「セキュリティ教育は必要だと思いますか」――話を始める前に、まずこの問い掛けをしてみたいと思います。
おそらく、ほとんどの読者は「必要だ」と回答されるでしょう。しかし、「なぜ必要か？」とさらに問われると、「当たり前」とか「なんとなく」など途端に歯切れが悪くなってしまいがちだと思います。
ここで意見が分かれる背景には、「教育」という言葉に対する認識の違いがあります。教育と似た言葉に「研修」や「学習」、「訓練」などがありますが、これらは似て非なる言葉です。言葉の定義にはさまざま考え方がありますが、一般的なイメージとして研修や学習、訓練などは、特定の知識や技能の向上を目的としてある程度期間を定めて実施するものと受け取られるでしょう。これに対し、教育は特定の知識や技能を明確に定めるわけではなく、ある物事に関して正しい判断ができるための考え方や判断基準を浸透させていくためのもので、期間も一定期間に限定されることなく継続していくものと捉えられていると思われます。

管理の複雑化が大きな要因であるという理由には、同じくJNSA発表の報告書で[個人情報漏えいインシデント・トップ10の発生原因のうち、8件が「管理ミス」であり、残りの2つは「不正アクセス」と「内部犯罪・内部不正行為」です。つまり、情報漏えいの発生を防ぐには、いかに情報資産に対する管理上のミスや不備をなくすかが、大きなポイントになるのです。

情報セキュリティ教育をおろそかにする弊害 (2/3) - ITmedia エンタープライズ

従業員や組織、プロセスの面で見るとどうなるでしょうか。従業員の情報セキュリティ意識というのは当然ながら一朝一夕でガラッと変わるものではないですし、企業文化としての情報セキュリティに対する考え方や雰囲気というのもすぐに変わるものではありません。しかし、従業員は成長し、それに伴って組織全体の雰囲気も変わります。プロセスもPDCAサイクルに基づいて改善を続ければ、徐々に良くなり、定期的な見直しの中で環境の変化を取り込むこともできます。つまり、PeopleやProcessの面でのセキュリティ対策への投資は、長期的に見れば非常に効果の高いものとなり得ます。

情報漏えい対策では3要素が個々に偏り過ぎることがなく、バランスよく投資していくことが必要だと言えるでしょう。その1つの要素であるPeopleに含まれるセキュリティ教育が情報セキュリティ対策全体から見て非常に重要な位置付けとなります。

情報セキュリティ教育をおろそかにする弊害 (3/3) - ITmedia エンタープライズ