2025年までにサイバーセキュリティリーダーの約半数が転職、主要因はストレス Gartnerが予測：セキュリティ専門家へのサポートは必須

Gartnerは2025年までにサイバーセキュリティリーダーの約半数が転職し、25%が仕事に関連する複数のストレス要因から完全に異なる職務に就くという予測を発表した。

[＠IT]

　Gartnerは2022年2月22日（米国時間）、2025年までにサイバーセキュリティリーダーの約半数が転職し、25％が仕事に関連する複数のストレス要因から完全に異なる職務に就くという予測を発表した。

　「サイバーセキュリティの専門家は、持続不可能なレベルのストレスに直面している」と、Gartnerのディレクター・アナリストを務めるディープティ・ゴパール氏は述べている。

　「CISO（最高情報セキュリティ責任者）は、ハッキングされるか、されないかのどちらかしか考えられない状態で、サイバー攻撃の防衛に当たっている。この心理的な影響は、サイバーセキュリティリーダーとそのチームの意思決定の質とパフォーマンスに直接影響する」

　これらの動向とサイバーセキュリティのプロフェッショナルにとっての莫大（ばくだい）な市場機会を考えると、人材の入れ替わりはセキュリティチームにとって重大な脅威となる。Gartnerの調査によると、サイバーセキュリティプログラムがコンプライアンス中心なことや経営層の支援が不十分、業界全体の成熟度が低いことは、セキュリティリスクマネジメントがビジネスの成功にとって重要であると考えない組織の兆候だという。このような組織では、自分の影響力を実感でき、評価される職務に就くために人材が流出し、離職率が高くなる可能性が高い。

　「組織文化が悪いと、バーンアウトと自主的な離職を引き起こす」とゴパール氏は言う。「ストレスをなくすことは非現実的な目標だが、人はサポートされる文化があれば、非常に困難でストレスの多い仕事にも対応することができる」

セキュリティ事故の主な原因は人間

　Gartnerは、2025年までに発生する重大なサイバーインシデントの半分以上は、人材不足やヒューマンエラーが原因であると予測している。脅威者が人間を最も脆弱（ぜいじゃく）な存在と見なすようになり、人間に対するサイバー攻撃やソーシャルエンジニアリング攻撃の数が急増するという。

　2022年5月から6月にかけてGartnerが1310人の従業員を対象に実施した調査では、69％の従業員が過去12カ月間に組織のサイバーセキュリティ指導を回避していることが判明した。この調査では、74％の従業員が「自分または自分のチームがビジネス目標を達成するのに役立つのであれば、サイバーセキュリティのガイダンスを回避してもよい」と回答している。

　Gartnerのバイスプレジデントアナリストであるポール・ファータド氏は、次のように述べる。「従業員の動きを遅らせ、安全でない行動につながるあつれきは、インサイダーリスクの大きな要因となっている」

　この脅威の高まりに対処するため、Gartnerは、2025年までに中堅・大企業の半数（2023年は10％）がインサイダーリスク管理のための正式なプログラムを導入すると予測している。インサイダーリスク管理プログラムは、企業資産の流出やその他の有害な行動につながる可能性のある行動を積極的かつ予測的に特定し、処罰ではなく、是正指導を提供する必要がある。

　「CISOは、サイバーセキュリティプログラムの開発において、いっそうインサイダーリスクを考慮する必要がある」と、ファータド氏は述べる。「従来のサイバーセキュリティツールでは、内部から侵入する脅威に対する可視性が限られている」