4割超の企業が「従業員のセキュリティ意識が低い」と回答 どう改善するか？

ガートナーは従業員のセキュリティ意識の現状に関する調査結果を発表した。4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答した。

[田渕聖人，ITmedia]

　ガートナージャパン（以下、ガートナー）は2023年8月10日、従業員のセキュリティ意識の現状に関する調査結果を発表した。同調査は2023年5月に、国内企業の従業員300人以上の組織を対象に実施した。

4割以上が「意識が低い」　人中心のセキュリティへの変革は急務か

　調査によると、4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答した。さらに過半数の企業が自社のセキュリティルールについて「セキュリティルールは分かりにくい」と認識していることが明らかになった。

国内企業における従業員のセキュリティ意識の現状（出典：Gartner 2023年8月）

　ガートナーの矢野 薫氏（シニアディレクター　アナリスト）は「デジタルトランスフォーメーション（DX）推進やデジタルワークプレースの拡大など、IT環境の変化が進んでいる状況においては、既存のルールの変更や新たなセキュリティルールの策定が必要になることも多い。その中で、ルールを実践すべき従業員のセキュリティ意識が低いことは、この取り組みを推進する企業にとっては大きな問題だ」と指摘する。

　ガートナーは2013年以降、「人中心のセキュリティ」（PCS：People Centric Security）を提唱している。PCSとは、従来のIT部門主導の境界型セキュリティに代わり、従業員が直接および積極的にセキュリティに関わることでこの向上を目指すアプローチだ。個々の従業員の責任の下でセキュリティ保護を実行することで、従来のようなセキュリティの禁止事項や制限を極力なくしていく。同社によると、DX時代のセキュリティとして、PCSがあらためて注目されているという。

　PCSを実践するにはIT／セキュリティ部門や事業部門で新たな姿勢が求められる。IT／セキュリティ部門は、従業員のデジタル環境や業務プロセスを理解した上でセキュリティルールを作る必要がある。対して従業員は、セキュリティに無関心な姿勢を貫くのではなく、「自由で柔軟な業務環境を維持するために、自分たちにはセキュリティに対する大きな責任がある」というように、認識を改めることが求められる。

　これを実現するために、セキュリティ／リスクマネジメント（SRM）リーダーは、従業員のセキュリティ意識向上に向けた取り組みを「全社レベルの取り組み」として、社内の体制作りや新しい戦略の策定を進めることが重要だ。

従業員のセキュリティ意識改善には何が必要？

　同調査では、「従業員のセキュリティ意識の改善に必要なことは何か」についても聞いた。その結果、回答が最も多かったものは「ITリテラシーの向上」だった。

従業員のセキュリティ意識改善に必要なこと（出典：Gartner 2023年8月）

　この結果から、多くの国内企業でセキュリティリテラシーの向上とITリテラシーとの相関を重視しているという姿勢が読み取れる。

　デジタルワークプレースやエンドポイント環境の急激な変化の中で、企業はマルウェア対策や脆弱（ぜいじゃく）性対策、データ保護などさまざまな対策を講じてきた。ガートナーはこうした状況において、「従業員自身の『顧客を守る』『自社ブランドを守る』『顧客の信頼を裏切らない』といった情報に対する意識や、情報を守るためのリテラシーが高くなければ、せっかくの対策も効果が半減し、宝の持ち腐れになりかねない」と指摘する。

　実際に多くのセキュリティインシデントは従業員のITリテラシーや意識の低さが原因となっており、ITリテラシーとセキュリティリテラシーは連動しているという。

　ガートナーの針生恵理氏（ディレクター　アナリスト）は「セキュリティリテラシーを向上させるには、その基本となる従業員自身の意識やITリテラシーの向上が必須となる。そのためセキュリティアウェアネスプログラムの策定においては、ITリテラシーとセキュリティリテラシーの向上プログラムが分断されることなく、同期して相互に連動するような、より効果的な取り組みを目指すことが肝要だ」と語った。

　矢野氏は「IT／セキュリティ部門と事業部門の関係性について、これまでのようなセキュリティルールを『守らせる側』と『守る側』のような画一的な対立関係から早々に脱却する必要がある。『セキュリティルールが現実的かどうか』『守られない原因は何か』について、現場の声を拾い上げながら評価と検証を繰り返せるように、部門をまたいだ協力体制を強化し、維持することも重要だ」と述べている。