セキュリティ意識が低いとはどのような状態で、どのような影響を及ぼすのでしょうか。
ビジネスにおいてはセキュリティ意識が低いとさまざまなリスクやトラブルが発生してしまうことになりますし、デジタル化された中では情報セキュリティへの意識も必要です。
セキュリティ意識が低い原因やセキュリティ意識が低いことで起こりうる危機や対策法について考えていきましょう。
資料ダウンロード

機能や料金、解決できる課題までわかる資料を、無料でダウンロード!
お申込みはこちら

こちらからお申し込みで、セキュアSAMBAの機能を無料でお試し可能!
セキュリティ意識が低い原因とは
まずはセキュリティ意識が低い原因について、考えていきましょう。
重要な情報を扱っている自覚がない
企業に重要な情報を扱っている自覚が無ければ、セキュリティ意識を高めることは難しいです。
2022年に行われたサイバーセキュリティ株式会社の調査「サイバーセキュリティに関する意識調査」では、通信業や情報サービス業、金融業・保険業は一定水準以上のサイバー防御力を持っているという結果が出ました。
一方で宿泊業・飲食サービス業のセキュリティ意識は最下位となりました。
情報や金融業では、もともと主要な商品の価値が高いため「重要な情報を扱っている」という意識を持っていると考えられます。
一方で宿泊業・飲食サービス業の主な商品は宿泊施設や食べ物であり、1つ1つの単価はそれほど高くない場合も多いでしょう。
そのため、自分たちがサイバー攻撃を受けるような価値のある情報を持っているという自覚に乏しいのかもしれません。
しかし、サービス業は、予約時などに顧客の個人情報を預かる機会が多い業種でもあります。
サイバー犯罪の的になるような情報を扱っているという自覚を業界全体が持つ必要があるでしょう。
システムの危うさに気が付かない
システムの危うさに気が付かないことは、セキュリティ意識が低い原因になりえます。
ITツールやサービスのセキュリティは完全な状態でリリースされているわけではありません。
普段使っているパソコンやスマートフォンにも、セキュリティ上の穴が潜んでいることは往々にしてあります。
この穴をふさぐためにはシステムのアップデートやセキュリティソフトの活用が必須ですが、システムが問題なく起動しているうちは危機感を持ちにくいという人は多いのではないでしょうか。
このような状態では、セキュリティ対策への意識も低下してしまうでしょう。
ウイルスの侵入や乗っ取りに対する知見がない
セキュリティ意識が低いのは、サイバーセキュリティに対する知見がないからでもあります。
ウイルスの侵入やシステムの乗っ取りにはある程度きまったパターンがあります。
例えば、パスワードの使いまわしはセキュリティ上非常に危険な行為として知られています。
しかし、ウイルスの侵入や乗っ取りがどうして起きるのか事例を知らない場合は、このような危険な行動を回避できません。
テレワークによる管理の難しさ
コロナ禍を契機に、テレワークを導入する企業は増加しましたが、社外のセキュリティ整備や管理に課題や難しさを感じている場合もあります。
会社にはセキュリティ対策が行き届いたツールを設置していても、テレワーク中のセキュリティ対策が社員任せになっていれば管理ができているとは言えません。
テレワークを適切に行うためには、社外でのセキュリティ意識にも配慮する必要があるでしょう。
セキュリティ対策の費用対効果が分かりにくい
セキュリティ対策は費用対効果がわかりづらいため、コストをかけにくいという側面もあります。
セキュリティ対策しなくても、ウイルスに感染しない限り通常のシステム運用には問題がありません。
そのため費用対効果が実感しづらく、導入のモチベーションが社内で高まらないのです。
しかし、これは「日常生活が問題なく過ごせているから災害対策にお金をかけない」というのと同じく非常に危険な状況です。
平時の避難訓練が重要なのと同様、いざというときのためにセキュリティ対策をすることは非常に大事なのです。
経営層や上層部のセキュリティ意識が低いから
組織上部層のセキュリティ意識が低ければ、会社全体のセキュリティ意識が向上するのは難しいものです。
2017年に行われたトレンドマイクロ社の調査「法人組織におけるセキュリティ実態調査 2017年版」の結果では、経営層・上層部のセキュリティ意識が低い業種ほど対策レベルも低いという結果が浮き彫りになっています。
セキュリティ対策に関して社員個々人が対策するには限界があります。
一時的にうまくいっても属人的な対策となれば、人員の移動などですぐに崩壊してしまいます。
一貫したセキュリティのルール作りを行うには、陣頭指揮を執ってくれる経営層・上層部の力が必要です。
セキュリティ意識が低いことが招くリスク
セキュリティ意識が低いことで起きる問題を認識できれば、セキュリティ対策の重要性がわかります。
セキュリティ意識が低いことで招く可能性があるリスクについてみていきましょう。
機密情報、顧客情報の漏えい
機密情報や顧客情報の漏えいは、セキュリティ意識が低いことで起こりうるリスクです。
