企業や組織のセキュリティ担当者が強いストレスにさらされながら業務を遂行していることは、かねてより指摘されていますが、そのような中、CISOのストレスの実態について具体的に調査した結果が公開されました。.ukドメインのレジストリであるNominetは、調査会社Vanson Bourneに依頼し、米国と英国の400名のCISOおよび400名の経営幹部レベル（C-Suite executive）、計800名に対するオンライン調査を実施した結果を「The CISO Stress Report - Life Inside the Perimeter: One Year On」として発表しました。回答者が所属するのはいずれも従業員数が3000名以上の企業や組織で公的機関も含まれています。

今回の調査で明らかになったのは、CISOの受けるストレスが深刻であるだけでなく、経営幹部がセキュリティの重要性を認識している一方でCISOらのストレスの深刻さを過小評価しているケースが少なくない実態です。

まず、ストレスを「どちらかと言えば感じている」または「大いに感じている」と回答しているCISOの割合は88％で、前年の調査結果の91％よりは若干減っていますが、その実態は深刻です。ポイントは以下の4点。

48％のCISOは仕事上のストレスが自らのメンタルヘルスに悪い影響を与えていると回答。これは前年の27％から大きく増加。35％（プレスリリース文では31％と記載）のCISOは身体の健康に影響を与えていると回答。

40％のCISOはストレスレベルがパートナー（配偶者など）や子どもたちとの関係に影響を与えていると回答。

32％はストレスレベルが夫婦関係や恋愛関係に悪影響を与えていると回答。同じく32％は個人的な友人関係に影響を与えていると回答。

薬やアルコールに走るCISOの数は四半期ごとに増えてきており、2019年の17％から2020年には23％に。

また、31％のCISOはストレスが業務遂行能力にも影響を与えていると回答しており、前年より2％増加しています。この結果として「燃え尽き症候群」の割合は高く、CISOの在職期間は平均して26カ月となっています。

さらに、ほとんど全てのCISOが契約外の超過勤務をしている実態も明らかになっています。ポイントは以下の4点。

71％のCISOは仕事と生活のバランスとして仕事の方に重きを置き過ぎていると回答。

95％のCISOは契約時間以上働いており、その超過時間は平均して週10時間。これは年間で＄30,319（￡23,503）分のタダ働きをCISOがしていることを意味。

勤務時間外には常にスイッチをオフにできると回答しているCISOは2％のみ。83％は夜や週末の半分以上の時間を仕事に関して考えるのに費やしていると回答。

87％のCISOは組織から追加勤務を期待されていると回答。

さらに超過勤務については以下の2点も挙げられています。

78％の経営幹部レベルは自社のセキュリティチームが契約時間を超えて働くことを期待していると認めている。

CISOのトータルの勤務時間は米国と英国で同じくらいだが、超過勤務に対する期待は米国の方が大きい。

この状況に対して、90％のCISOは仕事と生活のバランスを改善できるのであれば報酬をカットされてもよいと回答しており、平均して7.76％、年間で＄9,642（￡7,475）を喜んで諦めると回答しています。つまり、3万ドル分もタダ働きしているにも関わらず、待遇改善のためなら1万ドルを諦めると言っているわけです。ここにも追い詰められた心理状態が見て取れます。

一方、経営幹部レベルについては、47％がセキュリティを「主要な（great）」問題と捉えており、サイバーの脅威がビジネスに与えるリスクを「high」または「very high」と考えているのは90％に上っています。この90％という数字はCISOが同様に考えている66％よりも高い値となっています。また、自組織のセキュリティチームがストレスを「どちらかと言えば感じている」または「大いに感じている」と考えているのは74％となっており、セキュリティチームが置かれている厳しい状況を経営幹部はそれなりに認識はしているようです。しかし、以下に挙げた5つのポイントが示すように、状況の改善を期待できないケースは少なくありません。

66％の組織は過去1年間で最低1回はセキュリティ侵害を経験しており、30％が複数回。

24％のCISOは、セキュリティ侵害が避けられないものであることを経営幹部が受け入れていないと回答。一方、経営幹部レベルも24％が避けられないものとは見なしておらず、さらに10％は分からないと認めている。

