「情報セキュリティ教育」約6割が「なんとなく理解」 NSSスマートコンサルティング調査
-
ツイート
-
-
クリップしました
マイページで確認できます
NSSスマートコンサルティング株式会社(所在地:東京都新宿区、代表取締役:安藤栄祐)は、業務でPC・ITシステムを扱う会社員を対象に「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査を実施した。
調査概要
「企業における情報セキュリティ教育の浸透度と従業員の意識」に関する調査
調査期間:2026年3月18日~2026年3月19日
調査方法:PRIZMAによるインターネット調査
調査人数:1025人
調査対象:調査回答時に業務でPC・ITシステムを扱う会社員と回答したモニター
モニター提供元:サクリサ
調査元:NSSスマートコンサルティング株式会社(https://activation-service.jp/iso/)
出典元:【1000人に聞いた】セキュリティミスを“自己解決”が2割。隠れた組織リスクとは(NSSスマートコンサルティング株式会社)
「セキュリティ教育」約6割が「内容をなんとなく理解」にとどまる
本調査ではまずはじめに「勤務先で、入社時やその後の定期的な研修で情報セキュリティ教育を受講した経験はあるか」と質問。その結果「入社時およびその後の定期的な研修を受講している(41.9%)」「入社時の研修のみ受講した(13.8%)」「定期的な研修のみ受講している(17.3%)」「どちらも受講したことがない(27.0%)」という結果となった。
続いて「入社時およびその後の定期的な研修を受講している」「入社時の研修のみ受講した」と回答した人を対象に「入社時に情報セキュリティ教育を受講した際、当時の率直な感想や状況として最も近いもの」について質問。「内容が専門的で難しく、実際の業務でどう気をつければいいかイメージできなかった(20.5%)」「「やってはいけないこと」が明確になり、安心して業務に取り組めると感じた(20.3%)」「覚える業務やルールが多すぎて、情報セキュリティのことまで頭が回らなかった(17.0%)」といった回答が上位に並んだ。
さらに「入社時およびその後の定期的な研修を受講している」「入社時の研修のみ受講した」「定期的な研修のみ受講している」と回答した人に「勤務先で実施された情報セキュリティ教育の内容について、どの程度理解しているか」を質問。「内容を具体的に理解している(30.4%)」「内容をなんとなく理解している(58.7%)」との回答が寄せられており、理解度にばらつきがあることがうかがえる。
また「日々の業務の中で『気をつけよう』と意識するきっかけとして、勤務先の情報セキュリティ教育はどれくらい役に立っているか」と質問。約9割が「とても役に立っている(29.1%)」「ある程度役に立っている(62.1%)」と回答した。
2割が「報告せず自ら解決」という二次被害のリスク
次に本調査では、再び全員を対象に「情報セキュリティに関する知識や社内ルールのうち、いくつ内容を理解できているか」と質問。回答の上位には「パスワードの適切な設定・管理(使い回しの禁止など)と、多要素認証の仕組み(57.2%)」「フィッシング詐欺や不審なメール・URLの識別方法(55.5%)」「業務における社内情報(個人情報、機密情報など)の適切な取り扱いルール(46.6%)」が挙げられた。
また「これまでに、業務中に情報セキュリティリスクにつながる可能性のある行動を「ついやってしまった」経験はあるか」と質問。「パスワードを使い回したり、簡単なものを設定したりした(18.5%)」「不審なメールだと疑いつつも開封した(10.4%)」「業務上不必要なファイルをダウンロードした(8.6%)」という結果となった。
情報セキュリティリスクにつながる可能性のある行動を「ついやってしまった」理由としては「業務が立て込んでおり、急いでいたため確認が疎かになったから(40.2%)」が最多に。次いで「「自分は大丈夫」「これくらいなら大丈夫だろう」と安易に考えてしまったから(31.9%)」「ルール違反になるかどうか、よくわからなかったから(28.5%)」という結果だった。
「万が一、業務中に自身の情報セキュリティミス(不審なメールのクリックや誤送信など)に気づいたとき、最初にとる行動」については「すぐに指定の連絡先(上司や情報システム部門など)へ報告する(59.1%)」が最多だった。
まとめ
本調査では情報セキュリティ上のミスをした際、約2割が上司や情シスに報告せず「自分で解決した」と回答。サイバー攻撃が懸念される時代において、ハイリスクな行動だ。この背景にはセキュリティ教育を約6割が「なんとなく理解している」にとどまっていることも関係しているといえるだろう。
教育を「受講させる」だけにとどまらず、メール誤送信や不審メール対応など実際の業務を想定した演習型へ見直すことの必要性が感じられた、本調査結果。
「報告した人を責めない」のはもちろんのこと、ヒヤリハットを共有しやすい仕組みの整備にも取り組みたい。
シェアする
