セキュリティチームを「ダメ出し部隊」から脱却させるには：Omdia調査

自社のセキュリティを「平凡」と評価する専門家が半数に上ることが判明した。現場は慢性的な教育不足と疲弊に苦しみ、5人に1人が離職を検討する深刻な状況にある。単なるツール導入とどまらず、組織を「ダメ出し部隊」から脱却させ、ビジネスを加速させるカルチャーへと転換するためのリーダーシップとソフトスキルの正体に迫る。

[Phil Sweeney，TechTarget]

　新たな調査により、自社のサイバーセキュリティが「平均より優れている」と考える専門家は、3人に1人にも満たないことが明らかになった。

　この結果は、セキュリティ体制の改善に向けた課題が山積していることを示唆している。情報システムセキュリティ協会（ISSA）と、Informa TechTarget傘下の調査会社Omdiaが共同で実施した第8回年次調査「サイバーセキュリティプロフェッショナルの現状（The Life and Times of Cybersecurity Professionals）」がその詳細を伝えている。同調査は380人のITおよびセキュリティ専門家を対象に、仕事の満足度から自チームの業務品質まで、多岐にわたるトピックについて意見を募った。

　自社のサイバーセキュリティを格付けする設問では、「先進的」と評価したのはわずか29％だった。これに、50％が「平均的」、19％が「まずまず」と回答している。

セキュリティ向上に求められる投資と施策

「今求められる人材」に関連する編集部お薦め記事

　企業のセキュリティ状態を改善するために必要な要素として、専門家たちは以下の項目を挙げている（複数回答）。

• サイバーセキュリティおよびITスタッフへのトレーニング強化（42％）
• 人材とツールへの投資（37％）
• ガバナンスとコンプライアンスの改善（36％）
• サイバーハイジーン（衛生管理）の向上（35％）
• 組織全体のセキュリティカルチャーの改善（34％）
• 非技術職向けのセキュリティ意識向上トレーニング（33％）
• 脅威の防御、検知、対応能力の向上（31％）
• 統制の検証と弱点特定のための定期的なテスト（30％）

　また、セキュリティチームとITチームの連携を強化する方法については、44％が「機能別の技術グループにセキュリティ担当者を組み込むこと」を提案した。さらに41％は、両チームでの共同作業を必要とするプロセスの自動化を求めている。

リーダーシップと「ソフトスキル」の役割

　組織全体の連携を強化するには、有能なリーダーシップとソフトスキルが必要だとOmdiaのサイバーセキュリティプラクティスディレクター、メリンダ・マークス氏は指摘する。

　同レポートの著者であるマークス氏は、「技術的な決定が下される場に参加を求め、セキュリティ機能を確認した上で導入の是非を判断すべきだ」と述べる。こうした交渉には、単なる技術力とは異なる、他チームとのコミュニケーションや協調といったソフトスキルが求められる。

　同氏によれば、健全なセキュリティカルチャーを持つ企業では、リーダーやチームが「何でも否定するチーム（Team of No）」にならないよう努めている。新しいアイデアを「安全ではない」と一蹴するのではなく、リスクとイノベーションのバランスを建設的に議論することが重要だという。

　成長と規模拡大を目指す企業にとって、新技術を理解し、他チームと目標を共有できる人材への投資は価値がある。「適切なプログラムやツールを整え、目標達成に向けて協力できるスキルは、かつて求められたものとは異なる」とマークス氏は付け加えた。

バーンアウト対策と経営層の関与

　一方で、セキュリティチームが直面する継続的なプレッシャーへの対応も急務だ。今回の調査では、仕事の満足度スコアが振るわず、20％の回答者が「日常的に離職を考えている」と答えた。

　マークス氏は、企業はテクノロジーだけでなく、それを扱う「人」にも投資を行い、この問題に注意を払う必要があると警鐘を鳴らす。

　ISSAの名誉フェローで前会長のショーン・マレー氏は、バーンアウト（燃え尽き症候群）の解決には企業のトップによる関与が最善だと指摘する。「リーダーシップがセキュリティを事業継続の必須要件として優先しなければ、予算獲得や人員確保に奔走するCISO（最高情報セキュリティ責任者）の苦闘は終わらない」

　バーンアウトは業界が長年解決できずにいる課題だが、マレー氏は進展も見られると語る。CISOの声が経営陣や取締役会に届きやすくなっており、CTO（最高技術責任者）やCIO（最高情報責任者）ではなく、CEOに直属するCISOが増えている傾向は心強い兆しだという。