37％のCISOと31％の経営幹部レベルはセキュリティ侵害に対応する最終的な責任者はCISOであると考えている。

29％のCISOは経営陣が（セキュリティ侵害の発生後に）責任のある当事者を解雇すると回答。31％の経営幹部レベルもそのように回答。また、20％のCISOは責任の有無に関係なく自分が解雇されると考えている。なお、経営幹部レベルで自分が解雇されると考えているのは17％。

97％の経営幹部レベルは自組織のセキュリティチームは現状の予算内でもより価値のある成果を出せるだろうと回答。

報告書本文ではさらに詳細な調査結果が掲載されています。ここではその中からいくつか興味深い結果を紹介します。

まず、仕事を優先したために前年に経験したことなどを複数回答で選択してもらった結果は以下の通り。

家族の節目やイベントを欠席したことがある 45％ 社交行事を欠席または遅刻したことがある 44％ 病欠することを心配 41％ 検診/通院日を先延ばしにしたことがある 40％ 年次休暇を使い切らなかった 35％ 仕事関連のストレスで休みを取ったことがある 21％

「家族の節目やイベントを欠席したことがある」と回答したCISOのうち、具体的に欠席したものを挙げてもらった結果は以下の通り。

子どものスポーツの試合、音楽イベントなど 61％ 家族の誕生日イベント 51％ 親戚の結婚式 39％ 家族旅行または家族と過ごす休日 39％ 親戚の葬式 37％ 子どもの初登校日 35％

次に、業務のうち最もストレスを誘発する部分として挙げられているのは以下の通り。

ビジネス／ネットワークをセキュアにすることに責任があること 44％ 脅威インテリジェンスに遅れを取らないようにすること 40％ 時間が長いこと 39％

自組織の役員会議でサイバーセキュリティが正式な議題となる頻度を訊ねた結果は以下の図です。CISOと経営幹部レベルで認識に明確な差があるところが気になります。

自組織内に業務上のストレスを抱えた従業員を支援するための適切な体制があるかを訊ねた結果は以下の図です。こちらもCISOと経営幹部レベルで認識にかなりのギャップがある点が際立っています。

最後に、米英の比較を紹介します。

CISOに対する質問で、CISOまたはセキュリティチームは契約時間よりも長時間働くことを期待されているか否かを訊ねた結果は以下の通り。

Yes No 米国 90％ 10％ 英国 82％ 18％ 全体 87％ 13％

CISOに対する質問で、実際に契約時間（週40時間勤務をベースに）を超えて働くと回答した結果は以下の通り。

米国 94％ 週平均10時間の超過勤務 英国 95％ 週平均9時間の超過勤務 全体 95％ 週平均10時間の超過勤務

経営幹部レベルに対する質問で、自組織のセキュリティチームが契約時間よりも長時間働くことを期待しているかを訊ねた結果は以下の通り。

Yes No 米国 83％ 17％ 英国 73％ 27％ 全体 78％ 22％

経営幹部レベルが期待している以上にCISOは超過勤務を期待されていると考えており、さらに実際にはそれ以上にほぼ全てのCISOが超過勤務をしています。この傾向は米英で同じですが、米国の方が期待度は高めとなっています。

年俸や上記の「タダ働き」の金額、待遇改善のために諦められる金額の比較は以下の通り。

年俸 タダ働き分 待遇改善で諦められる金額 米国のCISO ＄128,908 ＄32,227 ＄9,596 英国のCISO ￡88,324 ￡19,873 ￡7,509

金額そのものの比較は為替レートで変わってしまうので、タダ働き分と待遇改善で諦められる金額の年俸に対する割合で比較すると以下のようになります。

タダ働き分／年俸 待遇改善で諦められる金額／年俸 米国のCISO 25.0％ 7.4％ 英国のCISO 22.5％ 8.5％

読んでいて悲しい気持ちにしかならない報告書ですが、このような状況は日本ではむしろもっと遥かに深刻かもしれません。また、今回の調査結果はCISOに限った話ではなく、セキュリティ担当者全般に当てはまる部分も少なくないでしょう。

今回の報告書には、CISOをはじめとするセキュリティ担当者の置かれた厳しい状況を経営層に訴えるための材料として使える部分もあると思います。正味20ページ程度で図が多く読みやすい内容になっていますので、まずは一読の上、うまく使ってください。