従業員のセキュリティ意識が低い原因は?セキュリティ意識向上のための対策
更新日 : 2025年02月28日
サイバー攻撃などの脅威が巧妙化している中で、従業員のセキュリティ意識に関して課題を感じている企業は多いのではないでしょうか。近年公表されている組織のセキュリティインシデントには、外部要因だけでなく、従業員による不注意や判断ミス、内部不正といった内部要因も増加しています。
今回は、従業員のセキュリティ意識が低い原因や企業が抱える課題、セキュリティ意識向上のための対策についてご紹介します。
従業員のセキュリティ意識が低い原因
 |
企業のセキュリティ対策ができていない要因の一つに、従業員のセキュリティ意識の低さが挙げられます。ここでは、従業員のセキュリティ意識が低い原因について解説します。 |
セキュリティに関する知識の不足
そもそも、従業員の一人ひとりのセキュリティに関する知識が不足していることが挙げられます。昨今、あらゆる脅威は巧妙化しているため、新しい情報を取り入れていくことが重要です。知識が不足していると、いざというときに適切な対応ができず、リスクを招くことになりかねません。
セキュリティ対策の必要性への認識不足
従業員が、サイバー攻撃や情報漏えいなどのリスクに対して具体的な被害のイメージができておらず、セキュリティ対策の必要性を感じていないケースもあります。そのため、パスワードを使いまわしている、不審なメールを安易に開いてしまう、といった責任感のない行動をとりやすくなります。
セキュリティ対策の優先度が低い
セキュリティ対策の必要性への認識が不足していると、同時にセキュリティ対策を後回しにしていることが多いでしょう。特に日常業務に追われている場合、セキュリティ対策に割く時間を確保することが難しいかもしれません。セキュリティ対策の優先度が低いと、定期的なパスワードの見直しやソフトウェアの更新を怠ってしまいがちです。
セキュリティ管理が仕組み化できていない
企業や組織の中でセキュリティ管理が仕組み化できていないと、従業員はセキュリティ対策への必要性を感じにくく、結果としてセキュリティ意識が低下する原因となります。セキュリティポリシーの周知やルールの策定がされていなければ、一人ひとりのセキュリティへの取り組みにバラつきが生じ、適切な対応をとれません。
セキュリティ教育を有効化できていない
セキュリティ教育を実施している企業の中には、教育の内容を有効化できていないというケースも少なくありません。年に一度だけメール訓練やテストを行っている、毎回同じ研修内容になっている場合などは、従業員に十分な知識が定着せず、実践に役立つ教育ができていないおそれがあります。
人的要因によるセキュリティインシデントの事例
ここでは、人的要因によって実際に起きたセキュリティインシデントの事例をご紹介します。
2014年ベネッセコーポレーション委託社員による個人情報の不正持ち出し
2014年6月、顧客からの問い合わせにより、株式会社ベネッセコーポレーションのデータベースから個人情報が不正に持ち出されたことが判明しました。調査の結果、グループ会社の業務委託先元社員が、約2,895万件のお客様情報を取得して名簿業者へ売却していました。委託先元社員は、担当業務のために付与されたアクセス権限でデータベースへ不正にアクセスしていたとのことです。
2020年楽天の利用するクラウドシステム設定ミスによる不正アクセス
2020年11月、楽天株式会社および楽天カード株式会社、楽天Edy株式会社は、クラウド型営業管理システムに保管していた情報の一部が社外の第三者による不正アクセスを受けていたことを公表しました。当該システムの設定ミスが原因とされ、これを受けて各社では当該システムの設定変更を行っています。その後の不正アクセスや顧客への被害等は報告されていません。
2022年兵庫県尼崎市市民の個人情報が入ったUSBメモリの紛失
2022年6月、兵庫県尼崎市は、全市民約46万人の個人情報が入ったUSBメモリを紛失したことを公表しました。尼崎市から臨時特別給付金事務を受託した再々委託先の社員が、USBメモリを入れた鞄ごと紛失しました。USBメモリには暗号化処理が施されていて情報漏えいの報告はありませんが、管理体制をきちんと行われていなかったことが原因と指摘されています。
従業員のセキュリティ意識向上によって防げる脅威
