「ストレス増えた」「予算足りない」 セキュリティ担当者は割に合わない？：「働きやすいセキュリティチーム」をつくるには【前編】

活発な攻撃活動を背景に、セキュリティチームの疲弊が深刻な問題になりつつある。セキュリティ担当者の具体的な悩みとは何か。ISACAの調査結果を紹介し、「やるべきこと」を考える。

[Chris Dimitriadis，TechTarget]

　近年、ランサムウェア（身代金要求型マルウェア）をはじめとした攻撃が注目を集めるようになった。一方で、組織でシステムを守るセキュリティチームはあまり脚光を浴びることはない。

　人工知能（AI）技術の進化によって攻撃の手口が巧妙化する中で、セキュリティチームにはより高い専門性が求められるようになりつつある。一方でセキュリティ担当者の人手不足は深刻だ。防御力強化を図りながらもセキュリティチームの働きやすさを確保するために、組織には何ができるのか。IT業界団体のISACA（Information Systems Audit and Control Association）による調査を基に、現状の課題を整理した。

7割は「ストレス増えた」――セキュリティ担当者の本音とは？

併せて読みたいお薦め記事

セキュリティ業界は人材が不足している

• セキュリティ人材不足に“終わり”はない　Check Point流のアプローチ
• セキュリティ人材こそ「未経験から育成する」のが賢い選択になる理由

　ISACAが実施した調査によると、セキュリティ担当者の約4割が「2024年は攻撃が増えた」と感じている。攻撃者はAI技術を使ってマルウェアを開発したり、標的システムの脆弱（ぜいじゃく）性を分析したりするようになった。AI技術を使うことで攻撃者は正しい文法や自然な表現のフィッシングメールを作成できるため、ユーザーは攻撃に気づきにくくなっている。攻撃件数とは別に、攻撃に対抗する難易度が高まっていると言える。攻撃の入り口になりかねない認証情報の流出をどう防ぐかも課題だ。

　こうした動向が、セキュリティ担当者の負荷が高まる背景にある。ISACAの調査では、セキュリティ担当者の約7割が「1年前より仕事のストレスが増えている」と回答した。ストレスの一番の原因として挙げられたのは「脅威の複雑化」だという。大半の組織はいつ攻撃を受けてもおかしくない状況にある。セキュリティ担当者は常に緊張感を持ち、攻撃に備えていなければならない。

　では、組織はどうすればいいのか。最も大切なのは、セキュリティチームの「人」とその「スキル」に投資することだ。しかし現実問題として、大半の組織はIT予算が潤沢ではないことから、セキュリティ体制をなかなか強化できない状況にある。ISACAによると、セキュリティ担当者の半数以上（52％）が「自社のセキュリティ予算は十分ではないため、システムを守り切れていない」と考えている。これは経営者が無視できない“現場の悲鳴”だ。

　予算問題はセキュリティ人材の確保にも影響を与えている。具体的には新しい人材の採用しにくさに加え、「給料が割に合わない」と捉えられることに起因する離職リスクもある。近年はAI技術を駆使したセキュリティ運用の自動化も進んでいるが、人が足りなければ強固なセキュリティ体制は築けない。いかに予算を捻出し、働きやすいセキュリティチームを作るかが、攻撃による被害を抑止する上での鍵を握る。

---

　後編は、本稿で取り上げた課題の解決策を考える。

Computer Weekly発　世界に学ぶIT導入・活用術

米国Informa TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。