をなくし、部門全体の底上げを進めることが必要です。また、経営層や他部門との積極的なコミュニケーションを行い、自組織におけるセキュリティの現状や課題、セキュリティはすべての人の参加が必要であることを重ねて伝えてリテラシーの向上と理解を求めることも円滑な業務の推進に繋がります。最後に、自覚がないままストレスを溜め込むと心身に大きな影響を与えます。チームや周囲の助けを借りて完全にオフの日を作る、定期的に運動を行い健康管理に注意を払う、ストレスチェックなどを行い自分自身について可視化を行うなどの一連の方法が推奨されます。