米英のCISOが感じているストレスの深刻かつ悲しい実態 (original) (raw)

企業や組織のセキュリティ担当者が強いストレスにさらされながら業務を遂行していることは、かねてより指摘されていますが、そのような中、CISOのストレスの実態について具体的に調査した結果が公開されました。.ukドメインのレジストリであるNominetは、調査会社Vanson Bourneに依頼し、米国と英国の400名のCISOおよび400名の経営幹部レベル(C-Suite executive)、計800名に対するオンライン調査を実施した結果を「The CISO Stress Report - Life Inside the Perimeter: One Year On」として発表しました。回答者が所属するのはいずれも従業員数が3000名以上の企業や組織で公的機関も含まれています。

今回の調査で明らかになったのは、CISOの受けるストレスが深刻であるだけでなく、経営幹部がセキュリティの重要性を認識している一方でCISOらのストレスの深刻さを過小評価しているケースが少なくない実態です。

まず、ストレスを「どちらかと言えば感じている」または「大いに感じている」と回答しているCISOの割合は88%で、前年の調査結果の91%よりは若干減っていますが、その実態は深刻です。ポイントは以下の4点。

また、31%のCISOはストレスが業務遂行能力にも影響を与えていると回答しており、前年より2%増加しています。この結果として「燃え尽き症候群」の割合は高く、CISOの在職期間は平均して26カ月となっています。

さらに、ほとんど全てのCISOが契約外の超過勤務をしている実態も明らかになっています。ポイントは以下の4点。

さらに超過勤務については以下の2点も挙げられています。

この状況に対して、90%のCISOは仕事と生活のバランスを改善できるのであれば報酬をカットされてもよいと回答しており、平均して7.76%、年間で$9,642(£7,475)を喜んで諦めると回答しています。つまり、3万ドル分もタダ働きしているにも関わらず、待遇改善のためなら1万ドルを諦めると言っているわけです。ここにも追い詰められた心理状態が見て取れます。

一方、経営幹部レベルについては、47%がセキュリティを「主要な(great)」問題と捉えており、サイバーの脅威がビジネスに与えるリスクを「high」または「very high」と考えているのは90%に上っています。この90%という数字はCISOが同様に考えている66%よりも高い値となっています。また、自組織のセキュリティチームがストレスを「どちらかと言えば感じている」または「大いに感じている」と考えているのは74%となっており、セキュリティチームが置かれている厳しい状況を経営幹部はそれなりに認識はしているようです。しかし、以下に挙げた5つのポイントが示すように、状況の改善を期待できないケースは少なくありません。

報告書本文ではさらに詳細な調査結果が掲載されています。ここではその中からいくつか興味深い結果を紹介します。

まず、仕事を優先したために前年に経験したことなどを複数回答で選択してもらった結果は以下の通り。

家族の節目やイベントを欠席したことがある 45%
社交行事を欠席または遅刻したことがある 44%
病欠することを心配 41%
検診/通院日を先延ばしにしたことがある 40%
年次休暇を使い切らなかった 35%
仕事関連のストレスで休みを取ったことがある 21%

「家族の節目やイベントを欠席したことがある」と回答したCISOのうち、具体的に欠席したものを挙げてもらった結果は以下の通り。

子どものスポーツの試合、音楽イベントなど 61%
家族の誕生日イベント 51%
親戚の結婚式 39%
家族旅行または家族と過ごす休日 39%
親戚の葬式 37%
子どもの初登校日 35%

次に、業務のうち最もストレスを誘発する部分として挙げられているのは以下の通り。

ビジネス/ネットワークをセキュアにすることに責任があること 44%
脅威インテリジェンスに遅れを取らないようにすること 40%
時間が長いこと 39%

自組織の役員会議でサイバーセキュリティが正式な議題となる頻度を訊ねた結果は以下の図です。CISOと経営幹部レベルで認識に明確な差があるところが気になります。

自組織内に業務上のストレスを抱えた従業員を支援するための適切な体制があるかを訊ねた結果は以下の図です。こちらもCISOと経営幹部レベルで認識にかなりのギャップがある点が際立っています。

最後に、米英の比較を紹介します。

CISOに対する質問で、CISOまたはセキュリティチームは契約時間よりも長時間働くことを期待されているか否かを訊ねた結果は以下の通り。

Yes No
米国 90% 10%
英国 82% 18%
全体 87% 13%

CISOに対する質問で、実際に契約時間(週40時間勤務をベースに)を超えて働くと回答した結果は以下の通り。

米国 94% 週平均10時間の超過勤務
英国 95% 週平均9時間の超過勤務
全体 95% 週平均10時間の超過勤務

経営幹部レベルに対する質問で、自組織のセキュリティチームが契約時間よりも長時間働くことを期待しているかを訊ねた結果は以下の通り。

Yes No
米国 83% 17%
英国 73% 27%
全体 78% 22%

経営幹部レベルが期待している以上にCISOは超過勤務を期待されていると考えており、さらに実際にはそれ以上にほぼ全てのCISOが超過勤務をしています。この傾向は米英で同じですが、米国の方が期待度は高めとなっています。

年俸や上記の「タダ働き」の金額、待遇改善のために諦められる金額の比較は以下の通り。

年俸 タダ働き分 待遇改善で諦められる金額
米国のCISO $128,908 $32,227 $9,596
英国のCISO £88,324 £19,873 £7,509

金額そのものの比較は為替レートで変わってしまうので、タダ働き分と待遇改善で諦められる金額の年俸に対する割合で比較すると以下のようになります。

タダ働き分/年俸 待遇改善で諦められる金額/年俸
米国のCISO 25.0% 7.4%
英国のCISO 22.5% 8.5%

読んでいて悲しい気持ちにしかならない報告書ですが、このような状況は日本ではむしろもっと遥かに深刻かもしれません。また、今回の調査結果はCISOに限った話ではなく、セキュリティ担当者全般に当てはまる部分も少なくないでしょう。

今回の報告書には、CISOをはじめとするセキュリティ担当者の置かれた厳しい状況を経営層に訴えるための材料として使える部分もあると思います。正味20ページ程度で図が多く読みやすい内容になっていますので、まずは一読の上、うまく使ってください。