セキュリティー教育クラウド「セキュリオ」を提供するLRM株式会社はこのほど、全国の会社員987人を対象に「企業の情報セキュリティー教育に関する調査」を実施、結果を公表した。
情報セキュリティーの知識・理解度への自己評価では、役職が上がるほど自信が高まる傾向にある一方、実際のセキュリティーインシデント(出来事)経験率もそれに比例して上昇するという実態が明らかとなった。実際のインシデント・ヒヤリハット経験率は、経営層が42.9%と一般社員(25.6%)の約1.7倍だった。
不審メールを受信した経験がある層(全体の68.0%)に、その後の対応を調査したところ、「常に報告している」は全体で53.1%にとどまった。役職別で見ると、「常に報告している」は、経営層(66.1%)に対し、一般社員(49.1%)では半数以下で、現場に近い層ほど報告が滞る傾向が見られた。
不審メールを報告しない理由は、全体で「面倒(31.8%)」が最多、次点が「リスクを感じていない(26.4%)」だった。一般社員は「面倒(40.4%)」または「リスクを感じていない(29.8%)」の割合が、全体の割合を上回ったが、経営層においては、報告を行わない層がごくわずか(10.7%)だった。報告を行わない理由は「判断方法がわからない(33.3%)」や、多忙ゆえか「時間がない(33.3%)」が挙げられ、「面倒」「リスクを感じていない」はゼロだった。
セキュリティー教育後の変化として、全体の41.6%が「知識はついたが行動は変わっていない」と回答。さらに「何も変わっていない(15.4%)」を合わせると、全体で57.0%に上り、半数以上が行動変容に至っていない実態が浮き彫りとなった。特にこの傾向は一般社員において顕著で、「行動が変わった」と回答した割合は37.3%にとどまり、経営層(62.3%)と大きな開きが見られる。また、一般社員の約5人に1人(19.1%)が「何も変わっていない」と回答、経営層の約3倍に達した。
受講する側が求めているセキュリティー教育の形式を調査したところ、「自組織の業界や職種に関連する具体的な事例(34.6%)」や「実際のサイバー攻撃を模した体験型教育(33.5%)」が上位を占めた。役職を問わず、定型的な座学ではなく、実践に即したインパクトのある教育設計が行動を変える鍵であると言える。