情報漏洩が起こる原因として非常に多いのが、ウイルス感染や不正アクセスによるものです。
パソコンにセキュリティ対策ソフトをインストールしていなかったり、ソフトの更新をしていなかったりすると、ウイルス感染・不正アクセスのリスクは大きくなります。
また、誤送信や紛失などのヒューマンエラーによる情報漏洩も起こっています。
情報漏洩は、それぞれの原因に対する具体的な対策方法を取ることで発生率を抑えなくてはなりません。
しかし、企業内のセキュリティ意識が低いと対策が不十分なまま終わってしまうのではないでしょうか。
パソコンの乗っ取り
セキュリティ意識が低いと、パソコンが乗っ取られ気が付かないうちに犯罪の片棒を担がされる危険性があります。
パソコンを乗っ取るウイルスとして有名なのが、ボットウイルスです。
なりすましメールや掲示板などを感染経路とし、インターネットを経由して拡散していくのが特徴です。
ボットウイルスに感染したパソコンは、第三者に操作されてしまいます。
不正メールの送信やアカウントの盗難などの犯罪行為に社内のパソコンが利用されれば、加害者側になってしまう危険性も出てきます。
金銭的被害の発生
セキュリティ意識が低いと、金銭的被害が発生する危険性も高くなります。
ランサムウェアによる身代金の搾取はその一例です。
ランサムウェアは入り込んだパソコン内の情報を暗号化してしまうウイルスです。
ウイルスの送り手は暗号化解除のために多額の金銭(身代金)を要求してくるため、暗号化された情報が重要な物であればあるほど身代金を払う必要に迫られるでしょう。
しかし、身代金を払ったところで、ウイルスの送り手が約束通り暗号を解除してくれるという保証もありません。
他にもオンライン取引の最中にクレジットカードの番号を盗まれたり、セキュリティ問題によって顧客への賠償金が発生したりする可能性も考えられます。
セキュリティ意識が低いと、様々な金銭的被害の危険にさらされることになるでしょう。
社会的・顧客からの信用低下
セキュリティ意識が低い中で情報流失や乗っ取りなどが起きると、社会的信頼が失墜してしまうでしょう。
一度事件が起これば、顧客にとって「安全でない企業」というマイナスイメージで見られることは避けられません。
結果的に売り上げが落ち込んだり、取引を打ち切られる危険があります。
セキュリティ問題が露呈したときの企業のダメージは非常に大きなものです。
セキュリティ対策の費用対効果は見えにくいものですが、目先のコストに惑わされないことが大事です。
長期的に見れば、セキュリティ対策をしっかり行ったほうが企業の利益につながるでしょう。
生産性や業務効率の低下
セキュリティ問題が起きれば、サービスの復旧までに膨大な時間がかかる可能性があります。
サービスの復旧にかかる時間は非生産的な時間といえます。
新しいものを生み出すのではなく、マイナスを0に戻すために消費されるからです。
ひとたびセキュリティ問題が起きれば、総動員で対策に当たらなくてはならないかもしれません。
このような状況は通常業務の足を引っ張り、生産性と業務効率を低下させるでしょう。
セキュリティ意識が低い状態を改善するには
セキュリティ意識が低いことでリスクが高まります。
会社として、セキュリティ意識が低い状態を改善する方法を考えていきましょう。
情報セキュリティポリシーを作成する
まず、会社の情報セキュリティーポリシーを作成しましょう。
情報セキュリティポリシーとは、簡単に言えばその会社でどのような情報セキュリティ対策を行うのかを決めた計画集やルールブックのようなものです。
情報セキュリティポリシーの内容は、通常「基本方針」「対策基準」「実施手順」に分かれています。
「基本方針」は情報セキュリティ対策の方針を組織トップが宣言する部分です。
社内だけでなく社外の利害関係者に対する宣言でもあり、会社がセキュリティ対策に真摯に取り組んでいることを示す効果があります。
「対策基準」は「基本方針」で定めた目標に到達するためにどのようなセキュリティ対策をとるのかを定めた一般的な既定です。
「実施手段」は個別具体的な情報セキュリティの手順書で、各部門によって内容が異なります。
情報セキュリティポリシーは、策定過程において社員同士が情報セキュリティについて話しあうため、社内のセキュリティ意識を高めるきっかけ作りとしても有意義です。
BYODガイドラインの作成
BYODは「Bring Your Own Device」の略称で、私用の端末を仕事に使用することを表しています。
自宅のITツールをそのまま仕事に利用できるため、リモートワークでの親和性は高いですが、同時にセキュリティリスクも高くなります。
私用の端末のセキュリティ対策のレベルは使用者によって差がありますし、プライベートで閲覧していたWebページからウイルス感染する危険性もあるからです。
BYODを認めるなら、ガイドラインの作成が必要になってきます。
例えばどのような業務範囲でどの端末を使うのかを決定する、業務に使用する端末を登録制にするなど会社側が個人端末の使用状況を把握できるルール作りを心がけましょう。
