Diana-Lynn Contesti (Chief Architect, CISSP-ISSAP, ISSMP, CSSLP, SSCP), John Martin (Senior Security Architect, CISSP-ISSAP, CISM, Open Group Certified Architect Master) and Richard Nealon (Senior Security Consultant, CISSP-ISSMP, SSCP, SABSA SCF)

サイバーセキュリティの専門家は、ビジネスに長期的な影響を与える可能性があるという強いプレッシャーの下で、困難な意思決定に直面することがよくあります。時間の経過とともに、このストレスはサイバーセキュリティ専門家に重くのしかかり、従業員の「燃え尽き症候群」や長期的な心理的影響を引き起こす可能性があります。

従業員の燃え尽き症候群を防ぐために何ができるのでしょうか。仲間をサポートするためにはどうしたらよいでしょうか。このような疑問は、セキュリティ侵害が日常化する中で、業界内でも高まってきています。

最近、ISC2 Communityのメンバーから、心的外傷後ストレス障害(PTSD)、あるいはインシデント対応による燃え尽き症候群に苦しんでいるサイバーセキュリティ関係者のためのガイド、パンフレット、あるいは単純に援助が欲しいという要望がありました。長年にわたり、この業界の多くの人々が、彼らの生活に永続的な影響を及ぼすかもしれないであろう事を経験してきましたが、ほとんど明文化されていません。

自分には関係ないだろうと思っている人もいるかもしれません。彼らの身に、このような事が起きないことを祈るのみです。最新の Verizonが発行したデータ流出報告書によると、すべての侵害の61％が機密データに影響を及ぼしています。つまり、あなたが何が起こったのかを理解し、是正措置を計画する任務を負う人になる可能性があります。初めは、あなたとあなたのチームは、失敗に対して責任を負い、すでに意気消沈しているように感じるかもしれません。

第一対応者や軍隊のメンバーと同じように、サイバーセキュリティ専門家も道徳的なジレンマに直面する可能性があります。セキュリティ担当者は、道徳的に困難でストレスが多く、トラウマになる可能性のある仕事を頼まれることがあります。

サイバーセキュリティ担当者は、調査終了時に雇用を打ち切られる可能性があるかどうかというストレスも抱えています。国によっては、外部の調査業者の利用や、職を失う恐れのある事件の報告の義務付けなどを定めた法律を整備しています。最近では、セキュリティインシデントの結果として従業員を解雇する組織は少なくなってきていますが、この可能性は依然としてインシデント対応のストレスの要因となっています。

インシデントに直面し、ストレスや困難を感じている方に対して、下記内容を助言させてください。例えば(ただし、これらに限定されません)、排水と飲料水の混合を止めなかった、重要なサービス（水力、ガス、水道）を稼働させなかった、潜在的な紛争地帯で監視を行ったなどです。

ストレスを軽減できる場所は？

家庭生活などの外的ストレスは、非常時にセキュリティ専門家のプレッシャーを増大させることがあります。家庭の事情と業務の長時間労働が重なると、個人にとって内面的な葛藤が生じることがあります。このような場合は、作業を分担し、他の人に管理を任せることをお勧めします（セキュリティ侵害や災害の際も同様です）。まずは、家族を大切にすることを徹底してください。家庭に問題がある場合、プレッシャーがかかるとベストを尽くすことができなくなることを忘れないでください。

インシデントに対応をする前は、可能であれば必ず指定されたトレーニングや演習に参加してください。事前準備を怠らないでください。すべてのインシデントを予測することはほとんど不可能ですが、しかし、これらにす参加することで、実際の対応で実施する可能性のある手順を文書化することができます。この段階で、侵害/インシデント対応計画を作成することができます。災害復旧計画プランナーや卓上演習(https://www.ready.gov/exercises)の内容をぜひ参考にしてください。

