Day 4 | セキュリティチーム ― 「燃え尽き症候群」ではなく、構造的外傷
セキュリティチーム ― 「燃え尽き症候群」ではなく、構造的外傷
昨日は、サイバーインシデントが個人に与える人的影響について見てきました。今日は、もう一つの、しかし見落とされがちな人たちに目を向けます。
守る側の人たちへの影響をとりあげたいと思います。
セキュリティチームは、組織と拡大し続ける脅威の世界とのあいだに立つことを期待されています。彼らは、監視し、分析し、調査し、対応します。しかも多くの場合、強い時間的プレッシャーの中で、完全ではない情報をもとに判断を迫られます。
リーダーが「セキュリティチームは燃え尽きようとしている」と言うとき、それは個人のレジリエンスの問題のように聞こえることがあります。
労働時間が長すぎる。
ストレスが多すぎる。
睡眠やセルフケアが足りない....
しかし、最近の研究や業界の調査では、もう少し深い問題を示しています。
今日のセキュリティ業務は、
- 達成がほぼ不可能な期待
- 低い統制力
- そして常に高いリスクを伴う不確実性
それらの中で設計されていることが増えています。
その条件は、単なる疲労というよりも、むしろ慢性的なストレス外傷に近い状態と一致します。 (1)
仕事そのものが慢性的ストレスを生むとき
一般的に「燃え尽き症候群」とは、長期間の過重労働による疲労を指します。しかし、今日のサイバーセキュリティの仕事には、それとは質的に異なる三つの特徴があります。
- 常に高い緊張を伴う監視
セキュリティ専門家は、常に警戒状態で働いています。脅威は止まりません。そしてミスは、すぐに、しかも公の形で影響を及ぼす可能性があります。
多くの職業と違い、セキュリティの成功は目に見えません。
何も起きなかったという状態だからです。
しかし、失敗は非常に目立ちます。
- 非対称な責任
攻撃者は一度成功すればよい。防御側は、毎回成功し続けなければならない。
この非対称性は、努力が必ずしも安全につながるとは限らないという心理環境を生み出します。
- 結果に対する統制の低さ
セキュリティチームは、しばしば権限と釣り合わない責任を負っています。
リスクを発見することはできても、
- アーキテクチャ変更
- 人員増強
- 投資判断
を強制できる権限を持たない場合があります。この責任と統制のギャップは、慢性的なストレス外傷を生む典型的な要因です。
この三つが重なると、問題はもはや単なる「長時間労働」ではなくなります。
それは、制度そのものに組み込まれた構造的な負荷になります。
数字が示すもの:広がり、そして悪化
複数のグローバル調査データを見ると、サイバーセキュリティにおける燃え尽き症候群は、もはや一部の問題ではありません。
それは構造的な問題になりつつあります。
1,000人以上のリスクおよびセキュリティ専門家を対象とした調査では (1)
- 47%が何らかの燃え尽き症候群を経験
- 10人に1人以上が深刻な状態(離職寸前)
と報告されています。
さらに、2025年第一四半期に実施された、17か国・5,000人のITおよびサイバーセキュリティ専門家を対象とした調査では (2)
- 76%が過去1年でサイバー疲労または燃え尽き症候群を経験
- 69%が2023年から2024年にかけて悪化したと回答
しています。
重要なのは、この疲労が単なる個人の健康問題ではないという点です。この研究は、燃え尽き症候群が次のような負の影響と直接結びつくことを示しています。
- 不安の増加
- 生産性の低下
- エンゲージメントの低下
これらはすべて、セキュリティパフォーマンスに直接影響します。
この傾向は、リーダー層ではさらに顕著です。
2025年の Voice of the CISO Report (3) によると、
- 63%のCISOが、過去1年で燃え尽き症候群を経験または目撃
- 66%が過剰な期待がセキュリティチームに課されていると回答
- 取締役会との認識一致は84%から64%へ低下
しています。これは、リスク責任と組織的支援のあいだのギャップが拡大していることを示しています。
燃え尽き症候群から「構造的外傷」へ
疲労が慢性化し、体制・制度が人に不可能な期待を繰り返し課すとき、それは職業心理学で言うところの慢性的ストレス外傷に近づきます。
問題は、セキュリティ専門家が単に疲れていることではありません。
多くのセキュリティ環境は、
- 常時警戒
- 非対称な責任
- 権限なき責任
- 資源不足
- 失敗時の公的責任追及
といった条件の上に構築されています。
言い換えれば、負の影響を生み出しているのは構造そのものです。
だからこそ、
- レジリエンス研修
- マインドフルネス
- ウェルネス施策
は、価値はあるものの、根本解決にはなりません。
問題は構造です。そして、構造的な問題には構造的な解決が必要です。
――――
Security Teams ー Not "Burnout," but Structural Trauma
Yesterday we looked at the human impact of cyber incidents on individuals.
