ガートナージャパンは2023年8月10日、国内企業に所属する従業員のセキュリティ意識に関する調査結果を発表した。2023年5月に従業員300人以上の国内企業を対象に調査したところ、4割を超える企業が「自社の従業員のセキュリティ意識は低い」と回答した。自社のセキュリティルールについては過半数の企業が「分かりにくい」と認識していた。
ガートナージャパンは、国内企業に所属する従業員のセキュリティ意識を調査した。2023年5月に従業員300人以上の国内企業を対象に調査した。
4割を超える企業が「自社の従業員のセキュリティ意識は低い」と回答した(図1)。「従業員のセキュリティに対する意識が低い」という項目に対して「非常に該当する」との回答が10.6%、「ある程度該当する」との回答が33.1%、合わせて43.7%に達した。
図1. 国内企業における従業員のセキュリティ意識の現状(出典:ガートナージャパン、2023年8月)拡大画像表示
自社のセキュリティルールについては、過半数の企業が「分かりにくい」と認識していた。「自社のセキュリティルールが分かりにくい」という項目に対して「非常に該当する」との回答が13.0%、「ある程度該当する」との回答が47.2%、合わせて60.2%に達した。
この結果を受けて同社は「ルールを実践すべき従業員のセキュリティ意識が低いことは、セキュリティの取り組みを推進する企業にとっては大きな問題。従業員のセキュリティリテラシーの向上は喫緊の課題」と指摘する。
米ガートナー(Gartner)は2013年以降、「人中心のセキュリティ:People Centric Security (PCS)」を提唱している。個々の従業員のセキュリティ責任の下でセキュリティを保護する形に変更する代わりに、従来のようなセキュリティの禁止事項や制限を極力なくしていく、というアプローチである。従業員は、PCSの実践にあたり、「自由で柔軟な業務環境を維持するために、自分たちにはセキュリティに対する大きな責任がある」という認識を持つ必要がある。
セキュリティルールについては、従業員の毎日の業務に密接に関わるため、「面倒なものや矛盾するようなものなど、従業員が感じるわずかな摩擦がセキュリティに対する大きな嫌悪感を生むという点を十分に認識しておくことが重要」と同社は指摘する。
IT/セキュリティ部門と事業部門の関係性については、「セキュリティルールを『守らせる側』と『守る側』のような画一的な対立関係から早々に脱却する必要がある」と同社は指摘する。「セキュリティルールが現実的なものなのか」、「守られない原因は何か」について、現場の声を拾い上げながら評価と検証を繰り返すことができるように、部門をまたいだ協働体制を強化し、維持していくことも重要である。
調査では、「従業員のセキュリティ意識の改善に必要なことは何か」も聞いた。回答が最も多かった項目は「ITリテラシーの向上」だった(図2)。
図2. 従業員のセキュリティ意識改善に必要なこと(出典:ガートナージャパン、2023年8月)拡大画像表示