上層部からの指示が混在することも、不必要なストレスの原因となります。インシデントが発生する前に、明確なエスカレーションを文書化しておくことは、時間の節約とストレスの軽減につながります。調整を担当する従業員に、明確な権限を与える文書を作成することをお勧めします。この文書は、組織全体が理解し、受け入れる必要があります（中間および上級管理職による認知を含む）。この文書には、担当者が必要に応じてスタッフを派遣・獲得する権限、支出権限、時間外労働を承認する権限、対応策を構成する要素などが含まれる必要があります。

さて、ここまで、インシデントが起こることでストレスが溜まる項目（失業、家族との約束、モラルの問題など）について述べてきましたが、イベントが起きたとき、ストレスを軽減するためにできることを見ていきましょう。

1. 自分の行動、誰と話し、何を話したか、すべてを記録しましょう。
   • ここがポイントです。起こったこと(経営陣の指示を含む)をそのまま記録しておけば、事態が収束したときに感じるプレッシャーも軽減されます。常に日時と行動を記録しましょう。記録には必ず署名をしてください。インシデント終了後のフィードバックセッションで、このドキュメントを使用してください。
   • 秘密保持契約（NDA）に署名し、それを遵守してください。道徳心を働かせましょう。
   • スタッフや直属の上司にも、すべてを文書化するよう依頼しましょう。
   • 塵も積もれば山となるで、何がうまくいったのか、何がいけなかったのか、ロードマップを作成することができるようになります。インシデント終了後に必ず正式なフィードバックセッションを開催しましょう。

2. 侵害/インシデント対応プロトコルに従い、変更すべき点があればメモしましょう。
   • 道徳的・倫理的に矛盾がないことを確認してください。良心との葛藤は、精神的な負担も大きく、事件が終わった後も長く続くかもしれません。
   • 自分の信念を貫き、チーム内の不必要な緊張や対立の原因とならないようにしましょう。
   • 客観的でありながら、積極的に耳を傾け、チーム内で非難をしない文化を発展させましょう。
   • 自分の限界を知り、満足のいく仕事ができないと感じたら、支援を求めるか、身を引きましょう。
   • 広報(PR)担当のスポークスパーソンを指名し、彼ら説明を任せましょう。彼らの仕事をさせましょう。広報(PR)がいることを確認し、簡潔に説明し、彼らに仕事を任せます。あなたの思考プロセスや意思決定能力が他の人に影響されないようにしましょう。
   • 雑念に邪魔されないようにしましょう。
   • 許可され、必要とされ、合意された通信のみを許可しましょう。
   • 集団思考の兆候を認識し、罠にはまらないようにしましょう。
   • 異常が常態化するような集団思考に陥らないようにしましょう。
   • 少なくとも1日に1〜2回は、時間をとって状況を再確認しましょう。
   • 上司から「休め」と肩を叩かれたら、その忠告を無視せずに休みましょう。シフト制で勤務することもあります。
   • もし、その場で感情が高ぶってしまうようであれば、一旦離れて休憩を取り、自分の参加と状況を再確認しましょう。

3. あなたは一人ではないことを理解しましょう。
   • このような状況を打開するために、あるいはプレッシャーから解放されるために、話し相手を探しましょう。
   • 仲間や他のネットワークに状況を相談することは、感情的な解放をもたらし、改善策を見出す可能性があるという点で有益です。

4. 家に帰ったら、孤立しないで、家族と話し、自分の気持ちや受けた影響を伝えましょう。
   • このステップでは、気持ちを落ち着かせ、家族や友人からのサポートを得ることができます。
   • また、家族や友人にも、なぜあなたの気分が正常でないのかを理解してもらうことができます。