Today we turn to another group that is often overlooked.
The next people to get hurt aren't the customers first. It's the defenders.
Security teams are expected to stand between organizations and an ever-growing threat landscape. They monitor, analyze, investigate, and respond often under intense time pressure and with incomplete information.
When leaders say "the security team is burned out," it can sound like a personal resilience problem.
Too many hours
Too much stress
Not enough sleep or self-care.
But current research and industry surveys point to something more systemic.
Security work is increasingly designed around impossible expectations, low control, and constant high-stakes uncertainty. Conditions that map more closely to chronic stress injury than ordinary fatigue. (1)
When the Work Itself Creates Chronic Stress
Burnout traditionally refers to exhaustion caused by prolonged workload. But cybersecurity work today often contains three elements that make it qualitatively different:
- Constant high-stakes vigilance
Security professionals operate in a state of continuous alert. Threats do not stop, and mistakes can have immediate and public consequences. Unlike many professions, the success of security is invisible nothing happened.
But failure is highly visible.
- Asymmetric responsibility
Attackers only need to succeed once. Defenders must succeed every time.
This asymmetry creates a psychological environment where effort does not necessarily translate into security.
- Low control over outcomes
Security teams often carry responsibility without equivalent authority.
They may identify risks but lack the ability to enforce architectural change, staffing increases, or investment decisions. This gap between responsibility and control is a classic driver of chronic stress injury.
When these three forces combine, the problem is no longer simply "long hours."
It becomes structural strain embedded in the system itself.
The numbers: this is widespread and getting worse
Data across multiple global surveys shows that cybersecurity burnout is no longer a marginal issue.
It is systemic.
In a survey of more than 1,000 risk and security professionals (1),
- 47%reported experiencing some level of burnout
- More than 1 in 10described it as acute (e.g., on the verge of leaving the profession)
A separate vendor-agnostic survey (2) of 5,000 IT and cybersecurity professionals across 17 countries (Q1 2025) found
- 76%experienced cyber fatigue/burnout in the last year
- 69%said it increased from 2023 to 2024.
Importantly, this fatigue is not only a personal wellbeing issue. The study links burnout directly to operational outcomes:
- increased anxiety
- reduced productivity
- reduced engagement
All of which directly affect security performance.
The pattern appears even more striking at the leadership level.
In the 2025 Voice of the CISO report (3) , researchers found:
- 63% of CISOs reported experiencing or witnessing burnout in the past year
- 66% reported excessive expectations placed on security teams
- Board alignment dropped from 84% to 64% year-over-year
This signals an expanding gap between risk responsibility and organizational support
From Burnout to Structural Trauma
When fatigue becomes chronic, and when the system repeatedly exposes people to impossible expectations, the result begins to resemble what occupational psychologists describe as chronic stress injury.
The problem is not simply that security professionals are tired.
It is that many security environments are structured around:
- constant vigilance
- asymmetric accountability
- responsibility without authority
- resource scarcity
- public blame when things go wrong
In other words, the system itself produces the injury.
This is why resilience programs, mindfulness sessions, or wellness initiatives while valuable cannot solve the root issue on their own.
The problem is structural.
And structural problems require structural solutions.
References 出典・参照文献
- Campbell, C. (2025, November 4). Cybersecurity burnout's secret trigger: Lack of visibility. BitSight.
https://www.bitsight.com/blog/state-of-cyber-security-burnout-today - (2025). The human cost of vigilance: Addressing cybersecurity burnout. Sophos Ltd.
https://assets.sophos.com/X24WTUEQ/at/n8gx8gk3p9tzrtbrv8gx7srh/sophos-the-human-cost-of-vigilance-addressing-cybersecurity-burnout-2025.pdf - (2025). 2025 Voice of the CISO report. Proofpoint, Inc.
https://www.proofpoint.com/us/newsroom/press-releases/proofpoint-2025-voice-ciso-report