Day 14 |サイバー・レジリエンスには「守りびと」が含まれる Cyber Resilience Includes the Defenders
サイバー・レジリエンスには「守りびと」が含まれる
サイバー・レジリエンスは過去に「システム」として定義されてきました。
どれだけ早く回復できるか?どれだけ早くデータを復元できるか?
どれだけうまく運用を続けられるか?
しかし、レジリエンスはシステムだけに存在するわけではありません。
それを守る「人々」の中にも存在します。
見えない依存関係
既存のモデルのほとんどは、技術的な堅牢性によってレジリエンスを評価します。稼働時間、応答時間、復旧時間。しかし、これらの指標の下には別の依存関係があります。
人間のパフォーマンス
守護者(守りびと)が疲れ果て、ストレスを感じ、やる気を失うと、システムは単に遅くなるだけでなく、静かに劣化します。ストレスと燃え尽き症候群、いわゆる「セキュリティ疲労」は二次的な問題ではありません。それらは主要なリスク要因です。それらは注意をそらし、エラー率を上げ、防御の一貫性を妨げます (1)。
小さな人間のエラーは小さなエラーではありません。サイバーセキュリティの世界では、小さなエラーは重要でないわけではありません。それは必然的に増幅されます。
燃え尽き症候群は人事の問題ではない
これはもはや孤立した懸念ではありません。昨年、76%のサイバーセキュリティ専門家が疲労と燃え尽き症候群を経験しました(2)。リーダーの約半数が仕事を辞めることを考えています (3)。研究によれば、ストレスは労働時間の損失に繋がることが示されています (4)。
これは人事だけの問題ではありません。
それはレジリエンスの問題です。
守りびと自身が機能不全に陥ると、防御自体が不安定になります。燃え尽き症候群はサイバーセキュリティの真空の中で生じるものではありません。
それ自体が攻撃面です。
ストレスを生むのは人ではなく構造
これは人の問題だと簡単に片付けることができます。もっと強くなれ、もっと訓練しろ、と古い言い伝えは言います。しかし、研究はそうではないと言います。サイバーセキュリティの疲労は構造的に引き起こされます。
- アラートやその他の脅威への定期的な曝露
- 対応できない量の仕事と時間的プレッシャー
- 分断されたツールと認知負荷
- コントロールのない責任
使いやすいセキュリティと行動科学の分野での研究は明確です (5-7)、一貫して設計の悪いシステムが人間の認知限界を超え、パフォーマンスを低下させる (6) と強調しています。複雑さが増すと、ストレスと不安が増し、関与が低下します (6)(8)。
負担はシステムから来ており、その負担は人間によって吸収されています。
人間が崩壊するとシステムも崩壊する
しかし、サイバーセキュリティは長い間、「個々の行動がインシデントを引き起こす」と認識してきました。しかし、問題は「行動」ではなく「状態」です。
過負荷 → 燃え尽き症候群 → 無関心 → エラー → インシデント
この連鎖は密接に結びついたシステムで即座に実現可能になります。だからこそ、レジリエンスは技術的な堅牢性だけで定義されるべきではありません。
個人が厳しい状況下でどのように機能し続けることができるか?
それがレジリエンスです。
持続可能な防御への移行
もしそうであるなら、サイバーセキュリティは変革が必要です。「より強い防御」から「持続可能な防御」へ。この方向性はすでに明らかになり始めています。
- 認知負荷を減らす
情報から意味を見出し、無数の情報を作り出さない。ノイズからシグナルへ。
- 人間の限界を考慮した設計
24時間の人間の監視に依存しない。自動化は負荷を「分散」するためではなく、排除するために適用されるべきです。
- 戦略にウェルビーイングを含める
ウェルビーイングは外部の問題ではありません。これはセキュリティの一部です。最近の研究も、サイバーセキュリティ戦略が従業員の健康を優先すべきであることを示しています (9)。
AIの役割
AIはしばしば「解決策」として議論されます。確かにそうなることもあります。しかし、条件があります。
仕事の構造を変える。
しかし、アラート、ツール、期待を拡大すれば、状況は悪化するだけです。
- 認知負荷を減らす
- 優先順位を明確にする
- 意思決定の幅を回復する
そうすれば、解決策の一部となります。AIはレジリエンスの源ではありません。
設計がレジリエンスを生み出します。
サイバー・レジリエンスの再定義
それは単なる回復能力ではありません。サイバー・レジリエンスはそれ以上のものです。それは、
- 圧力に直面しても考え続ける能力
- 崩れずに行動すること
- システムだけでなく、自分自身も回復する能力
守護者が崩れればシステムは崩れます。守護者が持ちこたえれば、レジリエンスは現実のものとなります。
さいごに
今のところ、私たちのシステムは強化されています。次の段階は静かで困難になります。
それを操作する人間をどのように守るか。
レジリエンスはそこから始まります。
――――
Cyber Resilience Includes the Defenders
Cyber resilience has also commonly been defined in systems terms, how fast the infrastructure recovers, the speed at which data is restored, the adequacy in carrying out operations after an incident. But resilience doesn't reside merely in systems. It resides in the people who protect them.
