B2B インターナショナルの調査によると、企業の大多数は、従業員向けの IT セキュリティ・トレーニングに関して、外部の IT コンサルタントを雇ったり、人事部や人材開発部に IT セキュリティの専門家を委託したりするよりも、自社のテクニカル・サポート部門を希望しています。調査によると、従業員に対する効果的なITセキュリティ・トレーニングは、サイバー脅威から身を守る戦略の重要な一部です。過去12カ月間の社内セキュリティ・インシデントの平均は、5件中4件が従業員の行動に直接関連していました。
- 調査対象企業の32%が機密データの漏えいを経験
- 調査対象企業の30%が、従業員が重要な企業データを保存したモバイルデバイスを紛失したことを認めています。
- 19%の企業が、従業員による故意のデータ漏洩を経験しています。
- 企業の18%が、モバイル機器の不適切な使用によって機密データが悪用されたセキュリティ・インシデントに対処しています。
組織の従業員による過失が、重大なデータ漏えいやITセキュリティ・インシデントの高い割合を引き起こしていることは、調査によって繰り返し明らかになっています。この課題に対処するための重要な対策は、エンドユーザーがITセキュリティ・リスクを十分に認識し、その回避方法を知っておくことです。このことは、組織の従業員に対するITセキュリティ教育の重要性を明確に示しています。ここで問題となるのは、組織の従業員に対する教育を誰に任せるかです。
B2B インターナショナルの調査によると、ほとんどの組織では、IT 部門の主な職務ではないにもかかわらず、組織の IT 部門がスタッフに IT セキュリティのトレーニングを行うべきだと考えています。しかし、このような追加的な作業負荷は、IT部門のパフォーマンスに影響します。調査対象組織は、IT部門には他にもっと重要な仕事があり、組織のスタッフをトレーニングする時間がないことが多いと指摘しています。このことがトレーニングの質に悪影響を及ぼすことは明らかです。一方、サードパーティの IT コンサルティング組織に依頼すれば、より良い結果を得ることができます。しかし、このような手段をとったことがあると答えた企業は、調査対象のわずか12%にすぎませんでした。
調査に参加した組織の 8 パーセントは、人事部門が従業員に対して IT セキュリティトレーニングを実施することを選択しました。また、同程度の数の組織が、このタスクをスタッフの研修・開発部門に委任しています。この業務を外部の企業研修サービスに委託する企業は、調査対象企業の約 3 パーセントでした。例えば、社内の IT セキュリティ部門にトレーニングを委託する企業の割合が最も高い国は、主に中東、日本、北米です。従業員の IT セキュリティトレーニングを外部の IT コンサルタントに依頼する企業は、主に南米とアジア太平洋地域にあります。
全体として、大多数の企業が IT セキュリティに関する社員教育の重要性を認識しています。しかし、企業のトレーニングの質には疑問が残ります。結局のところ、サイバー脅威に対する従業員の意識は、企業のITセキュリティ戦略の実施に直接的な影響を及ぼし、最終的にはサイバー脅威に対する企業の防御能力に影響を及ぼします。現在、企業のITセキュリティポリシーの実施度は比較的低く、調査対象企業の約39%は、従業員が企業のITセキュリティポリシーに厳格に従っていないと回答しています。
