SOCスタッフの燃え尽き症候群

仕事における燃え尽き症候群は、特に新しい問題ではありません。単調なタスクに飽きてしまうと、思考がとりとめないものとなり、注意力と集中力が低下します。これはどのような分野の活動であっても望ましい状態ではなく、生産性の低下を引き起こします。サイバーセキュリティの分野の場合は、大変な影響が出る恐れがあります。とりわけ、その人がセキュリティオペレーションセンター（SOC）のスタッフである場合はそうです。

企業がSOCを設置する場合には、2つの選択肢があります。自前の部署を創設するか、外部の専門家に委託するかです。当社の場合は、自社のSOCと顧客向けサービスセンターの両方を持っています。さらに、サードパーティSOCにもサービスを提供していることから、他の組織におけるSOC実態を知る機会もあります。そこで今回は、燃え尽き症候群について当社の考えや経験をご紹介すると共に、スタッフのプロ意識を維持するための取り組みについても触れたいと思います。

ポジティブではない面から、先に見ていきましょう。そもそも「SOC脅威アナリスト」という仕事の性質自体が、燃え尽き症候群に直結しています。それだけでなく、企業のセキュリティ状態が良好であるほど、燃え尽きるまでの時間が短くなります。SOCの業務は基本的に、受信データの中に異常がないかどうかを毎日毎日探す作業を伴います。異常が検知されれば、ちょっと面白くなります。インシデントについて調査し、データを収集し、リスクや損害の評価を行う必要があるからです。しかし、最先端のソリューションを採用してサーバー、ワークステーション、情報インフラ全体を保護している企業では、取り組みがいのあるサイバーインシデントなど、そう起こらないものです。

ですからエキスパートは、じっと座ってデータの流れを眺めて過ごすことになります。暗い部屋で黒猫を探すようなものです。当社では常に「猫は部屋のどこかに必ずいる」という前提で臨みますが、だからといって実務の単調さから逃れられるわけではありません。その点で、当社のSOCは一般企業内のSOCよりも恵まれているのかもしれません。多くの顧客を抱えているため、どこかで必ず何かが起こり、日常のルーティンワークに刺激を与えてくれるので。

さて、社員が燃え尽き症候群に陥るとどうなるのでしょうか？気力や集中力が低下し、自分自身や周りの人々に対して不満を抱くようになります。自分の仕事に対してまじめな人なら（実際、SOC担当は皆そうです）、自分が同僚を失望させているという気持ちに苛まれます。自分には何かが欠けていると考え、インターネットでさまざまな心理学者の意見を探しては読むようになり、やがて、よくあるアドバイスにたどり着きます。「今やっていることは自分が本当にやりたいことではないのだと、認めましょう。子供の頃好きだったことを思い出し、ためらわずに転職してみましょう」。中には救われたと感じる人もいるでしょう。しかし確実に言えるのは、社員がそのアドバイスに従うと、SOCにとっては損失だということです。

解決策

企業の立場から言うと、担当者が燃え尽き症候群に陥ったことによる影響としては、まずチームのパフォーマンスの低下が挙げられます。この問題を克服する方法はいくつもありますが、人道的でないものもあれば、現実的でないものもあります。

「嫌なら辞めてください」

燃え尽き症候群は個人の問題だ、と考える企業もあります。休暇や社会保険など、すべて法律（そのような法律がある場合）に則って待遇を整えているのだから、少し休んだ後はリフレッシュして職務に復帰できるはずだ、それでもパフォーマンスが下がったままならば、残念だが辞めてくれ、というわけです。

分野によってはそうした対応を正当化できるかもしれませんが、サイバーセキュリティの監視センターではそうはいきません。そのSOCアナリストの代わりに別のスペシャリストを見つけて（言うほど簡単ではありません）、トレーニングする必要があり、さらには前任者が（燃え尽きてはいても）こなせるのと同じレベルのパフォーマンスを達成できる人材に育て上げるには、しばらく時間がかかります。ときには、関連分野の経験はないもののトップレベルのエキスパートになりそうな人材を採用することもあります。そのようにして育てた人材を、燃え尽き症候群に陥ったからといって切り捨てることは、育成にかけた時間、労力、リソースをすべて無駄にすることであり、大半の企業は避けるものです。

