QUIZ 30分

クイズの説明

Month 1「組織全体のCI/CD基盤を設計しよう」の卒業クイズです。Step 1-6で学んだすべての内容を横断的に問います。全10問、80%(8問)以上正解で合格です。

問題

Q1. CI/CD成熟度モデルのLevel 4(Measured)の特徴として最も適切なものはどれですか?

  • A) CIが導入され、自動テストが存在する
  • B) 標準パイプラインが定義されている
  • C) DORA指標で計測し、フィードバックループが確立されている
  • D) 手動ビルドと手動デプロイで運用している
答えを見る

正解: C

Level 4(Measured)は「DORA指標で計測し、フィードバックループが確立されている」段階です。Level 1は手動運用、Level 2はCI導入、Level 3は標準パイプライン定義です。Level 4ではデプロイ頻度、リードタイム、変更失敗率、復旧時間を継続的に計測し、改善のサイクルが回っています。

Q2. 組織のCI/CD課題を分析する際、4つのデータ収集手法のうち「定量的かつ客観的」なデータを得られる手法の組み合わせはどれですか?

  • A) チームヒアリングと開発者サーベイ
  • B) ツール監査とメトリクス収集
  • C) チームヒアリングとメトリクス収集
  • D) 開発者サーベイとツール監査
答えを見る

正解: B

ツール監査(実際のCI/CD設定ファイルの調査)とメトリクス収集(パイプラインの実行データ)は、いずれも定量的かつ客観的なデータを提供します。チームヒアリングは定性的×主観的、開発者サーベイは定性的×主観的なデータです。4手法を組み合わせることで立体的な分析が可能になります。

Q3. パイプライン設計の「不変性」の原則に反するプラクティスはどれですか?

  • A) 環境ごとに異なる設定ファイルを使用する
  • B) 環境ごとにアプリケーションをビルドし直す
  • C) 同じDockerイメージを全環境にデプロイする
  • D) 環境変数で環境差分を吸収する
答えを見る

正解: B

環境ごとにビルドし直すのは不変性の原則に反します。不変性の原則では、一度ビルドされたアーティファクトを変更せず、同じアーティファクトを全環境にデプロイします。環境差分は設定ファイルや環境変数で吸収します。これにより「ステージングでは動いたのに本番で壊れた」というリスクを排除します。

Q4. シフトレフトセキュリティの4つのレイヤーを開発プロセスの早い段階から順に並べた場合、正しい順序はどれですか?

  • A) CI/CDパイプライン → PR → ローカル環境 → ランタイム
  • B) ローカル環境 → PR → CI/CDパイプライン → ランタイム
  • C) ランタイム → CI/CDパイプライン → PR → ローカル環境
  • D) PR → ローカル環境 → ランタイム → CI/CDパイプライン
答えを見る

正解: B

シフトレフトの4レイヤーは、開発プロセスの早い段階から順に「ローカル環境(IDE/pre-commit)」「PR(SAST/SCA/シークレットスキャン)」「CI/CDパイプライン(コンテナスキャン/DAST)」「ランタイム(監視/異常検知)」です。左(早期)に行くほど修正コストが低く、フィードバックが速くなります。

Q5. SLSAフレームワークのLevel 2で必要な要件は何ですか?

  • A) ビルドプロセスの文書化のみ
  • B) ホスト型ビルドサービスの使用と来歴証明の生成
  • C) ビルドの完全な再現性(Hermetic Build)
  • D) AI/MLによるビルドの自動最適化
答えを見る

正解: B

SLSA Level 2は「ホスト型ビルドサービス(GitHub Actionsなど)の使用」と「来歴証明(Provenance)の生成」が必要です。Level 1は文書化のみ、Level 3はビルド環境の隔離、Level 4は完全な再現性です。組織目標としてLevel 2を3ヶ月以内に達成することを推奨しました。

Q6. フェデレーション型ガバナンスで「チームに委ねるべき」領域として適切なものはどれですか?

  • A) セキュリティスキャンの実施方針
  • B) 本番デプロイの承認プロセス
  • C) テストフレームワークの選択
  • D) シークレットの管理方法
答えを見る

正解: C

テストフレームワークの選択(Jest, pytest, Go testなど)はチームの裁量に委ねる領域です。セキュリティスキャン、デプロイ承認プロセス、シークレット管理はいずれも組織全体で統一すべき「必須」レイヤーのルールです。チームの技術スタックや好みに応じて選択可能なものを裁量として残します。

Q7. 20チームへの段階的導入で、Wave 0(パイロット)の対象として最も適切なチームはどれですか?

