この乖離の一因として考えられるのが、セキュリティ教育による「行動変容」の難しさだ。セキュリティ教育を受講した層の実に57.0%が、受講後も自身の「行動は変わっていない」と回答している。知識としての理解は進んでも、実務における不審な挙動への警戒や、具体的な報告といったアクションにはつながっていないのが現状だ。
advertisement
特に、組織として重大なリスクを早期に察知するための「報告」において、不審メールを受信した際に報告しない最大の理由は「面倒だから(31.8%)」という心理的なハードルにある。多忙を極める経営層においては「時間不足」や、攻撃の巧妙化に伴う「判断基準の欠如」が障壁となっている実態も明らかになった。どれほど知識があっても、報告プロセスが業務の負担となるようでは、組織の防御力は高まらない。
今後、組織のセキュリティを強化するためには、単なる知識の提供から脱却し、「自分ごと化」を促す実践的なアプローチが不可欠となる。受講者が求める教育形式として、34.6%が「自組織に関連する具体的な事例」、33.5%が「体験型教育」を挙げていることからも、実務に即した教育への期待は高い。報告の仕組みを簡略化し、無意識レベルでの行動変容を促す仕組みづくりこそが、悪質なサイバー攻撃から組織を守る鍵となるだろう。
出典:LRM株式会社「企業の情報セキュリティ教育に関する調査」より
advertisement