社内での異動

情報セキュリティの仕事はSOCだけではなく、実に多岐にわたります。情報セキュリティ業界の企業でなくとも、たとえばラピッドレスポンスチームなど、経験豊富なアナリストが求められる職種もあります。そこで、組織内の別の職種に異動させることで解決できる場合もあります。アナリストは単調な仕事から離れることができ、企業としては頭脳流出を防ぐことができます。

しかし、SOCのパフォーマンス面を見ると、担当者が社内で異動したか会社を辞めたかにかかわらず、SOCの人数が1人減ったことに変わりありません。ちなみに、当社では少々事情が違っていて、燃え尽き症候群が発生する前に、他の部署がSOCの担当者を引き抜いてしまいます。豊富な実務経験を持つSOC担当者は、攻撃が発生する経緯や対抗方法についてよく知っているからです。

ルーティンワークの自動化

検知とインシデント調査のツールが進歩するにつれて、人間が行うタスクも必然的に変化しました。ついこの間まで最前線だったSOCアナリストは、今や疲れも燃え尽きも知らず不満の声を上げることもない「ロボット」アナリストを監督する品質管理者になりました。こうした新しい管理職務により、アナリストはキャリアの新しい段階に進むことになり、（少なくとも最初は）新鮮に感じるはずです。これまでの慣れ親しんだ（飽きた）環境から抜け出すことによって、問題が解決されていく過程や仕事全般に対する新しい興味をかきたてられることでしょう。

機械学習については、すでにさまざまなところで取り上げられているので、ここで付け加えることはありません。機械学習に基づいたロボットアシスタントは品質基準が明確に設定された限定的な範囲のタスクをこなすことがとても得意だ、という点に触れておけば十分でしょう。最前線の社員の代わりにはなれませんが、ロボットアシスタントはスループットを向上させますし、彼らのおかげでロボットのトレーニング、管理、開発の仕事に人的リソースを振り向けることができます。機械学習は分野によってはまだ目新しい先端技術かもしれませんが、当社にとってはすでに日常業務に欠かせないものとなっています。

内部でのローテーション

すべての人間をロボットに置き換えることは不可能ですし、望ましいことでもありません。そこで、当社ではSOC内で業務ローテーション制をとっています。何しろ、仕事はエンドポイントのデータストリーム分析だけではないのですから。

まず、脅威データの体系化というタスクがあります。インシデントの解明の過程でアナリストが得た実用的な知識は、再発防止に役立てることが可能ですし、そうする必要があります。そしてこの作業は、SOCツールの強化という別のタスクにもつながります。当社のSOCには、たとえば調査グループのほかに、インフラサポートや開発のスペシャリストもいます。いずれも置き換えできない職務と思われるかもしれませんが、当社の開発業務はすべて自動化を目標としているため、アナリストの実用的な経験が不可欠です。社員のタスクを定期的に変えることで、燃え尽き症候群の発生を最小限に抑えるとともに、SOCツールキットを強化して同僚を支援しているのです。同時に、どのような領域が社員の純粋な関心を捉えるのかについて上層部が把握するようにしています。この関心が高い効率性を支え、そしてチーム全体のパフォーマンスの土台となります。

この方法は万能ではありません。スタッフ2～3人のSOCであれば、ローテーションのパターンが限られてしまいます。そのような場合は、外部のデータ監視エキスパートの採用を考えてもいいのではないでしょうか。それでもやはり、タスクに多様性を持たせることの検討をお勧めします。ちょうど社内で発生していた他の問題を解決できるかもしれませんし、それだけで仕事の単調さによる燃え尽き症候群の防止にもなる可能性があります。

自社でSOCアナリストを育てることにしたのであれば、ぜひとも人材が去っていかないように努めてください。見つけるのが難しく、失うのは容易で、忘れがたいもの、それは愛だけではないのです。