2025年は“転職元年”？ セキュリティ責任者たちに一斉反乱の兆し：Cybersecurity Dive

セキュリティ責任者はこれまで、過度なプレッシャーや業務、不当な評価などに苦しめられているが離職率は高くなってはいなかった。しかし2025年はそうした傾向が続かず、彼らの転職元年になる可能性がある。実態を調査で明らかにしよう。

[Jen A. Miller，Cybersecurity Dive]

　CISO（最高情報セキュリティ責任者）の役割は拡大し続けている。一方、セキュリティ領域の責任者であるこの役職に就く人物が目標を達成するのを妨げたり、転職を考える原因となったりする障害も存在している。

「どちらも地獄」　セキュリティ責任者には2つのグループがある

　サイバーセキュリティ事業を営むIANSのニック・カコロウスキー氏（シニアリサーチディレクター）は「CISOの仕事は組織によって大きく異なる」と語る。CISOの苦労は、CISOが戦略的な役割を担うことを経営陣に理解させるために苦戦しているか、監督すべき領域が多過ぎて燃え尽きているかのどちらかに関係している。

　カコロウスキー氏は、CISOは2つのグループに分類されると考えている。それは正当に評価されていないグループと過重な負担を強いられているグループだ。

　「1つ目のグループは、成熟したセキュリティプログラムを推進しようとしているCISOだ。彼らは『ビジネスがセキュリティの役割や影響力をまだ理解していない状況』に直面している。そのような状況にあるCISOは、まさに困難な戦いを強いられている」（カコロウスキー氏）

　カコロウスキー氏は「これらのCISOは、部門横断的なプロジェクトを見つけ、ビジネスリーダーとの関係を築ける」と語る。それには、AIやガバナンス、リスク、コンプライアンスに関する運営委員会などを通じて、純粋なビジネスの観点からCISOが価値あるものを提供できる旨をビジネスリーダーに示すことが含まれる。

　過小評価されるCISOは小規模な組織に多い。調査企業であるIANS ResearchとArtico Searchが発表した「2025 State of the CISOreport」によると（注1）、CISOのほぼ半数は月ごと、または四半期ごとに取締役会と関わりを持っている。年間の売上高が100億ドルを超える企業では、CISOのほぼ3分の2が少なくとも四半期に一度は取締役会とやりとりしている。

　しかし、年間の売上高が4億ドル未満の組織の場合、月ごと、または四半期ごとに取締役会と関わりを持っていると報告したCISOは全体の37％にすぎず、42％は取締役会と会合を持つとしてもその場限りのものだった。

　サイバーセキュリティリスクに関する評価サービスを提供するSecurityScorecardのスティーブ・コッブ氏（CISO）は「取締役会との意思疎通に苦戦しているCISOは、自らの課題がどのようにビジネスリスクにつながるのかをストーリーとして伝えるべきだ」と述べている。データもストーリーを伝えるために役立つが、経営層が理解しやすい形式で提示する必要がある。

　棒グラフやチャートが必ずしもリスクを伝える最適な方法とは限らない。コップ氏は「それらはしばしば回答よりも多くの疑問を生み、混乱やフラストレーションにつながる」と述べた。CISOは、収益やブランドの評判などに関する具体的な示唆を提供することで、自らの考えをより効果的に伝えられる。

これは燃え尽きても仕方がない　過剰に仕事を振られるCISOの苦難

　2つ目のグループは、経営層や取締役会との関わりが深く、セキュリティの重要性を組織に伝えられているCISOだ。しかしその結果としてより多くの業務を求められるようになっている。

　「業務範囲の拡大が本当に手に負えなくなってきている」（カコロウスキー氏）

　IANSの報告書によると、10人中9人のCISOは、セキュリティの運用やアーキテクチャ、エンジニアリング、ガバナンス、デジタルリスク、コンプライアンスなどの情報セキュリティの領域を担当していることが分かった。

