IT Proに「「ITプロの8割が『セキュリティ意識の低い社員が企業を危険にさらしている』と回答」---英Sophos」という記事が掲載されています。これは、セキュリティ・ベンダーの英SophosがITプロフェッショナルに対して行ったセキュリティに関する調査の結果で、回答者の79%が社員によるオンライン上での不適切な行動が企業のセキュリティの問題となっていると考えているようです。その上で、Sophosは業務中の不適切な行動として以下の7項目をリストアップしています。

• 音楽や映画（動画）のダウンロードすること
• メールの添付ファイルを開くこと，およびスパム中のリンクをクリックすること
• アダルト・サイトなどのいかがわしいサイトを閲覧すること
• 友人や同僚から送られたジョーク・プログラムを実行すること
• 許可されていないソフトウエアやブラウザ・プラグインをインストールすること
• 知らない相手に電話やメールで情報を与えること
• 異なるWebサイトで同じパスワードを使うこと

その上で、Sophosの技術コンサルタントのGraham Cluleyさんは「添付ファイルを開くことやいかがわしいサイトを閲覧することにどのようなリスクがあるのかを社員に教育することは企業の責任である」と指摘しています。確かにこのリストに挙げられているような行動の多くは、“問題があると知っていながらもやってしまう”というよりは“それがどんな問題を引き起こすか理解していない”という性質の行動だけに教育が重要になってくるでしょうね。それと同時にシステム管理者は、IT資産管理ソフトなどで危険なプログラムがクライアントPCにインストールされていないかを把握したりすることも必要でしょう。