Day 5 | 必要なのは「強さ」ではない。鍵は可視性(そしてコントロール) The key lever isn't "more toughness." It's visibility (and control)
必要なのは「強さ」ではない。鍵は可視性(そしてコントロール)
サイバーセキュリティの現場では、よくこう言われます。ストレスに耐えるには、もっとレジリエンスを。もっと強くなれ、と。
けれど、データが示しているのは少し違うことです。
必要なのは、強さではありません。必要なのは 可視性(visibility)、そしてそれによって生まれる コントロール感 です。
BitSight の分析は、多くのセキュリティリーダーが直感的に感じていることを示しています。不確実性の中で、燃え尽きる。
資産の把握や監視が十分に行われていない組織では、セキュリティ担当者のバーンアウト率は 63% に達しています。
一方で、
- 資産を継続的に監視し
- 環境全体の脅威をマッピングし
- 技術データをビジネス影響と結びつけて理解している組織では
バーンアウト率は 32% に下がります。 (1)
もちろん BitSight も明記している通り、これは因果関係ではなく相関関係 です。
それでも、現場の感覚から見ると、この結果はとても理解しやすいものです。
環境が見えるようになると、二つのことが起きます。
- ノイズが整理される
- 優先順位が見える
優先順位が見えたとき、セキュリティの仕事は「溺れている感覚」から少し離れます。
可視性ギャップ
BitSight の 2025 年レポートは、この問題をさらに大きな構造として示しています。
調査によると、
- 90% の組織が「リスク管理は5年前より難しくなった」と回答
- 「脅威を完全に可視化できている」と答えた組織はわずか 17%
この背景には、主に二つの変化があります。
- AIによる攻撃の高度化
- 攻撃対象領域(attack surface)の急速な拡大
クラウド、SaaS、サードパーティ連携、シャドーIT、リモート環境。
私たちが守らなければならない環境は、広がり続け、変化し続け、そして部分的にしか見えない状態になっています。
その結果、インシデント対応者は単に忙しいのではありません。
彼らは次の構造の中に置かれています。
高い責任 × 低い可視性
守る責任はある。しかし、すべては見えていない。
なぜ可視性は「人間の体験」を変えるのか
これは単なる運用上の問題ではありません。
人間の神経系の問題でもあります。
人は、忙しさには耐えられます。しかし、境界のない不確実性には耐えにくい。
もしチームが次の問いに答えられなければ、
「今、何が一番重要なのか?」
仕事は決して終わった感じになりません。
アラートは終わらない。
脅威は常にどこかにある。
リスクはあらゆる場所に存在する。
この状態では、神経系は 常に警戒モードのまま になります。そして、終わらない警戒は、やがて バーンアウト になります。
コントロールは「終わり」を取り戻す
可視性そのものが目的ではありません。
可視性が生むのは コントロール です。
資産、脅威、露出を整理できるようになると、セキュリティチームは次のことを判断できるようになります。
- 今日の最大リスクは何か
- どのシステムは抑えられているか
- どのアラートは後で対応できるか
その瞬間、仕事には 境界 が生まれます。
境界が生まれると、脳はようやく「今はここまででいい」と理解します。
そして神経系は、初めて警戒を解くことができます。
バーンアウトを動かす本質
セキュリティのバーンアウトは、しばしば個人の問題として語られます。
レジリエンスを高めよう。
ストレス耐性を上げよう。
マインドフルネスを。
けれど、データが示しているのは別の可能性です。
バーンアウトは、構造の問題として生まれていることが多い。
見えない環境。
優先順位のないアラート。
広がり続ける攻撃面。
そんな環境を守る責任を負わされるとき、人は疲れていきます。
だから解決策は、「もっと強い人」ではありません。
もっと見えるシステム。
そして、判断できる構造。
サイバーセキュリティにおいて、バーンアウトの反対にあるのは、強さではありません。
それは 明確さ(clarity) です。
-----
The key lever isn't "more toughness." It's visibility (and control)
Security teams are often told that the solution to stress is resilience, grit, or thicker skin.
But the data suggests something different.
The key lever is not toughness.
It is visibility and the sense of control that comes with it.
BitSight's analysis highlights a pattern that many security leaders intuitively recognize: burnout thrives in uncertainty.
Organizations that lack asset discovery or meaningful monitoring report a 63% burnout rate among security professionals.
In contrast, organizations that go further--continuously monitoring assets, mapping threats across environments, and contextualizing technical data with business impact report a 32% burnout rate. (1)
BitSight itself carefully notes that this relationship is correlation, not proven causation.
However, from an operational perspective, the mechanism is easy to understand.
When teams gain clarity about their environment, two things happen:
- Noise becomes filtered.
- Priorities become visible.
And when priorities are visible, the psychological experience of the job changes. Security work stops feeling like drowning.
The Visibility Gap
BitSight's 2025 reporting places this dynamic within a broader structural problem.
Across organizations:
- 90% of security leaders say risk management has become harder than five years ago
- Only 17% report having full visibility into threats
Two forces are driving this shift:
- AI-accelerated attacks
- The rapid expansion of the digital attack surface
Cloud environments, SaaS ecosystems, third-party integrations, shadow IT, and remote work infrastructures have created environments that are vast, dynamic, and partially invisible.
In this environment, responders are not merely busy.
They are trapped in a structural paradox:
high accountability + low observability.
Security teams remain responsible for defending systems they cannot fully see.
Why Visibility Changes the Human Experience of Security Work
This is not just an operational challenge.
It is a neuropsychological one.
Humans can tolerate intense workloads.
But humans struggle with uncertainty without boundaries.
When teams cannot confidently answer:
"What matters most right now?"
then the work never feels complete.
Alerts remain open loops.
Threats remain hypothetical.
Risk remains everywhere.
The nervous system interprets this state as permanent vigilance.
And permanent vigilance eventually becomes burnout.
Control Restores Psychological Closure
Visibility alone is not the goal.
What visibility enables is control and prioritization.
When organizations map their assets, threats, and exposures in a structured way, responders gain something critically important:
the ability to decide what matters now and what can wait.
That shift creates psychological closure.
The team can say:
- This is the highest risk today.
- These systems are contained.
- These alerts can wait.
For the first time, the brain receives a signal that the work has boundaries.
And boundaries allow the nervous system to stand down.
The Real Burnout Lever
Security burnout is often framed as an individual problem:
stress tolerance, resilience training, mindfulness, or work-life balance.
But the emerging evidence suggests the root cause is frequently structural.
Burnout grows when people are asked to defend environments that are opaque, unprioritized, and constantly expanding.
The solution, therefore, is not simply "stronger people."
It is clearer systems.
More visibility.
Better prioritization.
And environments where responders can see enough of the landscape to make confident decisions.
Because in cybersecurity, the opposite of burnout is not toughness.
It is clarity.
------
References 出典・参照文献
- Campbell, C. (2025, November 4). Cybersecurity burnout's secret trigger: Lack of visibility. BitSight.
https://www.bitsight.com/blog/state-of-cyber-security-burnout-today - Sophos. (2025). The human cost of vigilance: Addressing cybersecurity burnout. Sophos Ltd.
https://assets.sophos.com/X24WTUEQ/at/n8gx8gk3p9tzrtbrv8gx7srh/sophos-the-human-cost-of-vigilance-addressing-cybersecurity-burnout-2025.pdf - Proofpoint. (2025). 2025 Voice of the CISO report. Proofpoint, Inc.
https://www.proofpoint.com/us/newsroom/press-releases/proofpoint-2025-voice-ciso-report