セキュリティソフトの費用を会社が負担するなど、セキュリティ対策を社員任せにしない制度作りも大事です。
社内アカウントを適切に管理する
社内アカウントの管理を適切に行うことは、セキュリティ対策の1つとしてとても重要です。
社内アカウントの管理とは、各ファイルやシステムへのアクセスコントロールを行うことと言えます。
部署や役職によって、仕事に必要なファイルやシステムは異なります。
不必要なファイルやシステムにアクセスさせないことは、社員による情報の盗難やヒューマンエラー(誤送信やデータ紛失)への対策になります。
また、社外からのアクセスを防御するためにも退職者のアカウントは速やかに抹消しましょう。
セキュリティを意識した契約書を作成する
取引先や外注先との契約書に、情報漏洩関連の項目を盛り込むことも考えてください。
取引先や外注先の具体的なセキュリティ対策については知ることができませんし、社内で厳重に管理している情報を同じように大事に扱ってくれるという保証もありません。
そこで、契約書に機密情報の取り扱いやセキュリティ事故が起きたときの責任範囲を明記し、予防線を張りましょう。
セキュリティを意識した項目を盛り込むことで万が一の事態に備えることができるだけでなく、取引先や外注先にセキュリティ意識を持ってもらいやすくなります。
セキュリティ対策機能が充実したツールを使用する
セキュリティ対策が充実したツールを使用して、日常業務の危機管理をする方法もあります。
例えば、オンラインストレージはアクセス権を設定できたり、編集履歴を確認できるというメリットがあります。
不審な第三者からのアクセスや書き換えを感知しやすく、重要なファイルを守るために有効なツールと言えるでしょう。
なおセキュリティ強化が目的なら、無料の物ではなく企業向けの有料オンラインストレージを導入しましょう。
外部のプロにセキュリティ対策を依頼する
これまでセキュリティ意識が低かった社内で、セキュリティ対策を任せられる人材が見つからない場合もあります。
社内で十分な情報セキュリティ対策ができない場合は、外部のプロにセキュリティ対策を依頼することも考えてください。
例えば、中小企業なら「サイバーセキュリティお助け隊サービス」という制度を利用できます。
セキュリティ意識が低い社員への対策
組織全体としてセキュリティ意識を高めても、セキュリティ意識が低い社員が残っていると対策は不完全になってしまいます。
セキュリティ意識が低い社員への対策方法を見ていきましょう。
セキュリティ研修の実施
セキュリティ研修は、セキュリティ対策の基礎知識を広く周知するために必要なものです。
とはいえ、抽象的なセキュリティの話ばかりをしてもなかなか社員の頭には入らないものです。
セキュリティ研修の時間を有意義にするには、実際に起こったセキュリティ問題の事例や原因となった社員の行動を具体的に伝えていくようにしましょう。
セキュリティトレーニング・テストの実施
セキュリティトレーニング・テストを実施して、社員にセキュリティ知識が身についているかどうかを測る方法もあります。
受け身的な研修よりも達成度が見えやすいため、社員自身にとっても自分の立ち位置が分かりやすくなるのではないでしょうか。
社員がやる気になるような仕組み作りも大事です。
スコアの競争を促進したり、成績上位者にはプレゼントを用意するなど、社員が積極的にテストに取り組みたいと思えるようにしましょう。
セキュリティ対策をシンプルにする
セキュリティ対策として具体的なマニュアルを作る際は、出来るだけシンプルで易しいやり方を採用しましょう。
複雑で難しいセキュリティ対策だと、やるのが面倒だという社員が出てくる危険性があるからです。
利便性を求めた社員は企業側が把握できないような私的なITツールを使って仕事を進めてしまうかもしれません。
このような隠れたITツールの使用は、シャドーITと呼ばれ問題視されています。
ITスキルの低い社員でも実行でき、業務効率を低下させないようなシンプルなセキュリティ対策を作成しましょう。
人事評価に反映させる
セキュリティ対策を人事評価へ反映させ、やる気を出してもらうという手もあります。
人事評価に関係があるとなれば、セキュリティ対策に対して真剣に取り組もうとする社員も増えるのではないでしょうか。
組織全体のセキュリティ意識向上のためにも、人事評価を適切に活用してみてください。
セキュリティ意識の向上にセキュアSAMBA
セキュリティ意識が低いと数多くのリスクにさらされることになります。
自社に合ったセキュリティ意識の対策方法を選択し、早急な改善を目指しましょう。
セキュリティ機能が充実したツールを使用するのもセキュリティ対策の一環です。
セキュアSAMBAは、詳細なアクセス制限、暗号化、端末認証、誤送信対策などさまざまなセキュリティ機能を備えた純国産のオンラインストレージです。
セキュリティ意識の向上のために、無料から使えるセキュアSAMBAの導入をご検討ください。