ニュース
日本のIT担当者の69%に「セキュリティ疲れ」~ソフォスが調査結果を発表
2024年2月22日 07:21
ソフォス株式会社は2月20日、調査レポート「アジア太平洋地域と日本のサイバーセキュリティの展望」を発表し、プレスウェビナーを行った。調査対象全体では85%、日本では69%のサイバーセキュリティ担当者が「サイバーセキュリティ疲れ/サイバーセキュリティ燃え尽き症候群」を感じており、企業はその軽減のための取り組みが必要だとしている。
本調査は、2023年9月に、ソフォスの委託によりTRA(Tech Research Asia)が匿名のオンライン調査として実施したもの。回答は企業のセキュリティ担当者が行っており、日本では204社が回答しているほか、オーストラリア204社、インド202社、マレーシア104社、フィリピン103社、シンガポール102社の、計919社が回答している。
同様の調査は4回目で、「サイバーセキュリティ疲れ」のようなテーマでの調査は、今回が初だという。ウェビナーでは、同社の杉浦一洋氏(セールスエンジニアリング本部副本部長 兼 シニアセールスエンジニア)が説明を行った。
本稿では主に日本のデータを紹介するが、調査結果を各国で比較すると、全体的に日本は他国に比べてサイバーセキュリティ疲れ/燃え尽き症候群の傾向が少な目で、その分、サイバーセキュリティの取り組み自体も積極的でないように見える。これに関しては、質疑応答にて、各国の働き方の違いなどによるところが大きく、同じ質問でも捉えられ方が異なっていた可能性を、杉浦氏が示唆している。
いわく、日本ではセキュリティ専業の担当者を設置している企業は少なく、IT担当者がセキュリティ業務も兼務していることが多い。また、特定業務に関して報酬が設定されたジョブ制度ではなく、決められた報酬で、与えられた業務をこなしていることが多い。淡々と仕事をこなすスタイルだと、「燃え尽き」が起こりにくいのではないか、とのことだ。日本のサイバーセキュリティの取り組みが低レベルだと、一概に言えるわけではないとしている。
日本の燃え尽き経験は少なめだが、「過去1年間に大幅に増加」との回答が多い
サイバーセキュリティ燃え尽き症候群を自分または同部門の同僚が経験したことがあるか、との質問では、平均(回答者全体の平均。以下同)で23%が「頻繁に」、62%が「時々」あると回答しており、全体の85%が経験していることが分かった。日本では、23%が「頻繁に」、46%が「時々」と回答しており、合計69%が経験している。これは、調査対象国の中で最も低い数値となる。
なお、平均の90%が過去12カ月間に燃え尽き症候群やセキュリティ疲れが増加したと回答しており、そのうち30%は「大幅に増加した」と回答。特に、「大幅に増加した」との回答はインド(48%)と日本(38%)が高かったという。
燃え尽き症候群の影響として、企業は平均して週あたり4.1時間の生産性の低下を経験しているという(日本は週あたり3.6時間)。また、平均して17%が、燃え尽き症候群がセキュリティ侵害の原因の一部、または直接の原因になったと認識している(日本は5%)。
そのほか、平均23%で燃え尽き症候群により退職した従業員がおり(日本は13%)、平均20%の企業で、燃え尽き症候群によるパフォーマンスの問題から、従業員の異動を行ったことがある(日本は12%)
こうした状況への対策については、平均して71%の企業がストレス軽減のためのカウンセリングを提供し(日本は62%)、担当者が懸念を訴えた場合に、支援するという肯定的な回答があった企業は平均で60%だった(日本は46%)。
日本ではIT担当者がセキュリティも兼務、他組織との関係は少なめか
経営層(取締役会および経営幹部)との関係に関する調査として、法律や規制の変更により、取締役会やディレクターレベルにおけるサイバーセキュリティ対策の優先順位が高まったかとの質問では、平均で
44%が「非常に高くなった」、51%が「ある程度高くなった」と回答した(日本では28%、60%)。
これに関しては、アジア太平洋地域の多くの国で、セキュリティ侵害があったときに情報開示が義務化され、経営層も無関心でいられなくなったが、日本では現状そこまでの規制がされていない、との補足を、杉浦氏が行った。
企業内におけるサイバーセキュリティチームの位置付けは多様で、サイバーセキュリティのリーダーがCEOに直接報告しているケースは平均で39%であり、オーストラリアが51%で最も高く、日本は23%で最も低い。日本の企業における報告先は、DX部門の責任社に報告しているケースが26%で最多。次いでCEOの23%で、CIO/CTOが3番目だった。