  • A) 成熟度Level 1のチーム(改善効果が最大)
  • B) 成熟度Level 2のチーム(最多数)
  • C) 成熟度Level 4のチーム(技術力が高く貢献者として期待)
  • D) ランダムに選んだ4チーム(公平性のため)
答えを見る

正解: C

Level 4チームをパイロットとして選ぶ理由は、技術力が高くフィードバックの質が高い、共有ライブラリへの貢献者として巻き込める、成功事例を作りやすいの3点です。Level 1チームはサポートコストが高く早期成功を見せにくい、ランダム選択はリソースの分散を招きます。

Q8. CI/CD基盤のIaC管理で「設定ドリフト」が発生した場合の適切な対応はどれですか?

  • A) 手動で修正し、変更をコミットする
  • B) ドリフトを無視して現状を維持する
  • C) 自動検知し、軽微なものは自動修正、重大なものはアラート発報
  • D) 全インフラを破棄して再構築する
答えを見る

正解: C

設定ドリフトは自動検知し、軽微なもの(タグの差異など)は自動修正、重大なもの(セキュリティ設定の変更など)はアラートを発報してプラットフォームチームが対応します。手動修正は見逃しのリスクがあり、無視はドリフトの蓄積を招きます。全破棄は過剰対応です。

Q9. CI/CD基盤設計書のエグゼクティブサマリーで最も重視すべき内容はどれですか?

  • A) 使用するツールの技術的な詳細
  • B) ビジネスインパクト(コスト削減、リスク低減、生産性向上)
  • C) パイプラインのYAML設定の全文
  • D) 各チームの現在の成熟度レベルの詳細
答えを見る

正解: B

エグゼクティブサマリーの読者は経営層(CTO/VPoE/CFO)であり、ビジネスインパクトに焦点を当てるべきです。コスト削減額、セキュリティリスクの低減、デリバリー速度の向上など、経営判断に必要な情報を5分で伝えます。技術的な詳細は設計書の本文で扱います。

Q10. メトリクスの3層構造で「開発者満足度(DX)」が属するレイヤーはどれですか?

  • A) 技術メトリクス
  • B) プロセスメトリクス
  • C) ビジネスメトリクス
  • D) セキュリティメトリクス
答えを見る

正解: C

開発者満足度はCI/CD基盤がビジネスに与える影響を測る「ビジネスメトリクス」に分類されます。技術メトリクスはビルド時間やキャッシュヒット率、プロセスメトリクスはDORA指標です。開発者満足度は四半期サーベイで計測し、基盤の持続的な改善に活用します。

結果

8問以上正解の場合

田中VPoE
おめでとう。Month 1のミッションクリアだ
田中VPoE
組織全体のCI/CD基盤を設計する力が身についた。現状分析から始まり、標準パイプライン、セキュリティ統合、ガバナンス、運用自動化 — これらを統合した設計書を作れるようになった
あなた
ありがとうございます。技術的な設計だけでなく、組織を動かす視点が求められることがよく分かりました
田中VPoE
その気づきが一番大事だ。来月はSRE組織の構築だ。CI/CDの基盤ができたら、次はそれを運用する組織と文化を作っていく。楽しみにしていてくれ

次のミッションへ進みましょう!

7問以下の場合

もう少し復習しましょう。 各Stepのレッスンと演習を振り返り、特に間違えた問題の関連箇所を重点的に復習してください。

  • Q1-Q2を間違えた場合 → Step 1「組織のCI/CD現状を分析しよう」を復習
  • Q3を間違えた場合 → Step 2「標準パイプラインを設計しよう」を復習
  • Q4-Q5を間違えた場合 → Step 3「セキュリティとコンプライアンスを統合しよう」を復習
  • Q6-Q7を間違えた場合 → Step 4「マルチチーム対応のガバナンスを確立しよう」を復習
  • Q8を間違えた場合 → Step 5「CI/CD基盤の運用自動化を実装しよう」を復習
  • Q9-Q10を間違えた場合 → Step 6「CI/CD基盤設計書を完成させよう」を復習