サイバーセキュリティプラットフォームベンダーのKnowBe4 JAPANは1月21日、サイバーセキュリティに関する調査レポート「日本のヒューマンリスクの現状:AI時代における『人』を守る新しいパラダイム」を公開した。
調査は、2025年8月から9月にかけて、世界各国のサイバーセキュリティリーダー700人およびセキュリティの責任を持たない一般従業員3500人を対象に実施。同レポートは、そのうち日本国内で勤務するサイバーセキュリティリーダー50人と一般従業員250人のデータを抽出・集計した結果に基づく。
このレポートでは、日本の国内のセキュリティインシデントにおいて「従業員の懲戒処分」が一般的な対応となっており、偶発的なミスであっても半数近くが処分の対象となる現状が示された。
調査によると日本のサイバーセキュリティリーダーの94%が、過去1年間に「人」に起因するセキュリティインシデントが増加したと回答。インシデントの結果としては「従業員の懲戒処分」が最多であり、「ブランドイメージの低下」や「規制当局による処罰」などの回答を上回った。
外部からの攻撃に起因するインシデントの51%で懲戒処分が実施されているだけでなく、従業員の偶発的なミスが原因でも49%で懲戒処分が行われていた。
その一方で、こうした対応方針は従業員が求める姿勢とはかけ離れていると指摘。偶発的なインシデントに対して「正式な懲戒処分が必要」と考える従業員はわずか10%、「解雇されるべき」と考える従業員は5%にとどまった。また、従業員の57%は「対象別のトレーニングやサポート」を要望しているほか、18%が「特定のシステムへのアクセス制限」など、処罰ではなく実務的な対応を求める傾向がみられた。
人的セキュリティ確保の難しさについては、セキュリティリーダーの96%が「人」を要因とするインシデントへの対策に課題を感じており、そのうちの36%はリスクへの対応がインシデント発生後になる「事後対応型」のアプローチを問題視していた。
また、セキュリティリーダーの72%が過去1年間において電子メール関連のインシデントが増加したと回答。AIアプリケーション(49%)やディープフェイク(24%)に関連する事案も目立ち、攻撃方法の多様化が浮き彫りとなった。
自社のデータ保護について「従業員全員が責任を負うべき」と考えている従業員が21%にとどまる一方で、49%が「IT・セキュリティチームの責任」、15%が「上級管理職の責任」と回答した。セキュリティの責任は特定の部署や役職者が担うものという認識が顕在化した。
ヒューマンリスクマネジメント(HRM)の確立が遅れているという現状も明らかになった。日本においてHRMが「確立されている」と回答した組織はわずか8%であり、グローバル平均(16%)の半分という結果だった。従業員のリスクを有効に可視化できている組織も29%に過ぎず、ヒューマンリスクへの構造的な対応はいまだに限定的といえる。
この結果を受けて、KnowBe4 JAPAN執行者社長の力一浩氏は「今後、AI等の新技術を活用する上では、小さなミスを責めるのではなく、そこから得た気づきを組織の知恵として共有する『セキュリティ文化』の形成が不可欠だ。罰による管理から、一人一人の行動と意識を変容させる文化への転換こそが、真に強靱(きょうじん)な防御態勢を築く鍵となる」とコメントしている。
