海の向こうの“セキュリティ”

リモートワークに伴う「燃え尽き症候群」のセキュリティリスクとは

労働者のセキュリティに関する意識調査 ほか

燃え尽き症候群のセキュリティリスク

 コロナ禍をきっかけに世界中の多くの国で一般的になったリモートワークがさまざまなセキュリティリスクを生んでいるとの指摘がある中、リモートワークに伴う「燃え尽き症候群(Burnout)」の観点でセキュリティリスクを調べた結果が公開されました。この調査はパスワード管理ソフトで知られるカナダのセキュリティ企業「1Password」が実施したもので、米国とカナダで主にコンピューターを使ってフルタイムで働いている18歳以上の2500人を対象にオンラインで2021年10月に行われました。なお、2500人のうち500人はIT部門でマネジャー以上の役職に就いているセキュリティ実務者で、残り2000人はそれ以外のさまざまな部署や役職に就いている人です。また、男女比はほぼ等しくなっています。

 調査によると、燃え尽き症候群に陥っていると感じている人は多く、一般の従業員では80%、セキュリティ実務者では84%となっています。さらに、燃え尽き症候群のために「完全に疲れ果てている」「仕事では最低限のことしかしていない」と回答している割合は、一般の従業員で5%であるのに対し、セキュリティ実務者では10%と倍になっています。

 また、予想通りではありますが、燃え尽き症候群に陥っていると感じている人はセキュリティに関するポリシーやルールを遵守する意識が低くなっていることが明らかになっています。例えば「セキュリティポリシーはその手間に見合わない」と考えている人の割合は、燃え尽き症候群に陥っている人で20%、そうでない人では7%となっています。

 このセキュリティへの無関心さは転職を考えている人に特に顕著で、業務においてセキュリティより利便性を重視しているのは、転職の意思がない人では16%であるのに対し、転職希望者では24%となっています。これはコロナ禍の時期が「Great Resignation(大量退職)」と呼ばれるほど、米国では転職を希望する人がかつてないほど増えていることも関係しているとみられています。

 そのほかにも、燃え尽き症候群に陥っている人はパスワードを使い回したり、シャドーITを使ったりする傾向があるとの結果も出ています。

 今回の調査結果を踏まえ、1Passwordは「われわれの調査が、企業が従業員の健康状態について考え、従業員全員がより幸せで健康的な生活を送れるようにするためのステップとなることを期待している」と述べています。

 今回の調査においては、「燃え尽き症候群」であると判断する客観的な基準が設けられているわけではなく、あくまで回答者それぞれの「感じ方」であり、また、今回のような極めてデリケートな要素を含む問いに回答者がどこまで正直に回答しているかも分かりません。したがって、今回の結果の数字そのものにさほど重要な意味があるとは言えないでしょうし、そもそも疲弊している従業員の存在がセキュリティリスクにつながる可能性があるのは当たり前と言えば当たり前です。

 それでも、従業員の健康がセキュリティの観点からも重要であることを示す参考資料の1つとしては十分に使えるはずです。調査レポート本文は表紙や目次を除けば10ページにも満たない内容で、図を多用してコンパクトにまとめられています。また、1Passwordのブログで調査レポートの概要が紹介されていますので、まずはそれだけでも目を通しておくことをお勧めします。うまく使ってみてください。

世界経済フォーラム、サイバーセキュリティにおける多様で包括的な人材の必要性を訴える

 サイバーセキュリティ分野における深刻な人材不足が世界的に叫ばれるようになって久しいですが、そのような中、世界経済フォーラムは、2021年10月、この人材不足には「多様性の欠如」の問題があり、サイバーセキュリティには多様で包括的な人材が必要であるとする論説を公開しました。

 論説の中では、Aspen DigitalとAspen Tech Policy Hubが2021年9月に公開した報告書「Diversity, Equity, and Inclusion in Cybersecurity」を引用し、サイバーセキュリティ従事者が白人に極端に偏っていること、また、女性の割合が24%に過ぎないことを指摘しています。

 その上で、まず論説では、単に多様な人材を採用するのではなく、既に働いている専門家に対して成功と成長の機会とツールを提供しなければならず、また、管理職は多様な人材がその分野の将来のリーダーとして成功するためのスキルセットを得られるようにしなければならないとしています。

 一方、エントリーレベルの仕事であっても多くの資格を必要としていることから、サイバーセキュリティへの参入を考えている人は、第一歩となる最初の仕事に就くことすら難しいと考えていることに注意する必要があります。そこで論説では、既に持っている資格ではなく、採用担当者が候補者それぞれの核となる特性に注目し、その人材に対して育成と投資をしてはどうか?と提言しています。なお、この方法はイスラエル軍や米軍など世界中の多くの軍隊で採用されているそうです。

 そして、多様性・公平性・包括性を優先している組織が有効と見なしている具体的なステップとして次の4点を挙げています。

  • 多様なスタッフの維持と育成の機会を優先する。より高い組織レベルで多様性を構築するためには従業員の維持が不可欠である。
  • 全ての従業員を個人として扱い、自己表現の機会を提供し、安全な空間を作り、その貢献を認める。
  • リーダーが組織全体の多様性・公平性・包括性を積極的にサポートすることを保証する。
  • 誰もが発表・執筆・演説できる機会を作る。

 最後に論説では、多様性の欠如は、攻撃者らがわれわれを攻撃する無数の方法を見えなくさせ、世界人口で重要な部分を占める人々の才能と関与を奪っており、また、さまざまな視点や多様な表現の欠如によって、私たちは目先の問題にはまって抜け出せなくなり、将来の脅威を予測するためのエネルギーや能力を搾り取られていると指摘しています。その上で「多様性とは、より強固で、より革新的で、より俊敏なアイデアを保証するためのわれわれのツールキット全体における重要な部分である」としています。

 採用や雇用の仕組みはもとより、取り巻く状況も国によって異なるため、「世界経済フォーラムがこのように提言しているのだから」との理由だけで日本ですぐに何かが変わる、または変えられるものではありませんが、多様で包括的な人材がサイバーセキュリティに必要であることは間違いなく、それを説明する資料の1つとしては十分に役立つものでしょう。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。