経営層は高リテラシーもインシデント経験率は上昇、セキュリティ教育の実態

兵庫県神戸市に本社を構えるLRM株式会社が、全国の約1,000名のビジネスパーソンを対象に行った「企業の情報セキュリティ教育に関する調査」の結果が発表されました。この調査は、経営層と一般社員のセキュリティに対する意識や行動の差異、そしてセキュリティ教育の実効性を探るものです。

調査結果の概要

現実には、経営層は一般社員よりも高いリテラシーを持つ一方で、実際に経験するインシデント率は一般社員の約1.7倍に達することがわかりました。これにより、セキュリティ教育が果たすべき役割の重要性が再確認されました。

1. 職位別インシデント経験率

調査によれば、経営層のセキュリティインシデント経験率は42.9%に達し、一般社員の25.6%に比べて高い数値を示しました。この結果は、経営層自身が自らの知識に自信を持つ一方で、実際に危険に直面するリスクが高いことを意味しています。経営層で「高い」と回答した割合は65.0%にも上り、不審メールを見抜く自信を持つ人も74.0%と高い数値です。

2. 報告しない理由

不審メールを受信した際に「常に報告している」と回答した割合は全体で53.1%、経営層においては66.1%でしたが、一般社員は49.1%と半数を下回りました。報告しない主な理由は「面倒」（31.8%）で、一般社員では「リスクを感じていない」も多く見られました。経営層には「時間がない」や「判断基準の欠如」が障害となっていることが明らかになりました。

3. セキュリティ教育の効果

興味深いことに、セキュリティ教育を受けた後でも57.0%が「行動が変わっていない」と回答しています。特に一般社員では、行動が変わったと感じたのは37.3%にとどまりました。受講者が求める教育方法としては、具体的な事例や体験型教育が高く評価されており、実践に即した教育が必要であることが分かりました。

4. 今後の提案

調査結果は、経営層と一般社員の意識の乖離を浮き彫りにしています。2026年には、より巧妙なサイバー攻撃が日常化するなかで、知識を単に提供するだけでなく、各職種に特化した実践的教育が求められます。また、不審メール等の報告方法を簡素化し、報告への心理的負担を軽減する必要があります。

まとめ

この調査を通じて、情報セキュリティ教育の重要性とその現状の課題が明らかになりました。企業は今後、行動を変えるための実践的な教育を導入し、より良いセキュリティ文化を醸成していく必要があります。LRM株式会社が提供する「セキュリオ」は、そのための強力なツールとなるでしょう。

セキュリオサービスサイト

LRM株式会社は、セキュリティ教育クラウド「セキュリオ」でセキュリティリテラシーの向上を図り、企業の持続可能なセキュリティ体制を支援しています。