日本のセキュリティ担当者8割が「燃え尽き症候群」 なぜか?:ストレスや疲労で週4.7時間喪失
ソフォスは、アジア太平洋地域6カ国926人を対象にサイバーセキュリティの実態調査を実施した。「シャドーAI」が新たなリスクとして浮上している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
サイバーセキュリティベンダーのソフォスは2025年12月2日、アジア太平洋地域および日本を対象に、サイバーセキュリティ担当者の負荷とAI(人工知能)利用の影響を分析したレポート「アジア太平洋地域のサイバーセキュリティの展望 第5版」を発表した。
本調査は、Tech Research Asia(現Omdiaグループ)の協力の下、オーストラリア、インド、日本、マレーシア、フィリピン、シンガポールの6カ国で926人のサイバーセキュリティおよびITプロフェッショナルを対象に実施された。
調査結果によると、「燃え尽き症候群」が依然として高水準にあり、「シャドーAI」(承認されていないAIツールの業務利用)が新たなリスクとして浮上していることが明らかになった。
日本のセキュリティ担当者8割が「燃え尽き症候群」 なぜか?
レポートによると、サイバーセキュリティ担当者が燃え尽き症候群の状態にある、あるいはその兆候があると答えた組織は、アジア太平洋地域全体で86%、日本では80%に達した。いずれも2024年調査から増加しており、アジア太平洋地域では85%から1ポイント、日本では69%から11ポイントと大きく伸びた。
背景には、サイバー攻撃の高度化と増加、人材不足、複雑化するコンプライアンス対応がある。ソフォスのアジア太平洋日本地区担当シニアバイスプレジデント、ギャビン・ストラザーズ氏は、脅威の増加と限られたリソース、規制要件の強化という三重苦が、セキュリティチームの持続可能な運用を難しくしていると指摘する。
同レポートは、燃え尽き症候群が生産性の低下やインシデント対応の遅れ、離職の増加につながるだけでなく、セキュリティ侵害の一因にもなっている点を強調する。調査対象企業のうち31%が「燃え尽き症候群が原因でセキュリティ侵害が発生した」と回答しており、人材面の課題が直接的なリスクとなっている。
ストレスと疲労が業務にもたらす影響も数値化された。従業員1人当たり、週平均で約4時間36分(日本では約4時間42分)の業務時間がストレスや疲労で失われており、前年から地域全体で12%、日本では30%増加した。
AIツールで負荷軽減の一方、シャドーAIリスクが拡大
レポートは、AIがサイバーセキュリティ現場にもたらす影響を示している。AIを活用したサイバーセキュリティツールを導入している組織のうち56%は、ストレス軽減やインシデントの優先順位付けの迅速化に効果があったと回答し、適切な活用によって担当者の負担を軽減できることが示された。
一方で、承認されていないAIツールを業務で利用する「シャドーAI」の拡大が深刻な懸念として浮上している。調査対象組織の46%(日本では47%)が、社内で未承認のAIツールが使われていると回答した。
AIに関するルール整備と実態のギャップも明らかになった。全体の72%(日本では63%)が何らかの正式なAI利用ポリシーを導入している一方で、従業員がそれを順守できていない実態がある。12%(日本でも12%)の組織は、「自社でシャドーAIアプリが使われているかどうかを把握していない」と回答している。
レポートでは、可視化と管理が不足している場合、次のようなシャドーAIのリスクの悪化を指摘している。
- 自社でどのAIツールが利用されているかどうかを把握していない組織(38%)
- それらのAIツールがどのデータにアクセスしているか把握できていない組織(35%)
- 導入したAIアプリケーションに脆弱(ぜいじゃく)性を確認している組織(31%)
この結果から、ソフォスは単にAIポリシーを定めるだけでは不十分であり、利用状況を監視・管理できる体制を含めたAIガバナンスの強化が不可欠としている。
法規制は「もろ刃の剣」
レポートは、燃え尽き症候群の拡大とシャドーAIの増加という課題に対し、組織がどのようにリソース配分やガバナンスを強化していくべきかも示唆している。サイバーセキュリティ予算については、調査対象組織の85%(日本では76%)が今後1年間で増額を予定している。
規制環境については、多くの組織が何らかの規制の対象となっており、調査では83%の組織が規制を受けていると答えた。そのうち56%は、これらの規制が組織のレジリエンス(回復力)強化やセキュリティ戦略の向上に役立っていると評価している。
一方で、規制対応の負荷が担当者のストレスや燃え尽き症候群を助長している側面もあり、「もろ刃の剣」としての性格が浮き彫りになった。
ストラザーズ氏は、こうした状況に対し、「従来のフィッシングメール対策にとどまらず、AIツールを介したデータの取り扱いや共有方法まで含めてセキュリティ意識を広げる必要がある。AIの利用にはガバナンスと明確なルールが不可欠だ」と訴えた。
関連記事
サイバーセキュリティ、専門家が指摘する「人員不足」よりも深刻な現場の課題
ISC2は、年次グローバルサイバーセキュリティ人材調査の2025年版を公開した。
日本のCISOが経験した情報漏えいの約9割に「退職した従業員」が関与
日本プルーフポイントは世界16カ国、1600人のCISOを対象とした調査レポート「2025 Voice of the CISO」の日本語版を発表した。日本のCISOの69%が今後1年以内に重大なサイバー攻撃を受けると予想。サイバー攻撃が巧妙化する一方、CISOは内部不正への対応、生成AIのガバナンス対応に直面しており、極度のプレッシャーにさらされている状況が浮き彫りとなっている。
サイバーセキュリティリーダーが燃え尽きてしまう理由
サイバーセキュリティリーダーが抱える特有のストレス要因は、燃え尽き症候群のリスクを高めるものだ。Gartner Peer Communityはサイバーセキュリティリーダー178人を対象に、燃え尽き症候群の最も一般的な原因に関する調査を行った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。