5. 積極的に活動し、休息を取り、食事をしましょう。
   • 最初の反応は、引きこもったり、休憩を取らずに問題解決に専念したりします。
   • 食事と休養をしっかりとって、スタミナを維持しましょう。
   • 運動習慣がある人は、それを継続すること。ない場合は、頭をすっきりさせるために散歩をするのも悪くありません。犬を散歩に連れて行きましょう。
   • 邪魔されない睡眠をきちんと確保しましょう（邪魔されそうな環境から抜け出すことも必要かもしれません）。
   • 昼寝が好きな人は、賢く使いましょう。

自分へのケアができたところで、チームスタッフや業務に携わる人たちのためにできることは何でしょうか？

1. スタッフには、自分たちがしていることをすべてメモしてもらい、常に記録をつけてもらいましょう。
2. インシデント発生中は安全な通信手段を使用し、メディアや無許可の人への漏洩の可能性を低減しましょう。ツールの例としては、メッセージを暗号化する「Signal」や「Telegram」ががあります。
3. 薬物やアルコールなど、偽の多幸感を与えるものには手を出さない。ソーシャルメディアなどの破壊的なインフルエンサーは、偽物が多く、状況を支援するのではなく、刺激するために使われることが多いので、近づかないようにしましょう。
4. スタッフへのリーダーシップを発揮しましょう。
   • 模範を示しましょう。
   • スタッフをモニターし、彼らの燃え尽き症候群に注意しましょう。
   • 確実に休ませましょう。
   • 食事を確保しましょう。
   • 必要であれば、相手を側に寄せて話をし、相手が何を感じているのかを確認しましょう。
   • 必要に応じて、干渉しましょう。つまり、マネージャーなどが割り当てられたタスクに干渉するのを防ぐ必要があるかもしれません。
   • どんな方法でもいいので、応援しましょう。
5. 最後に、チームの報告会を行い、最終報告書を作成しましょう。以下のようにすることをお勧めします。
   • 参加者全員を集めましょう（参加者以外を遠ざける）。非参加者は水を差すことになりますし、正直に話すことを躊躇する人もいるかもしれません。
   • 何が起こったのかを話し合いましょう。
   • 作成されたノートを使用しましょう。
   • ノートの隙間を埋めましょう。
     • 必要な場合は、ポイントを明確にしましょう。
   • 何がうまくいったのか、何がうまくいかなかったのかを話し合いましょう。うまくいかなかったこともあるでしょう。
     • これにはインシデントのタイミングも含まれるはずです。
     • コールツリーは正しかったのでしょうか？
   • 参加者は適切だったか、誰かを忘れていないかを議論しましょう。
     • 次回のために使いましょう（ないことを祈りますが）。
       これによって、適切な人員を迅速に配置することができます。
     • 誰かを忘れていた場合、その方はどのように業務に貢献できるのでしょうか？
   • 具体的に何が起こったのかを話し合いましょう。
     • 侵害は何だったでしょうか？
     • どのようなデータが失われたのでしょうか？
     • 組織に経済的損失はないでしょうか？
     • 風評被害は起きていないでしょうか？

報告会をしたら、次のことをしましょう。

1. 休みましょう。
2. 報告書を正式なものにしましょう。
   • 自分の考えをまとめましょう。
   • 発見したことを文書化しましょう。
   • 推奨事項を文書化しましょう。
3. 経営陣との面談しましょう（参加者は含まない）。
4. 正式な報告書を発行しましょう。

経営陣と面談し、最終報告書を発行した後は、自分自身を再活性化させるために休みを取ることをお勧めします。コーヒーやドーナツを配ることでもいいので、チームに感謝の気持ちを伝えましょう。

これは完全なリストではなく、セキュリティインシデントの前、最中、後にあなたやあなたのスタッフが感じるストレスや怒りを最小限に抑えるのに役立つ一例であることをご理解ください。

サイバーセキュリティ専門家がストレスやPTSDに対処できるようになることを願っております。皆様のご意見を歓迎します。

原文記事：https://blog.isc2.org/isc2_blog/2022/05/how-to-prevent-burnout-among-cybersecurity-professionals-before-during-and-after-a-breach.html