1/5 PAGES
2/5 PAGES
典型的なのは、こんなパターンです。セキュリティ担当者がリスクを報告しても、経営会議では「コストがかかりすぎる」と後回しにされる。ところが実際にセキュリティインシデントが起きると、「なぜ防げなかったのか」と責任を問われる。予算も権限も与えられないまま、責任だけが積み上がっていく。
こうした状況に置かれれば、「ここでは自分の力を発揮できない」と感じるのは自然なことでしょう。しかも、能力が高く選択肢を持っている人ほど、この判断は早くなります。
厄介なのは、セキュリティの仕事が「何も起きないこと」が成果とされる点です。営業のように売り上げで評価されるわけでもなく、開発のようにリリースした機能で貢献を示せるわけでもありません。
事故が起きないのは「当たり前」、起きれば「なぜ防げなかったのか」。この評価のされ方に疲弊して組織を離れるケースは少なくないはずです。
なぜ負のループは自然には止まらないのか
問題は、セキュリティの知識や経験が属人的になりやすく、1人が辞めると組織の対応力が大きく下がることです。後任が見つかるまでの空白期間に残ったメンバーへ負荷が集中し、耐えきれずさらに人が辞めていくことで、ループが回るたびに状況が悪化する悪しきスパイラルに陥ります。
採用市場の状況も厳しさを増しています。経済産業省の産業サイバーセキュリティ研究会の資料では、国内のセキュリティ人材は約11万人不足していると指摘されています。辞めた人の穴を埋めること自体が年々難しくなっているのです。
「それなら外部に委託すればいいのでは」と思うかもしれませんが、外部委託で代替できるのは日常的な監視やログ分析といった定型業務が中心です。
次ページが続きます:
【経営が関与しなければループは加速する】
3/5 PAGES
4/5 PAGES
5/5 PAGES
