2026年1月21日、サイバーセキュリティプラットフォームベンダーのKnowBe4は、最新調査レポート「日本のヒューマンリスクの現状:AI時代における『人』を守る新しいパラダイム」を公表した。本レポートは、サイバーセキュリティリーダー50名と一般従業員250名を対象に2025年8月から9月にかけて調査した内容をもとにしている。
調査によると、日本国内のサイバーセキュリティリーダーの94%が、過去1年間で「人」に起因するセキュリティインシデントが増えたと回答した。インシデント後の対応としては、「従業員の懲戒処分」が最も多い対策となっており、外部攻撃による事案の51%、偶発的なミスによる事案の49%で懲戒処分が行われている。ブランドイメージの低下や規制当局による処罰よりも、懲戒処分が一般化している状況が明らかになった。
ただし、こうした懲戒中心の対応について、従業員側と経営側の意識には大きな乖離がみられる。偶発的なインシデントに対し「正式な懲戒処分が必要」と考える従業員は10%、「解雇されるべき」と考える従業員は5%にとどまった。一方で、ミスを責めるのではなく「トレーニングやサポート」を求める従業員が57%にのぼり、18%は「特定システムへのアクセス制限」など実務対応を求めている。調査は、ミスから学ぶ文化への転換が望まれているとしている。
また、セキュリティリーダーの96%が「人」を要因とするインシデント対応に課題を感じており、36%は「事後対応型」のアプローチが主流になってしまっている点を懸念している。脅威ベクトルにも変化が見られ、過去1年間でEメール関連のインシデントが72%増加し、AIアプリケーション(49%)、ディープフェイク(24%)に関する事案も増加傾向にある。
「自社データ保護について従業員全員が責任を負うべき」と考える従業員は21%のみで、多くがIT・セキュリティ部門(49%)や上級管理職(15%)が担うと認識していた。HRM(ヒューマンリスクマネジメント)が「確立されている」とする組織は8%にとどまり、世界平均(16%)を大きく下回った。リスク可視化ができている組織も29%にとどまり、構造的な取り組みの遅れが浮き彫りとなった。
KnowBe4は、従業員一人ひとりの行動と意識の変容を促す「セキュリティ文化」の構築と、ヒューマンリスクマネジメント体制の強化が不可欠であると指摘している。今後は罰による管理から、学びに基づく組織的防御態勢への転換が重要となる。
【関連記事】
・KnowBe4、2026年もエージェンティックAIの革新がサイバーセキュリティを再構築すると予測
・ビザスク、2025年人気ビジネス知見ランキングを発表 生成AI・M&A・セキュリティのニーズ増加
・アクセンチュア、サイバーセキュリティ・レジリエンスの現状を調査 多くの組織でサイバー防御態勢が不足
