- 2023/01/17
- セキュリティ
一般のビジネスパーソンは果たしてどれだけサイバーセキュリティを理解しているのか?
Post by : Cybereason Japan Marketing Team
一般ビジネスパーソンのセキュリティ理解度は決して高くない
弊社は2022年11月、サイバーセキュリティの専門知識を持たない一般ビジネスパーソンを対象にした調査「サイバーセキュリティ知識に関する調査」を実施しました。この調査の目的は、一般のビジネスパーソンの方々がサイバーセキュリティのトピックについてどの程度理解しており、またどのような意識を持っているかを明らかにすることにありました。
本調査の詳しい結果は、別途「【調査結果資料】サイバーセキュリティ知識に関する調査結果レポート(2022年11月実施)」でご覧いただけますので、興味のある方はぜひダウンロードの上ご参照いただければと思います。本稿ではその中から、特に顕著に見られた傾向を幾つかピックアップして紹介したいと思います。
この記事は、「日本企業の一般社員がサイバーセキュリティに関する知識をどれだけ持っているか」を探る特集の第2部です。2部構成からなるこの特集では、従業員が持つサイバーセキュリティの専門知識というトピックに焦点を当て、それが企業のサイバーセキュリティにどのような影響を与えるかを説明します。
第1部の記事はこちらから
あらゆる企業が必要とする3つのレベルのサイバーセキュリティ知識とは
https://www.cybereason.co.jp/blog/security/9812/
まず本調査では、アンケート対象者に対してサイバーセキュリティに関する理解度テストを実施しました。設問の内容としては、「OSやソフトウェアを最新バージョンに自動でアップデートする設定をすることは、ランサムウェアから組織を守るための一つの方法です。この説明は正しいでしょうか?」「“s”を含まないURLの“http://”に対して、URLの先頭に“https://”とあるのは、どういう意味でしょうか?」といったように、多少なりともサイバーセキュリティの知識がある方なら簡単に答えられるものばかりを用意しました。
しかし正解率を見てみると、設問によって多少ばらつきはあるものの、全体としては「約55%〜80%」と決して高くありませんでした。やはりITやセキュリティの専門家ではないビジネスパーソンのサイバーセキュリティに対する理解度は、いまだに決して高くない実情がうかがえます。
「セキュリティ教育は大事」「でも実際には受けていない」
本調査では続いて、サイバーセキュリティ意識と組織の取り組みに関するアンケート調査を実施しました。ここでもまた、大変興味深い結果が得られました。
例えば「メールを開いてメール内のリンクをクリックしたり、メール内の添付ファイルを開いたりして、それらが実は悪意のあるものであったことに気づいたことはありますか?」という質問に対して、実に64%もの回答者が「はい」と回答しています。
また73%の回答者が「全従業員がサイバー攻撃を見抜く力をつけるためのトレーニングを受けるべき」と答えているほか、「自社でサイバーセキュリティのトレーニングは必要だと思いますか?」という質問に対して「強く思う」という回答が56%、「思う」が38%に達しており、大半の回答者が「IT部門やセキュリティ部門だけでなく、業務部門の従業員に対してもサイバーセキュリティのトレーニングを実施すべき」と考えていることが分かります。
では実際の取り組みはどうかというと、「全従業員に対して毎年サイバーセキュリティ研修の受講を義務付けている」と答えた回答者は全体の23%に留まり、逆に「サイバーセキュリティに関する正式なトレーニングは行っていない」が23%、「自分の組織がサイバーセキュリティのトレーニングを実施しているかどうか分からない、または提供していない」が15%を占めています。
さらには、回答者の実に半数が「会社のサイバーセキュリティ研修に参加したことがない」と答えており、表向きはサイバーセキュリティに関するトレーニングの重要性を認識しつつも、実態としてはトレーニングへの参加率が低いことが分かります。
従業員に対してさらなるセキュリティ教育や学習の機会を
いくらIT部門やセキュリティ部門が高度なサイバーセキュリティ対策を実施しても、近年のサイバー攻撃は実に巧妙にこれらをすり抜け、従業員に直接フィッシングメールを送り付けてきます。ここで最後の砦となるのが、従業員のセキュリティリテラシーです。もし従業員のリテラシーがきちんと底上げできていないと、不正な添付ファイルを開いたり、不正なリンクをクリックするなどして、あっけなくマルウェアの感染を許してしまいます。
本調査の結果は、こうしたリスクが依然として高いことを如実に表していると言えます。そのため企業や組織はこれまで以上に、従業員のサイバーセキュリティに関する知識や意識を高めるための施策に力を入れる必要があるでしょう。具体的には研修を定期的に実施したり、最新のサイバーセキュリティ情報を社内に広く周知するといった施策が求められます。
また近年では、サイバーセキュリティの専門家以外の一般ビジネスパーソン向けに、セキュリティ情報を発信したり、学習の機会を提供するサイトが増えてきています。弊社でも「サイバーリーズン・セキュリティ・アカデミー」というサイトで、約3分で分かりやすく解説したサイバーセキュリティトレーニング動画などサイバーセキュリティに関するさまざまな情報をビジネスパーソンにも分かりやすい形で紹介していますので、興味のある方はぜひ参照されることをお勧めします。
ただし、どれだけ従業員のリテラシーを向上させたとしても、近年の高度化・巧妙化の一途を辿るサイバー攻撃の侵入を100%防ぐのは困難です。従って、万が一侵入を許してしまった場合を想定してEDR(Endpoint Detection Responce)製品を導入したり、インシデント対応の体制やプロセスを平時から整備しておくといった備えもとても重要です。
ちなみに弊社のEDR製品「Cybereason EDR」は国内EDR製品市場においてシェアNO.1を獲得しており、こうしたニーズには最適な製品だと自負しています。製品ページに詳しい機能や導入事例の情報が載っていますので、ぜひこちらもご一読いただければ幸いです。
【調査結果資料】サイバーセキュリティ知識に関する調査結果レポート(2022年11月実施)
サイバーセキュリティの専門知識を持たないビジネスパーソンを対象に、サイバーセキュリティ知識に関する理解度とサイバーセキュリティに関する意識の実態を調査するため、2022年11⽉下旬に「サイバーセキュリティ知識についての理解度テストとアンケート」を実施しました。
アンケートの回答を調査レポートとしてまとめましたので、回答を元にした実態と傾向を把握いただき、サイバーセキュリティを専門としないビジネスパーソンの方は、今後のサイバーセキュリティ知識に関する理解度とサイバーセキュリティに関する意識の向上の機会としてご活用ください。
また企業・組織のサイバーセキュリティ担当者の方は、社内向けのサイバーセキュリティの理解度を高める研修の実施など、今後のセキュリティ対策の強化にお役立てください。
https://www.cybereason.co.jp/product-documents/survey-report/9854/