　これら領域に関する責任は従来のCISOの役割に含まれるため、特に驚くべきことではない。

　しかしIANSの調査では、CISOの50〜99％がアイデンティティーとアクセス管理、アプリケーションセキュリティ、クラウドセキュリティといった領域も担当していることが分かった。さらに、調査対象となったCISOの大半は、事業継続やサードパーティーリスク管理、プロダクトセキュリティといったビジネスリスクに関する業務も引き受けている。

　しかしそれだけではない。IANSとArticoは同報告書において、最大で半数のCISOがエンタープライズリスク管理を担当し、さらに、物理的セキュリティやプライバシー、詐欺対策といったセキュリティ機能や、ITスタックの一部を管理する役割も担っていることを明らかにした。

　全体の4分の1未満と少数ではあるが、AIやM＆Aに関連するセキュリティ、データガバナンス、包括的なIT管理、デジタルトランスフォーメーション、イノベーションといった新たな領域を担当しているCISOも存在している。

　これらの責任は、CISOが組織内での影響力を維持するのに役立つ一方で、業務負担が過剰になるリスクを含んでいる。コッブ氏は「CISOはAIや大規模言語モデルをビジネスにどのように活用するかについて苦戦しており、今後もその課題に直面し続けるだろう」と述べた。

　組織は新しい技術による効率化の恩恵を期待しているが、その仕組みを考えるのはCISOの責任だ。カコロウスキー氏は「CISOは、AIに関連する仕組みを理解し、ユーザーがどのように活用しているのかを把握し、さらにその管理と活用をどのように保護するかを考えなければならない。それが、すでに多忙な業務にさらなる負担を加えている」と指摘した。

　カコロウスキー氏は「一部のCISOは、ほとんど組織に利用されているような状態だ。各部門の責任者がより多くの業務を引き受ければ、CISOは幅広い業務に取り組み、より多面的にビジネスに影響を与えられるようになる」と語った。

予算やリソース不足　CISOが頭を悩ませる問題はたくさんある

　カコロウスキー氏は「セキュリティ予算は依然として増加しているが、伸び率は鈍化している」と述べている。IANSとArticoが発表した「2024 benchmark report on budgets」によると（注2）、セキュリティ領域における平均予算の成長率は2023年の6％から2024年には8％へと増加した。しかし、2022年には17％の成長を記録しており、それと比較すると大幅な減速がみられる。

　2024年にはCISOの4分の1が「予算は横ばいだ」と回答し、12％は「予算は減少した」と回答した。

　セキュリティ領域の予算は以前のように飛躍的に伸びているわけではないが、これは多くの場合、組織の成熟の表れだ。カコロウスキー氏は「現在、企業はセキュリティの領域に初めて投資しているわけではなく、ここ数年にわたる企業全体の慎重な支出傾向を反映しているだけだ」と述べた。

　カコロウスキー氏によると、ベンダーも価格を値上げしており、予算増額がさらに圧迫される可能性があるという。これは、安価ではないAIソリューションの統合競争によってさらに複雑になっている。

　「人材不足も続いている。熟練した経験豊富なスタッフを獲得したり、熟練した経験豊富なスタッフを維持したりするには、予算が足りない。CISOは予算とリソースの範囲内で適切な人材を見つけ、そうした人材を採用したり維持したりする上で、本当に壁にぶつかっている」（カコロウスキー氏）

　CISOの給与も仕事量の増加に比例して増加しているわけではない。IANSの調査によると、CISOのわずか3％が、昇給の理由を責任範囲の拡大としている。また、CISOの7％は、主に他の職に就いたことで収入が増えたが、その転職には責任の大きい役職への就任が伴うことも判明した。

　予算の制約や過重な仕事量、仕事への不満は燃え尽き症候群につながる可能性があるが、幸いにも離職率は低いままだ。

　カコロウスキー氏は「CISOは表面的には異動を正当化するほど優れた仕事を見つけられていない。だが経済成長への期待によって状況は変わる可能性がある。うまくいけば景気は上向きで、2025年にはCISOの異動が増えるかもしれない」と予想した。

（注1）IANS Research and Artico Search Unveil The State of the CISO, 2025 Report（IANS）
（注2）2024 Security Budget Benchmark Report: Key Findings（IANS）

原文へのリンク