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2025」によると、組織に対する脅威のTOP10には、ランサムウェア攻撃、内部不正による情報漏えい、ビジネスメール詐欺、不注意による情報漏えいなどが挙げられています。これらの脅威は、従業員のセキュリティ意識を向上し、判断ミスなどをなくすことで、防げる可能性があるのです。
例えば、ランサムウェア攻撃は「不審なメールを開かない」「添付ファイルをクリックしない」、内部不正による情報漏えいは「情報セキュリティポリシーを遵守する」「異変に気づいたら報告する」といった対策をとる必要があります。このような従業員への意識付けは、多くの脅威から企業や組織を守ることにつながります。
情報セキュリティ10大脅威 2025についてはこちらの記事で解説しています。
セキュリティ教育の課題
従業員へのセキュリティ教育を実践しつつも、以下のような課題を感じている企業は多いかもしれません。
- 従業員の理解度を可視化できていない
- 教育実施後の変化を確認できていない
- 実戦的な教育を取り入れていない
- 教育対象者へのフォロー教育が不足
- セキュリティ教育に時間を割けていない
形ばかりのセキュリティ教育を取り入れるだけでは、従業員のセキュリティ意識を高められず、脅威への事前防御や効果的な対策につながりません。近年のサイバー攻撃は巧妙化しているため、実践的な訓練やフォロー教育を継続的に実施することが重要です。
セキュリティ意識向上のための対策
 |
ここからは、従業員のセキュリティ意識を向上させるための具体的な対策についてご紹介します。 |
効果的・実践的なセキュリティ教育の実施
セキュリティ教育は、効果的かつ実践的に実施する必要があります。個々のセキュリティスキルや理解度のチェックを行い、また実際に疑似攻撃メールを送信して対応を評価するなど、実践的な教育を適切なタイミングで実施し、効果を分析・可視化しましょう。
実践的なセキュリティ教育やフォロー教育を実施する人員や専門知識が不足している場合は、セキュリティ教育・研修を提供しているサービスを活用するのもおすすめです。
情報セキュリティポリシーの策定と周知
情報セキュリティポリシーとは、企業や組織全体で実施する情報セキュリティ対策の方針、行動指針のことです。あらゆる脅威から企業の情報資産を守るためには、経営層が参画してどのように情報を扱い、守るべきかを従業員へ十分に浸透させる必要があります。情報セキュリティポリシーの策定後は、定期的な見直しを行うとともに従業員への周知を徹底しましょう。
人事評価への反映
従業員のセキュリティ対策への取り組みを人事評価へ反映させることも、有効な対策です。日々の業務の中で適切なセキュリティ管理ができているか、テスト形式の理解度チェック、研修への参加状況などを評価基準に取り入れることで、従業員は日々の行動に責任を持つようになります。これにより、組織全体のセキュリティ意識の向上が期待できます。
セキュリティ教育を実施する上での課題とポイントについては、以下の記事で詳しく解説しています。
まとめ
日々の業務において、サイバー攻撃への完全な防御は難しいものです。企業としては、セキュリティ教育を通じて従業員一人ひとりが責任感を持てる環境を整え、人為的なミスを減らすことが求められるでしょう。従業員のセキュリティ意識を向上・定着させることで、企業や組織の持続的な成長につながります。
JBサービスでは、従業員のセキュリティリテラシーの向上・可視化を実現するセキュリティ教育サービスSecuLiteracy(セキュリテラシー)をご提供しています。認定ホワイトハッカーによる計画に基づいた実践的な教育プランを通じて、従業員のセキュリティ意識を高めながら対応策を身につけていく情報セキュリティ教育を行えます。従業員のセキュリティ教育について課題を抱えている場合は、ぜひJBサービスへご相談ください。
<参考>情報セキュリティ10大脅威2025/独立行政法人情報処理推進機構(IPA)
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)
本記事では、NDRとはなにか、EDRの違いや連携のメリットについて、具体的な例を交えて解説します。NDRの導入を検討している企業の情報セキュリティ担当者様はぜひご覧ください。
従業員のセキュリティ意識向上が急務であるものの、効率的で効果的なセキュリティ教育の実施には様々な課題があります。本記事では、サイバー攻撃を防ぐ3つの要素からなぜセキュリティ教育が重要視されているのか、セキュリティ教育を実施する上での課題、解決するためのポイントについて解説します。