セキュリティ教育が実務に大きな影響を及ぼさない実態を調査で明らかに

セキュリティ教育の現状に迫る

LRM株式会社が実施した全国1,000名を対象にした「企業の情報セキュリティ教育に関する調査」の結果、驚くべき実態が浮かび上がりました。特に経営層と一般社員の意識の違いやセキュリティ教育の効果に関して、詳細なデータが得られました。この調査は、今後の企業のセキュリティ対策に関する重要な示唆を与えるものとなっています。

経営層のリスク意識と教育の乖離

調査結果によると、経営層のセキュリティインシデントやヒヤリハットの経験率は42.9%に達し、一般社員の25.6%に比べ約1.7倍の高さを示しています。このことから、経営層はリスクを強く意識しているものの、実際には高いリテラシーが事故を未然に防ぐには至っていないことが明らかになりました。

実際に、経営層が不審なメールを見抜く自信は74.0%ですが、報告率は68.0%に留まり、報告しない理由として「面倒」と答えた層が31.8%を占めています。この「面倒さ」が、実際の行動に結びつかない大きな要因であることを示唆しています。

教育を受けたにも関わらず行動に変化なし

興味深いことに、セキュリティ教育を受講した57.0%の人々が「行動は変わっていない」と回答しています。この結果は、一般社員に特に顕著で、彼らの行動が変わったと回答した割合は37.3%にとどまり、経営層の62.3%と顕著な差があります。このような乖離は、教育の実効性に疑問を投げかけています。

実施する側の期待として、「自組織に関連する具体的な事例」が34.6%、実践体験を重視する体験型教育が33.5%を占めました。これは充実した座学よりも、実践を通じた教育が効果的であることを示しています。

改善への道筋と2026年の展望

今後は、具体的な行動変容を促すための教育形式や、報告をしやすくする仕組み作りが鍵となるでしょう。2026年には生成AIによるサイバー攻撃が常態化すると予測され、単なる知識提供にとどまる教育では不十分です。

企業は、自らの組織に即した実践的な教育を通じて、従業員一人ひとりにセキュリティ意識を根付かせていく必要があります。情報セキュリティは企業の存続そのものに直結するため、企業の取り組みが重要です。

まとめ

LRM株式会社の調査によって、セキュリティ教育が現場に与える影響と経営層と一般社員の意識の差が洗い出されました。今後、この実態を受けてどのように教育体系を見直し、行動変容を促していくのかが問われるところです。新たなサイバー攻撃の脅威に対抗するため、実効的な対策が急務となっていることを、私たちは再認識しなければなりません。