正直一般ユーザーの意識って、このようなものではないでしょうか。

セキュリティ意識の低い社員が企業を危険にさらしている

その通りです。教育は必要。意識付けですね。＞ポリシーで謡っても

守らなければ、ポリシーはただの紙ですよね。

「添付ファイルを開くことやいかがわしいサイトを閲覧することにどのようなリスクがあるのかを社員に教育することは企業の責任である」（Cluley氏）