また、平均で75%の企業がサイバーセキュリティ専門のチームを設置しており、39%の企業がIT部門内にチームを設置している。日本では、IT担当者がサイバーセキュリティ業務も担っている組織の割合が最も高い(25%)という。
サイバーセキュリティ部門リーダーが、社内外に対して定期的な説明会を行っているか、を対象別にたずねた質問では、平均で取締役会が41%(日本は21%)、SLT(シニアリーダーチーム)が51%(日本は38%)などだった。日本での実施率は、全体的に低めとなっている。
セキュリティ違反を繰り返す層は「SLT」が最多
インシデント対応と普及に関して、個人的に他社製品を使用していてセキュリティ侵害を受けた経験、またはそのような通知を受けた経験はあるかとたずねた質問では、平均で45%が「1回以上ある」、35%が「1回ある」と回答。日本でも44%、37%と大きく変わらない回答だった。
また、個人的なセキュリティ侵害経験によりプロフェッショナルとしての自分の考え方が変わったかとの質問では、回答者全体では「不安が大きくなった」「セキュリティ侵害は避けられないものと考えるようになった」「自社の取締役会がもっと充実していればと思った」といった回答が4割前後ずつあったが、日本では全体的に影響が小さかったという。
トレーニングを行っても繰り返しセキュリティ違反をしている存在を組織の階層別にたずねると、平均では「SLT」が41%で最多。続いて「従業員」の38%、「経営幹部」の28%となった(日本ではそれぞれ37%、34%、22%)。これは、経営層を装い従業員をだます標的型攻撃のターゲット層と一致すると、杉浦氏は分析している。
インシデント対応計画やコミュニケーション計画を策定している企業の割合は、平均で84%だが、日本は73%と最少となった。杉浦氏は、73%という数値は悪いわけではないと補足したうえで、対応計画があってもきちんと運用できているとは限らず、その点については別軸の調査が必要と述べた。
「カルチャーの確立に苦労している」との不満が最多に
セキュリティ担当者が感じているフラストレーションについてたずねると、全体では「全社的に強固なサイバーセキュリティカルチャーを確立することに苦労している」が最多となった。これは、前回までの調査ではトップ10圏外だったという。そのほか、上位のフラストレーションはいずれも技術や法律などの問題でなく、コミュニケーションの問題となった。
日本でのフラストレーションのトップ3は、「経営陣は口先ではサイバーセキュリティ対策について賛同しているが、真剣ではない」「経営幹部は自社が攻撃されることは決してないと考えている」「強力なサイバーセキュリティカルチャーを全社的に構築することに苦労している」だったという。
このほか、サイバーセキュリティに関して経営幹部とSLTの理解をたずねた質問では、平均だと経営幹部が「全く理解していない」平均7%、「あまり理解していない」37%、SLTが「全く理解していない」6%、「あまり理解していない」36%だったのに対し、日本ではぞれぞれ18%、36%、14%、47%だった。ネガティブな回答の割合が平均より高めとなっている。
杉浦氏は、こうした回答に対し、経営層やSLTのサイバーセキュリティに対する理解度は向上している印象だが、セキュリティ担当者が「理解していないと思ってしまう」ところには、コミュニケーション不足もあるのではないかと指摘した。
「サイバーセキュリティ疲れ」軽減の取り組みが必要
以上の調査結果を受け、杉浦氏は「サイバーセキュリティ疲れと燃え尽き症候群は、従業員と企業の双方がサイバーセキュリティ対策を遂行していく能力に悪影響を及ぼす重大な問題」とし、軽減のための取り組みを行うべきと、同社からの提言を説明した。
担当者の離職率上昇は多くの組織が直面している問題だが、自動化機能の向上や、AIを活用したサイバーセキュリティソリューションによって、疲れ/燃え尽き症候群の原因の一端は軽減できると思われるとした。
また、さらに重要な取り組みとして、全社的で強固なサイバーセキュリティカルチャーを構築すること、取締役会やSLTがサイバーセキュリティに関する理解を深めること、サイバーセキュリティ違反を繰り返す従業員の教育によりパフォーマンスを向上させることを挙げた。これらによって、担当者の一般的なフラストレーションの多くを軽減できるだろうとしている。
