ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、従業員のセキュリティ意識の現状に関する調査結果を発表しました。
2023年5月に、国内企業の従業員300人以上の組織を対象に実施したユーザー調査によると、4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答しました。さらに、自社のセキュリティ・ルールについては、過半数の企業が「セキュリティ・ルールは分かりにくい」と認識していることが明らかになりました (図1参照)。
ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、従業員のセキュリティ意識の現状に関する調査結果を発表しました。
2023年5月に、国内企業の従業員300人以上の組織を対象に実施したユーザー調査によると、4割を超える国内企業が「自社の従業員のセキュリティ意識は低い」と回答しました。さらに、自社のセキュリティ・ルールについては、過半数の企業が「セキュリティ・ルールは分かりにくい」と認識していることが明らかになりました (図1参照)。
図1. 国内企業における従業員のセキュリティ意識の現状
出典:Gartner (2023年8月)
シニア ディレクター アナリストの矢野 薫は次のように述べています。「デジタル・トランスフォーメーション (DX) の推進やデジタル・ワークプレースの拡大など、IT環境の変化が加速度的に進んでいる状況においては、既存のルールの変更や新しいセキュリティ・ルールの策定が必要になることも多くみられます。その中で、ルールを実践すべき従業員のセキュリティ意識が低いことは、セキュリティの取り組みを推進する企業にとっては大きな問題です。従業員のセキュリティ・リテラシーの向上は喫緊の課題と言えます」
Gartnerは、2013年以降、「人中心のセキュリティ:People Centric Security (PCS)」を提唱しています。PCSとは、従来のIT部門主導の境界型セキュリティに代わり、従業員がセキュリティに直接および積極的に関与することでセキュリティの向上を目指すものであり、個々の従業員のセキュリティ責任の下でセキュリティ保護を実行する形に変更する代わりに、従来のようなセキュリティの禁止事項や制限を極力なくしていく、というアプローチです。DXの推進では、業務プロセスの中で従業員が自ら積極的にセキュリティの実践に関わることが多くの場面で求められるようになっているため、DX時代のセキュリティとして、PCSが改めて注目されています。
PCSのセキュリティの実践に当たっては、IT/セキュリティ部門にも事業部門にも、新たな姿勢が求められます。IT/セキュリティ部門は、従業員のデジタル環境や業務プロセスを理解した上でセキュリティ・ルールを作る必要があります。一方、従業員は、セキュリティに無関心な姿勢を貫くのではなく、「自由で柔軟な業務環境を維持するために、自分たちにはセキュリティに対する大きな責任がある」というように、認識を改める必要があります。それには、セキュリティ/リスク・マネジメント (SRM) リーダーは、従業員のセキュリティ意識向上に向けた取り組みを「全社レベルの取り組み」として、社内の体制作りや新しい戦略の策定を進めることが重要です。
セキュリティ・リテラシーの向上にはITリテラシーの向上が大前提
本調査では、「従業員のセキュリティ意識の改善に必要なことは何か」についても尋ねました。その結果、回答が最も多かったものは、「ITリテラシーの向上」でした (図2参照)。
図2. 従業員のセキュリティ意識改善に必要なこと
出典:Gartner (2023年8月)
本結果からは、多くの国内企業でセキュリティ・リテラシー向上の活動とITリテラシーとの相関を重視しているという姿勢が読み取れます。
デジタル・ワークプレースやエンドポイント環境の急激な変化の中で、企業はマルウェア対策、脆弱性対策、データ保護などさまざまな対策を講じてきました。一方で、従業員自身の「顧客を守る」「自社ブランドを守る」「顧客の信頼を裏切らない」といった情報に対する意識や、情報を守るためのリテラシーが高くないと、せっかくの対策も効果が半減し、宝の持ち腐れになりかねません。実際に、多くのセキュリティ・インシデントは従業員自身のITリテラシーや意識の低さが原因となっていることが多く、ITリテラシーとセキュリティ・リテラシーは連動しています。
ディレクター アナリストの針生 恵理は次のように述べています。「セキュリティ・リテラシーを向上させるには、その基本となる従業員自身の意識やITリテラシーの向上が必須です。よって、セキュリティ・アウェアネス・プログラムの策定においては、ITリテラシーとセキュリティ・リテラシーの向上プログラムが分断されることなく、同期を取り相互に連動するような、より効果的な取り組みを目指すことが肝要です」
セキュリティ・ルールは従業員の毎日の業務に密接に関わるため、面倒なものや矛盾するようなものなど、従業員が感じるわずかな摩擦がセキュリティに対する大きな嫌悪感を生むという点を十分に認識しておくことが重要です。IT/セキュリティ部門と事業部門の距離が離れていては、どういった点に摩擦があって従業員のセキュリティへの積極関与が進まないのか、本当の理由は見えてきません。
矢野は次のように述べています。「IT/セキュリティ部門と事業部門の関係性について、これまでのようなセキュリティ・ルールを『守らせる側』と『守る側』のような画一的な対立関係から早々に脱却する必要があります。そして、『セキュリティ・ルールが現実的なものなのか』『守られない原因は何か』について、現場の声を拾い上げながら評価と検証を繰り返すことができるよう、部門をまたいだ協働体制を強化し、維持していくことも重要です」
Gartnerのサービスをご利用のお客様は、リサーチノート「セキュリティ意識向上:戦略的な取り組みのために押さえておくべきポイント」で詳細をご覧いただけます。
日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products
2023年におけるセキュリティ/リスク・マネジメントのリーダーの最優先課題については、eBook「2023年のリーダーシップ・ビジョン:セキュリティ/リスク・マネジメント」でご覧いただけます。
ガートナー デジタル・ワークプレース サミットについて
2023年8月29~30日に東京コンファレンスセンター・品川にて開催するガートナー デジタル・ワークプレース サミットでは、組織が働き方を変えてハイブリッド&フレキシブル・ワークにおいて成功を収めるために押さえておくべき最重要課題、最新トレンド、テクノロジに関する知見を提供します。本プレスリリースに関連する内容は前出の矢野が「未来の働き方のセキュリティ」(8月29日、16:00~16:30) と題した講演で解説します。コンファレンスのニュースと最新情報は、X (旧Twitter) でご覧いただけます (#GartnerDW)。
日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。より詳細な情報や知見については、ニュースルームよりご参照ください。
Gartner, Inc. (NYSE: IT) は、お客様のミッション・クリティカルな課題について、より優れた意思決定と大きな成果へと導く実行可能かつ客観的な知見を提供します。詳細については下記Webサイトでご覧いただけます。
gartner.co.jp (ガートナージャパン)
ガートナージャパン株式会社 広報室 白谷 祐加
gartnerjp.press@gartner.com