従業員の意識で防げる攻撃
情報セキュリティの攻撃手法は、年々多様化傾向が見られており、IPAが毎年発表する10大脅威の組織版(2023年)ランキングでも、様々な攻撃が取り上げられています。
しかし一方で、実はこうした脅威は従業員個々人の意識で防止できるものが多くあります。
組織の管理者側でも、情報漏洩対策やサイバーセキュリティの一環として、研修等の教育で組織内のリテラシーを向上させ、セキュリティを強化しようと工夫されているかと思われます。
教育効果を感じない従業員
しかし、こうした情報セキュリティ教育の受講者である、従業員のモチベーション・意識はどうでしょうか。
ガートナー社のグラフを見ると、日本人はデジタルスキル取得に関心がないことに加え、業務用途のデジタルスキルは高くない素人だと自認している層が、他国より高く出ています。
加えて、情報セキュリティ教育の受講者(従業員)を対象としたソースポッド調べのアンケート調査を見ると、教育を受けても、それが情報セキュリティ上の問題解決に役立ったことがあると答えた層は、受講者全体の25%どまりになっています。
つまり、従業員の意識としては、デジタルスキルが低いと自認しながら積極的にスキル習得に動かないという国民性に加え、教育を受けても役立った経験がない状態の人が多く、情報セキュリティの脅威防止に必要な『個々人の意識の高さ』が、あまりない可能性が懸念されます。
人的側面から情報セキュリティを強化するには、こうした従業員側の問題を解決できる教育環境を整えられるかが鍵になると言えます。
従業員に効果が出る教育
では、こうした情報セキュリティ教育に効果がないのかというと、それは違うと考えられます。
情報セキュリティ教育の受講者(従業員)を対象としたソースポッドのアンケート調査によると、情報セキュリティ教育が問題解決手段になったと答えた層において、高頻度(1~3カ月に1回の頻度)で受講している人が、多く確認されています。
また、教育の受講とは別に、情報セキュリティの問題発生時に、自ら情報収集を行い、また、それが解決に結びついたことはあったか、受講者である従業員を対象に、ソースポッドでアンケート調査を行いました。
すると、受講頻度が高く、知識に触れる回数が多い層ほど、自ら調べ問題を解決できた人が多く、情報セキュリティの不安や脅威が発生しても、従業員個人で対応できている状態にあると判明しました。
こうした情報を踏まえると、情報セキュリティ教育の受講頻度の高さが、問題を意識する風土をつくり、また、知識の多さを活用して問題解決に動ける従業員のスキルにつながったと考えられます。
デジタルスキルの低さを自認する人がトップクラスに多い日本で、組織の情報セキュリティのリテラシーを上げていくには、まず従業員の受講頻度を上げ、知識や対策方法に触れる機会を増やすことが近道だと思われます。
効果的な教育実施の課題
しかし、そうした教育環境の構築には課題があります。
ソースポッドが行った情報セキュリティ教育の管理者へのアンケート調査では、管理者が抱える様々な教育の課題があげられています。
まず、こうした受講頻度を上げる場合の課題として、【システム管理者の工数がかかる】という点が挙げられます。
その他、効果測定を行いやすい仕組みづくりや、従業員の意識付けに効果的なコンテンツの作成といった問題も、上位にあがっています。
組織内のセキュリティを強化する教育環境を整えるうえで、管理者側では適切な運用方法や教育コンテンツの選定に工夫が必要とされています。
株式会社ソースポッドでは、情報セキュリティ教育の課題である、効果的なコンテンツの作成・配信・効果測定をサポートするSPC Leak Detectionの教育コンテンツを提供しております。
基本となる情報セキュリティ教育のコンテンツに加え、テレビやニュース等でも話題の最新インシデントから学べる教育コンテンツを月次配信し、受講者の興味喚起や記憶定着につながります。
また、コンテンツの作成・配信はソースポッドが行うため、管理者の工数削減にもつながり、各コンテンツの効果測定も、管理者側の機能で確認ができます。
詳細は株式会社ソースポッドサービス営業部へご連絡ください。