予算も会話も足りない――CISOのメンタルを窮地に陥れる現場の“リアル”とは：CISOとメンタルヘルス【前編】

過酷な勤務の結果、バーンアウトに陥るCISOがいる。業務のどのような要素がリーダーを疲弊させるのか。事態が深刻になる前に、個人と企業が打てる手にはどのようなものがあるのか。

[Rosa Heaton，TechTarget]

　バーンアウト（燃え尽き症候群）は、長期間にわたるストレスによって感情的、身体的、精神的に疲労した状態を指す。この状態に陥った場合、仕事や趣味に無関心になる傾向がある。

　特にバーンアウトが深刻化しているのが最高情報セキュリティ責任者（CISO）だ。調査会社Gartnerの調査によれば、バーンアウトを一度は経験したことがあると答えたCISOは62％、複数回経験したと答えたCISOは44％だった。同調査は、2023年6〜7月、企業で情報セキュリティやIT部門のリーダーを務める178人に実施した調査結果に基づく。

CISOが燃え尽きてしまう理由

併せて読みたいお薦め記事

CISOが知っておくべき脅威のトレンド

• “どれが危険か”ではなく「SaaSそのものが致命的」　金融CISOが衝撃の一声
• 被害に遭った企業がそっと教える「内部脅威対策」でやるべきことはこれだ

原因1．サイバー攻撃の激化

　CISOのバーンアウトの原因として、まず挙げられるのがサイバー攻撃の激化だ。約1万5000件の自動車ディーラーを顧客に抱えるCDK Globalは2024年6月、2度のランサムウェア（身代金要求型マルウェア）攻撃を受けた。被害を抑えるため、CDK Globalは大部分のシステムをオフラインにせざるを得なかった。その結果、自動車販売店やメーカー、顧客に影響が及び、長期的な復旧が必要となった。同年2月には、米国最大の医療費請求処理企業Change Healthcareがランサムウェア攻撃を受けた。この攻撃は病院の業務や収益管理などに広範な影響を及ぼし、Change Healthcareの評判は損なわれた。

　円滑な事業運営、自社のブランドイメージや企業価値の維持、サイバー攻撃による金銭的な被害の回避には、強固なサイバーセキュリティの導入と運用が不可欠だ。しかしその重要性が高まるほど、CISOの業務はますます複雑になる。

原因2．責任の押し付け

　データ漏えいをはじめとしたインシデントが発生すると、自社、取締役会、社会はCISOの言動に目を向ける。CISOは企業のセキュリティ戦略の責任者だ。しかし、データ漏えいはCISOの管理を超えたさまざまな原因で発生する可能性がある。CSIOに非がなくても、責任を追及され、非難を受ける重圧は、CISOのバーンアウトにつながる恐れがある。

原因3．新しい技術の登場

　技術の進化に合わせて、企業は競争力を維持し、イノベーションを促進するために迅速に適応していく必要がある。新たな技術を導入するたびに守るべき領域が拡大するため、CISOは対策を刷新し続ける必要がある。

原因4．脅威の進化

　人工知能（AI）を活用した攻撃は絶えず進化しており、中でもAI技術を用いて事実とは異なる映像や音声、写真を合成する「ディープフェイク」を使った詐欺は深刻な脅威となっている。そうした状況の中で、CISOの仕事は終わりが見えない状態だ。

原因5．長時間勤務

　前例のないリスクと進化する脅威によって業務負荷が増大する中、CISOの勤務時間は長くなる傾向にある。サイバーセキュリティベンダーBlackFogの調査によると、サイバーセキュリティ部門のリーダーの98％は契約時間を超えて勤務し、その平均残業時間は週9時間に上る。週16時間以上残業していると回答した調査対象者は全体の15％だった。本調査は、従業員500人以上を抱える英国と米国の企業各200社に努めるセキュリティ部門の意思決定者を対象に実施したものだ。調査は、BlackFogからの委託で調査会社Sapio Researchが2024年7〜8月に実施した。

原因6．企業の支援不足

　コスト削減や支出制限を重視している企業では、CISOがセキュリティ予算を新たに獲得することは困難だ。従業員がセキュリティトレーニングに非協力的な場合、CISOは実効性のある対策を打つための理解も協力も得られなくなる。セキュリティ研究機関IANS Researchと人材会社Artico Searchによると、年間売上高が4億ドル未満の企業では、CISOの42％が取締役会との会議を定期的には実施しないか、全く実施していないことが分かった。本調査は、2024年4〜11月、さまざまな規模、所在地、業界の企業に勤めるセキュリティ部門のリーダー830人を対象に実施したものだ。

メンタルヘルスを維持しながらリーダーシップを発揮するには

　進化する脅威に立ち向かうCISOにとって、リーダーシップと自身の精神的な安定を両立させることは重要だ。そのための具体的な方法を以下に挙げる。

対策1．セキュリティ部門以外の部門と積極的にコミュニケーションを取る

　事業部門や取締役会とのコミュニケーションを積極的に取ることで、サイバーセキュリティの問題をCISO個人の問題から企業全体で取り組むべき経営課題に転換できる。コミュニケーションの活性化は従業員間の誤解を減らし、セキュリティに対する意識を高め、部門間のあつれきを軽減するのにも役立つ。

対策2．シフト表を作って負担を減らす

　営業時間内、営業時間外に誰がいつ脅威に対処するかを明確にする。これによって、CISOが「常時オン」でいる時間を短縮でき、勤務時間外にインシデントの心配をせず休息を取ることが可能になる。

対策3．同じ立場の仲間を探す

　同じ問題を抱える他社のCISOやセキュリティ部門のリーダーと話して、仲間とのつながりを築く。こうしたつながりは、CISOが精神的な負担を分かち合い、軽減する上での有効な手段になる。

対策4．積極的に作業を自動化する

　自動化は、残業やストレスの多いタスクを削減したいCISOにとって有用な手段だ。レポート作成の迅速化、人的ミスの削減、業務時間の短縮に役立つ。

対策5．業務の優先順位を設定する

　仕事とメンタルヘルスのバランスを取るのであれば、緊急の業務とそうではない業務を切り分けることが重要だ。インシデントが発生した場合に、CISOにエスカレーションすべき問題やエスカレーションするためのプロセスを整備しておく。

---

　次回は、CISOのバーンアウトを防ぐための効果的な投資と、そうした取り組みの重要性を解説する。