The Hidden Dependency
Contemporary frameworks for cybersecurity nevertheless still often measure resilience as technical recovery ; uptime, mean time to respond, mean time to recover. But beneath all of these metrics there is a quieter dependency. Human performance. When defenders are overwhelmed, stressed, or disengaged, the system does not just slow ; it degrades. Studies have repeatedly found that stress, burnout, and "security fatigue" are not side-issues but rather the primary drivers of risk. They undermine attention, increase error rates, and diminish defensive consistency. (1) And in cybersecurity, small human errors do not stay small. They scale.
Burnout Is Not an HR Problem
The signals are no longer subtle across the sector. The last 12 months saw 76% of cybersecurity professionals reporting burnout/fatigue. (2) Almost half of leaders are planning to quit the profession. (3) Some professionals lose measurable working time each week because they are getting stressed. (4) And this is not merely a workforce problem. It is a resilience issue. Because when defenders are not able to pull their weight, defense itself is unstable. Burnout is not in fact an unfortunate aftereffect of cybersecurity. It is an attack surface.
The System Creates the Stress
It's tempting to couch this as a "people problem" -- a lack of resilience, a call for training, a need for more robust people. But the data suggests otherwise. From a cognitive perspective, cybersecurity fatigue is caused by structural factors:
-
constant exposure to alarms and dangers,
-
heavy workload and tight time periods,
-
broken tools and cognitive overload,
-
accountability without control.
Foundation-level research in usable security research and behavioral science has demonstrated that human systems and humans perform worse, especially under conditions of badly designed systems that exceed their mental capacity to sustain a degree of cognitive load. (5)(7) Increasing complexity and security demands are associated with increased stress, anxiety, and lower engagement, research now shows. (6)(8) In other words:
It's the system that creates the strain. And then expects humans to absorb it.
When Defenders Degrade, Systems Follow
Cybersecurity has always known that human behavior is at the center of breaches. But the deeper problem is more than just behavior. It is condition. Overload leads to burnout. Burnout leads to disengagement. Disengagement leads to error. There, error becomes incident in a tightly coupled system. That is why resilience cannot be exclusively conceptualized in terms of technical recovery. A system is only as strong as the people who put it into use under duress.
Toward Sustainable Defense
If this is so, then the cybersecurity future will need to change. From stronger defenses. to sustainable defenses. That means designing systems that humans can truly use, over time. Not just at optimal performance -- but when tired, high-stress situations emerge and uncertainty abounds. Three directions are emerging:
-
Reduce Cognitive Load. Security environments need clarity over volume. Less noise. Better signal.
-
Design for Human Limits. Human attention alone cannot countenance 24/7 vigilance must not be the only constant. Automation will have to take out -- not redistribute -- burden. Automation should lift the burden, not distribute it.
-
Integrate Wellbeing into Security Strategy. Wellbeing isn't external to security. It is part of the control network. New research argues directly that worker wellbeing should be viewed as an integral part of responsible cybersecurity strategy, as opposed to an afterthought. (9)
The Role of AI
AI is often described as the solution. And it can be. But only under one condition:
It has to alter the form of work. When AI just speeds up alerts, adds complexity to tools, or magnifies expectations, that exacerbates the issue. When it does reduce cognitive load, enhance prioritization, and restore decision bandwidth, it's part of the solution. AI does not make resilience in itself. Design does.
A different definition of Cyber Resilience
Cyber resilience is not only the power of recovery. It is the capacity of human beings to keep going. To think clearly under pressure. To act without collapse. To recover -- not just the system, but themselves. Because when defenders suffer, systems tend to follow. And when defenders are resilient, then, resilience becomes possible.
Wrap up
For decades we have helped strengthen our systems. The next phase is quieter but harder. And we need to figure out how to sustain the humans within. That is where resilience really starts.
References
(1) Nurse, J. R. C., Williams, M., & Kemp, S. (2022). Stress, burnout and security fatigue in cybersecurity: A human factors problem.
(2) Sophos. (2023). The state of cybersecurity burnout. Sophos Ltd.
(3) Alshaikh, M., et al. (2025). Cybersecurity workforce burnout and retention challenges. arXiv. https://arxiv.org/
(4) Australian Computer Society. (2025). Cyber workers losing hours to burnout: Survey findings. Australian Computer Society.
(5) Sasse, M. A., Brostoff, S., & Weirich, D. (2001). Transforming the "weakest link"--A human/computer interaction approach to usable and effective security. BT Technology Journal, 19(3), 122-131.
(6) European Union Agency for Cybersecurity (ENISA). (2020). Cybersecurity culture guidelines: Behavioural aspects of cybersecurity. ENISA.
(7) Pfleeger, S. L., & Caputo, D. D. (2012). Leveraging behavioral science to mitigate cyber security risk. Computers & Security, 31(4), 597-611.
(8) Bada, M., Sasse, M. A., & Nurse, J. R. C. (2019). Cyber security awareness campaigns: Why do they fail to change behaviour? arXiv preprint arXiv:1901.02672. https://arxiv.org/abs/1901.02672
(9) University of Lancaster. (2024). Employee wellbeing as a core component of cybersecurity strategy. Lancaster University.