セキュリティ人材が次々辞める｢負のループ｣の正体とは？　給与だけじゃない…企業が見直すべき｢3つの構造問題｣

2つ目の「評価基準の整備」も、工夫次第で実現できます。売り上げのような定量指標がなくても、「インシデント対応の迅速さ」「社内への啓発活動の実施状況」「セキュリティ研修の受講率の向上」など、行動ベースの指標を設けることは可能です。

「何も起きなかった」という結果ではなく、「そのために何をしたか」を見る。この視点の切り替えが、担当者のモチベーションを支えます。

3つ目の「報告ラインの確保」は、例えば四半期に1回、セキュリティ担当者が取締役会やリスク委員会に直接報告する機会を設けるというものです。IT部門内で情報が止まり、経営層にリスクが伝わらないという構造こそが、担当者の無力感と離職の温床だからです。

対話が「仕事を見てくれている」安心感に

まずは、セキュリティ担当者が何に困っているのかを経営層やマネージャー自身が直接聞くことから始めましょう。

「もし予算と権限が十分にあったら、最初に何をしたいですか」「この組織のセキュリティで最も心配なことは何ですか」など、制約を外した仮定の問いかけは、担当者が本音を話しやすくなります。

こうした対話が、担当者にとっては「経営は自分たちの仕事を見てくれている」という実感につながります。

「セキュリティ人材が足りない」という声はよく聞きますが、足りないのは人材そのものではなく、人材が定着できる組織の仕組みかもしれません。

採用を強化する前に、今いる人が力を発揮できる環境になっているか。その問いに向き合うことが、負のループを断ち切る第一歩になります。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティの最新動向、事業継続を可能にするために必要な情報をお届けしています。