バーンアウトは「ヨガ教室」では解決しない セキュリティチームを蘇生させる3つの構造改革：RSAC 2026 Conferenceレポート

セキュリティ業界で深刻化する「燃え尽き症候群」。この重大な課題は精神論では解決できない。工学的・組織的アプローチから、90日間でバーンアウトを25％削減するための3つの具体的戦略を解説する。

[田渕聖人，ITmedia]

　2026年3月23〜26日（現地時間）、米国サンフランシスコで大規模セキュリティカンファレンス「RSAC 2026 Conference」が開催中だ。

　本稿では、全世界のセキュリティプロが集まる同イベントの中から編集部注目のセッション「CISOがヨガ教室なしで90日間でチームの燃え尽き症候群を25％以上削減できる3つの方法」をレポートする。

90日間で燃え尽き症候群を25％以上削減　精神論に頼らない3つの戦略

　CISO（最高情報セキュリティ責任者）を含めたセキュリティ担当者にとって燃え尽き症候群（バーンアウト）は大きな課題だ。経営層のメンタルタフネスと組織開発のスペシャリストとして知られる、Powerful Under PressureのCEOであるスーザン・バーンスタイン氏は冒頭、「皆さんのチームが疲弊しているとき、安易にヨガ教室や瞑想アプリを提供して満足していないか。それは火の海で戦う消防士に、深呼吸を促すようなものだ」と指摘した。

　同氏が提唱するのは、個人のレジリエンスに依存するのではなく、CISOが組織の「アーキテクト」として業務構造そのものをデバッグするというアプローチだ。90日間でチームのバーンアウトスコアを25％以上削減するための3つの戦略とは。

　バーンスタイン氏が1つ目の戦略として挙げたのは、セキュリティ運用の現場を埋め尽くす「アラートノイズ」の解消だ。同氏はこれを単なる技術的課題ではなく、人間の「認知資源」を奪う行為と表現する。

　セキュリティエンジニアは極めて高度な集中力を必要とする知的専門職だ。しかし、一日に数百回も鳴り響く「対応不要なアラート」は、その集中力を細切れに寸断する。心理学的な見地から、一度中断された思考が元の「フロー状態」に戻るには、膨大なエネルギーと時間を要するという。このコンテキストスイッチの繰り返しこそが、エンジニアを慢性的な疲労へと追い込む元凶だと同氏は指摘する。

　CISOが成すべきはアラートの「真陽性率」の向上だけではない。「その通知は、人間が介入して判断を下す価値があるか」という基準で、既存の監視項目を厳格に仕分けすることだ。バーンスタイン氏は、判断を伴わない通知を「ノイズ」ではなく「システム上の負債」と呼び、これを90日以内に50％削減することを推奨している。機械に任せられるものは徹底的に自動化し、人間の脳を「単純作業の監視」から解放することが、バーンアウト削減に向けた科学的な第一歩となる。

CISOは無駄を省き、チームの防波堤になる必要がある

　2つ目の戦略は、組織の隙間に潜む「シャドーワーク（見えない業務）」の撲滅だ。バーンスタイン氏の調査によると、セキュリティチームの時間の多くは、公式なチケットシステムに記載されない「突発的な依頼」や「場当たり的な会議」「経営層への説明のための過剰な資料作成」に費やされているという。

　これらの業務は、エンジニアにとって「本来のミッション」とは無関係に感じられやすく、達成感を得られにくい。一方で責任感の強いプロフェッショナルほど、こうした見えない業務を抱え込み、結果として深夜残業を強いられる。バーンスタイン氏は、CISOに対して「チームが何に時間を使っているかを可視化し、価値の低い業務には明確に『NO』を言う決断を下せ」と強く迫った。

　同氏は具体例として、週に一度、チーム全員で「今週、脅威への対応や防御力の向上といったコアミッションに寄与しなかった業務は何か」を洗い出すセッションを持つことを提案する。CISOの役割は、他部署からの不当な割り込み案件に対し、組織的な防波堤となることだ。リーダーが「不要な仕事からチームを守る」という姿勢を明確に示すことで、現場の心理的安全性が劇的に向上し、それがバーンアウトの抑制に直結する。

「人間中心」のオンコール体制を構築し、睡眠の質をKPI化する

　3つ目の戦略は「24時間365日のオンコール（待機）」体制の再構築だ。バーンスタイン氏は、睡眠不足が脳機能に与える悪影響を科学的なデータで示し、疲弊したエンジニアによる深夜対応が、いかに重大なリスクかを強調する。

　同氏は「疲労困憊した人間が下す判断は、技術的な脆弱（ぜいじゃく）性よりも危険だ」とし、従来型の「根性論」による運用に終止符を打ち、テクノロジーを活用した「Follow the Sun」体制の構築や、オンコール後の強制的なリカバリー期間の設定を勧める。

　特筆すべきは、チームの「睡眠の質」や「深夜の呼び出し回数」を、SOCのKPIに組み込むという提案だ。これは人間を交換可能な部品としてではなく、持続可能な資産として捉える発想への転換を意味する。オンコールの負担を特定の人間に集中させず、ローテーションを最適化する。そして、深夜に呼び出しが発生した翌日は、進行中のプロジェクトがあっても休養を最優先させる。こうした「人間中心」のルール作りを90日間で徹底することで、チームの士気と判断力は劇的に回復するという。

CISOに求められるのは「共感」を伴う「構造改革者」への脱皮

　セッションの締めくくりとして、バーンスタイン氏はCISOという職責の再定義を求めた。これからのCISOに求められるのは、単に最新の脅威に精通していることではない。プレッシャー下にある人間心理を理解し、チームのポテンシャルを最大限に引き出すための「環境のデザイナー」であることだ。

　「ヨガ教室に行く時間があるなら、エンジニアはコードを書き、システムを構築し、あるいは家族と過ごしたいはずだ」という彼女の指摘は、極めて現実的だ。福利厚生という名の「付け焼き刃の対策」で問題を先送りするのではなく、業務フローや評価指標、そして意思決定のプロセスという、組織体制自体をアップデートすることが、CISOの真の責務だといえるだろう。