2021年に発生した情報漏えいの件数は2020年を大きく上回った。2022年に入って、企業の安全を守っているセキュリティチームが受けるプレッシャーはますます大きくなっている。しかし、強さとレジリエンスがかつてなく重要になっている今このときに、バーンアウトや、スタッフの士気低下や、従業員の離職率の上昇が、増大するサイバーセキュリティの脅威に対処しなければならない企業の足元をすくいかねないのが現状だ。
提供:Westend61/GETTY
企業はすでに、2022年に入ってから、サイバーセキュリティに関してちょっとしたジレンマに直面している。サイバー攻撃の件数が世界的に増加している一方で、雇用市場の競争が激化していることや、離職者の数が記録的な水準に達していることが、IT業界にも影響を与えているためだ。
この人材争奪戦は、特にサイバーセキュリティの分野に大きな打撃を与える可能性がある。脅威インテリジェンス企業のThreatConnectが、米国と英国で500人以上のITやセキュリティに関する意思決定者を対象として実施した調査によれば、民間企業の50%では、すでに初級レベルのITセキュリティ技術者が不足しているという。さらに、ITマネージャーの32%と、ITディレクターの25%は、6カ月以内に離職することを検討していた。これらの人材がいなくなれば、企業は採用、マネジメント、ITセキュリティのすべての問題で不協和音に直面することになる。
多くの従業員は、高い給与や柔軟な労働条件に引かれて転職しようとしているが、仕事量が多すぎることや、業績に対するプレッシャーも転職を考える要因になっている。ThreatConnectの調査では、ストレスの高さが従業員が離職する原因のトップ3に入っており、回答者の27%がこれを原因として挙げていた。
バーンアウトはさまざまな形でサイバーセキュリティを脅かす。まずは従業員の側から考えてみよう。エンタープライズセキュリティ企業であるTessianの最高情報セキュリティ責任者(CISO)Josh Yavor氏は、「人為的ミスは、組織で情報漏えいが発生する最大の原因の1つになっており、従業員のストレスが高く、バーンアウトしていれば、情報漏えいが発生したり、フィッシング攻撃に引っかかったりするリスクは大きく高まる」と述べている。
Tessianとスタンフォード大学が2020年に実施した調査では、情報漏えいインシデントの88%が、人為的ミスによって引き起こされていることが明らかになった。回答者の半数近く(47%)がフィッシング詐欺に引っかかる理由として「不注意」を挙げており、37%は「疲労」を挙げている。
Yavor氏は、米ZDNetの取材で、「その理由は、人間はストレスを受けていたりバーンアウトに陥ったりしていると、認知負荷が大きくなりすぎ、フィッシング攻撃の兆候を見抜くのが非常に難しくなるからだ」と述べている。
脅威アクターもこれを抜け目なく利用している。「スピアフィッシングは、手口がより高度になっているだけでなく、人々が最も疲れやすく、注意力が散漫になりがちな午後の時間帯の受信者を狙っている。私たちのデータは、ほとんどのフィッシング攻撃が午後2~6時の間に送信されていることを示している」という。