セキュリティの
学び場

今回の解説ニュース

セキュリティに関する意識調査の結果について発表されています。セキュリティ意識が上がらない理由や、そのような状況で求められる取り組みについて説明します。

今回の調査は、全国の全16業種の経営者を含む有職者300名を対象に、業種別のセキュリティ意識格差を明らかにしました。同調査によると、セキュリティ意識が一定水準未満と捉えられる業種は約8割の13業種に上り、特に最下位である宿泊業・飲食サービス業は、消費者の情報を取り扱う機会が多く、サイバー攻撃による宿泊者情報等の漏えいなどの事態に発展する懸念もあるため、企業と従業員のセキュリティ意識改革と従業員の研修などが早急に求められると指摘しています。

また、「セキュリティ意識に問題がある理由」では、「社員のセキュリティ意識が充分でないから」という理由が挙げられ、社員のセキュリティ意識の低さがセキュリティ対策への不安感にもつながることが明らかになったということです。

なぜ「セキュリティ意識を高めるべき業種」ほどその意識が低いのか？

セキュリティ意識が低い理由として、保持している情報資産に対して、脆弱性と脅威を特定できていないため、セキュリティリスクを正しく認識できていないことが考えられます。

例えば、Aさんが、中身を知らない箱を預かったとします。その箱がどのような構造をしているかも、誰がその中身を狙っているかも分からないAさんにとって、その箱を預かるリスクを正しく把握することは難しいかもしれません。つまり、Aさんは「この箱を狙う人なんて存在しないだろう」という発想を持ってしまうことも考えられます。

同様に、保持している情報資産に対して、それを保存しているシステムの脆弱性が何かを知ることができず、その情報資産を狙うマルウェアや攻撃者についてもわからない状態であれば、セキュリティリスクが顕在化するか否かの具体的なイメージを持つことは難しいと考えられます。

つまり、顧客情報を大量に保持していても、セキュリティ意識を高める機会がないとも言うことができます。

様々な業種の企業セキュリティ意識を上げるには

セキュリティ意識を是正すること以上に、セキュリティ意識に依存しないセキュリティ対策の標準化と仕組化が必要です。また、すべての人が一歩踏み出せるように、セキュリティ対策は簡単かつシンプルである必要があります。

先ほどのたとえの続きとして、Aさんに対して、箱が持ち出せる脆弱性や、泥棒が存在するという脅威を伝えたとします。その話を聞いて、セキュリティエンジニアであるAさんは、盗難のリスクを正しく理解できるかもしれませんが、意識の向上が属人的である以上は、教育だけですべての人がセキュリティ意識を高められるとは限りません。

属人的にセキュリティ意識へ依存しないセキュリティ対策をするためには、標準化と仕組化が必要です。過去に何度も触れてきた標準化と仕組化ですが、さらに踏み込むと、そのセキュリティ対策が簡単かつシンプルである必要があります。

仮に、セキュリティ対策が面倒で複雑であった場合、多くの人がセキュリティに対してネガティブな感情を持つことになります。場合によっては、そのセキュリティ対策を無効にしようとする人も現れるかもしれません。よって、すべての人が一歩踏み出せるように、セキュリティ対策は簡単かつシンプルであることが求められます。

今回は、セキュリティ意識が上がらない理由や、そのような状況で求められる取り組みについてお届けしました。