【1,000名調査】セキュリティ教育を受けても「行動が変わらない」一般社員が約5割。経営層のインシデント経験率は一般社員の約1.7倍に
不審メールに気付いても報告しない一般社員が約25%。セキュリティ上の報告を阻む最大の障壁は、運用上の『面倒さ』だった
セキュリティ教育クラウド「セキュリオ」を提供するLRM株式会社本社(本社:兵庫県神戸市、代表取締役:幸松哲也)は、全国の企業に勤めるビジネスパーソン約1,000名を対象に「企業の情報セキュリティ教育に関する調査」を実施しました。
調査の結果、経営層(役員クラス以上)のセキュリティインシデント経験率が一般社員を大きく上回る実態や、セキュリティ教育が実際の行動変容に結びついていない実態が明らかになりました。
■調査結果のハイライト
-
経営層のセキュリティインシデント/ヒヤリハット経験率は42.9%に達し、一般社員(25.6%)の約1.7倍に。
-
不審メールを受信した際に組織に報告しない最大の理由は「面倒(31.8%)」。経営層は、多忙ゆえの「時間不足」や攻撃の巧妙化に伴う「判断基準の欠如」が障壁に。
-
セキュリティ教育受講者の57.0%が「行動は変わっていない」と回答。
-
受講者が求めるセキュリティ教育形式は「自組織に関連する具体的な事例(34.6%)」や「体験型教育(33.5%)」が上位。「自分ごと化」できる実践型教育への期待。
■調査結果詳細
1.職位が上がるほど高まる「自信」と「インシデント経験率」。経営層のセキュリティインシデント経験率は一般社員の1.7倍に
本調査の結果、職位が上がるほどセキュリティ知識への自信が高まる傾向にある一方で、実際のセキュリティインシデント経験率もそれに比例して上昇するという実態が明らかになりました。
自身のセキュリティ知識について「高い(非常に高い+まあ高い)」と答えた割合は経営層で65.0%(全体平均:44.1%)に達しました。
また、経営層の不審メールを見抜く自信についても74.0%(非常に自信あり+ある程度自信あり)と、管理職(54.7%)や一般社員(50.4%)と比較して突出した数値を示しました。
しかし、実際のセキュリティインシデント・ヒヤリハット経験率は経営層が42.9%と、一般社員(25.6%)の約1.7倍にのぼります。高いリテラシーを自認している一方で、事故やヒヤリハットの経験率も高いという結果になりました。
2.「わかっていても報告しない」層が約半数。報告しない理由は「面倒」
不審メールを受信した経験がある層(全体の68.0%)に対し、その後の対応を調査したところ、「常に報告している」と回答した人は全体で53.1%に留まりました。
職位別で見ると、「常に報告している」と回答した人は、経営層(66.1%)に対し、一般社員(49.1%)では半数以下となっており、現場に近い層ほど報告が滞る傾向が見られました。
不審メールを報告しない理由は、全体で「面倒(31.8%)」が最多、次点が「リスクを感じていない(26.4%)」ですが、職位別では課題が異なります。
まず、一般社員は、「面倒(40.4%)」または「リスクを感じていない(29.8%)」と回答した人の割合が、全体の割合を上回っています。
一方で、経営層においては、報告を行わない層がごくわずか(10.7%)であるものの、その要因としては特有の傾向が見られました。
具体的には「判断方法がわからない(33.3%)」や、多忙ゆえか「時間がない(33.3%)」が挙げられ、「面倒」「リスクを感じていない」と回答した人はいませんでした。
3.セキュリティ教育を受けても5割以上が「行動が変わらない」
セキュリティ教育後の変化として、全体の41.6%が「知識はついたが行動は変わっていない」と回答しました。さらに「何も変わっていない(15.4%)」を合わせると、全体で57.0%に上り、半数以上が行動変容に至っていない実態が浮き彫りとなりました。
特にこの傾向は一般社員において顕著で、「行動が変わった」と回答した割合は37.3%に留まり、経営層(62.3%)と大きな開きが見られます。また、一般社員の約5人に1人(19.1%)が「何も変わっていない」と回答しており、これは経営層の約3倍に達します。
受講する側が求めているセキュリティ教育の形式を調査したところ、「自組織の業界や職種に関連する具体的な事例(34.6%)」や「実際のサイバー攻撃を模した体験型教育(33.5%)」が上位を占めました。職位を問わず、定型的な座学ではなく、実践に即したインパクトのある教育設計が行動を変える鍵であると言えるかもしれません。
■2026年、実践型教育と報告の仕組み化による行動変容の実現が求められる
今回の調査により、経営層と一般社員の意識の乖離や、セキュリティ教育による行動変容の実態が可視化されました。
2026年、生成AIによる巧妙なサイバー攻撃が日常化する中では、単なる知識提供に留まらず、個々の職種に最適化された実践的な教育を提供し、セキュリティ文化を醸成すること。そして、不審メール等の報告における負荷を下げる仕組みを導入し無意識レベルでの「行動変容」を促すことが、組織全体のセキュリティリテラシーを高める鍵となります。
■調査概要
調査対象:全国の20歳〜69歳の男女(会社経営者・役員・正社員・公務員)
有効回答数:1000サンプル(職位別分析は経営層・管理職・一般社員の987名を対象)
調査期間:2025年12月22日〜12月23日
調査方法:インターネット調査
■セキュリオについて
「セキュリオ」は、セキュリティ教育をだれでもかんたんに行うことができるクラウドサービスです。
「標的型攻撃メール訓練」でセキュリティへの関心を引き、「eラーニング」で知識を習得し、「セキュリティアウェアネス」で日々の習慣に取り込んでもらうといった複数機能のサイクルを回すことで、従業員の行動変容を促すことができます。
セキュリオサービスサイト:https://www.lrm.jp/securio/
LRMについて
「Security Diet®」を企業理念に、情報セキュリティに関するプロの知見を提供するとともに、意識の向上から人や組織の行動変容を促すことで、持続可能な情報セキュリティ体制構築と企業価値向上に貢献します。
2,200社を超える導入実績があるセキュリティ教育クラウド「セキュリオ」事業、ならびに年間580社(※)・19年以上の支援実績がある情報セキュリティコンサルティング事業を展開し、日本で一番身近な情報セキュリティ会社となるために日々活動しています。
※ 2023年8月1日~2024年7月31日のコンサルティング支援社数
会社名:LRM株式会社
本社 :兵庫県神⼾市中央区栄町通1-2-10 読売神⼾ビル5F
代表者:代表取締役 幸松哲也
設⽴ :2006年12⽉
公式サイト :https://www.lrm.jp/
事業 :セキュリティ教育クラウド「セキュリオ」の開発提供、情報セキュリティコンサルティング支援
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
