ストーリー
田
田中VPoE
メトリクス、ダッシュボード、成熟度モデル。理論は一通り学んだ。ここからは実践だ。PayConnectのセキュリティダッシュボードを設計し、成熟度評価を行ってもらう
あなた
経営層向けとセキュリティチーム向け、両方のダッシュボードを設計するんですね
あ
田
田中VPoE
そうだ。さらにこの演習のポイントは「架空のデータを使ってダッシュボードを実際に埋める」ことだ。空のテンプレートではなく、データが入った状態のダッシュボードを見て、どんなアクションを取るべきかまで考えてくれ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティダッシュボードの設計 |
| 想定時間 | 60分 |
| 成果物 | ダッシュボード設計書 + 成熟度評価 + 改善ロードマップ |
| 対象システム | PayConnect |
前提条件
PayConnectの現在のセキュリティ状態(架空データ)
脆弱性データ(直近3ヶ月):
月 新規検出 修正完了 オープン MTTR(Crit) MTTR(High)
1月 62 45 180 72h 14d
2月 55 58 177 48h 12d
3月 48 52 173 36h 10d
深刻度別オープン脆弱性(3月末時点):
Critical: 5
High: 28
Medium: 85
Low: 55
合計: 173
カテゴリ別内訳:
SQLインジェクション: 2(Critical)
XSS: 8(High: 5, Medium: 3)
依存ライブラリ脆弱性: 45(Critical: 3, High: 15, Medium: 27)
設定ミス: 25(High: 8, Medium: 17)
シークレット関連: 3(High: 3)←旧コミットに残存
認証/認可不備: 12(Critical: 0, High: 2, Medium: 10)
その他: 78
パイプライン状態:
SAST: 8/12リポジトリに導入(67%)
DAST: ステージング環境で月1回実行
SCA: 10/12リポジトリに導入(83%)
シークレットスキャン: 6/12リポジトリに導入(50%)
インシデント:
直近12ヶ月のインシデント件数: 4件
重大インシデント: 1件(APIキー漏洩)
平均MTTD: 4時間
平均MTTR: 36時間
コンプライアンス:
PCI-DSS準拠率: 78%(12要件中9.4件が準拠)
SOC 2準拠率: 72%
アクセスレビュー: 最後の実施は6ヶ月前Mission 1: Executiveダッシュボードの設計
要件
CTOに毎月報告するExectiveダッシュボードを設計してください。
- セキュリティヘルススコアを算出する(5カテゴリの重み付き)
- **主要KPI(6つ以上)**を信号機方式で表示する
- 前月からのトレンドを示す
- ダッシュボードを見た経営層が取るべきアクションを3つ提案する
解答例
セキュリティヘルススコア
| カテゴリ | 重み | スコア(0-100) | 加重スコア | 根拠 |
|---|---|---|---|---|
| 脆弱性管理 | 30% | 55 | 16.5 | Critical 5件残存、MTTR改善中 |
| インシデント対応 | 20% | 65 | 13.0 | MTTD 4h(目標1h未達)、年4件 |
| コンプライアンス | 20% | 75 | 15.0 | PCI-DSS 78%、SOC 2 72% |
| プロセス成熟度 | 15% | 55 | 8.25 | SAST 67%、シークレットスキャン 50% |
| セキュリティ文化 | 15% | 50 | 7.5 | トレーニング未実施(推定) |
| 合計 | 60.25 |
セキュリティヘルススコア: 60/100(要改善)
主要KPI
| KPI | 値 | 状態 | トレンド | 目標 |
|---|---|---|---|---|
| Critical脆弱性数 | 5 | 赤 | → | 0 |
| MTTR(Critical) | 36h | 黄 | ↑改善 | 24h以内 |
| PCI-DSS準拠率 | 78% | 赤 | → | 95%以上 |
| パイプラインカバレッジ | 67% | 黄 | ↑改善 | 100% |
| インシデント件数(月) | 0.3 | 緑 | → | 0.5以下 |
| アクセスレビュー | 6ヶ月前 | 赤 | ↓ | 四半期ごと |
経営層への推奨アクション
- Critical脆弱性の即時対応: SQLインジェクション2件を今週中に修正(PCI-DSS 6.5違反)
- セキュリティツール全面展開の予算承認: SAST/SCA/シークレットスキャンの未導入リポジトリへの展開(推定50万円)
- アクセスレビューの即時実施: 6ヶ月未実施はSOC 2 CC6.2違反リスク。今月中に実施
Mission 2: Operationalダッシュボードの設計
要件
セキュリティチームが日常的に使うOperationalダッシュボードを設計してください。
- リアルタイムパネル(現在の状態)を設計する
- チーム別ヒートマップでMTTRの状態を可視化する
- アラート条件を3つ以上定義する
解答例
チーム別MTTRヒートマップ
| チーム | リポジトリ数 | Critical MTTR | High MTTR | オープン数 | 状態 |
|---|---|---|---|---|---|
| Backend | 4 | 24h | 8d | 52 | 黄 |
| Frontend | 3 | — | 14d | 38 | 赤 |
| Platform | 3 | 48h | 6d | 45 | 黄 |
| Mobile | 2 | — | 18d | 38 | 赤 |
アラート条件
| 条件 | 重要度 | 通知先 | 方法 |
|---|---|---|---|
| Critical脆弱性が24時間未修正 | P1 | セキュリティマネージャー + 該当チームリード | Slack + PagerDuty |
| SLAブリーチ(High脆弱性が7日超過) | P2 | セキュリティリード + 該当チームリード | Slack |
| パイプラインのセキュリティチェックが3回連続失敗 | P2 | セキュリティエンジニア | Slack |
| コンプライアンス準拠率が90%を下回る | P1 | セキュリティマネージャー + VPoE | Slack + メール |
Mission 3: 成熟度評価と改善ロードマップ
要件
架空データをもとにPayConnectのDevSecOps成熟度を評価し、改善ロードマップを策定してください。
- 現在の成熟度レベルを判定する
- 6ヶ月後の目標レベルを設定する
- 四半期ごとの改善計画を策定する(具体的なアクション付き)
解答例
成熟度評価
| 領域 | 現在のレベル | 根拠 |
|---|---|---|
| SAST | L2(一部導入) | 8/12リポジトリに導入、CI/CD統合済み |
| DAST | L1(アドホック) | 月1回手動実行 |
| SCA | L2(一部導入) | 10/12リポジトリに導入 |
| シークレット管理 | L1(初期的) | 50%のリポジトリのみ、Vault未導入 |
| メトリクス | L1(初期的) | データは存在するがダッシュボード未構築 |
| コンプライアンス | L2(一部対応) | PCI-DSS 78%、自動チェックなし |
総合レベル: L2(Managed) — L3への移行途中
改善ロードマップ
| 四半期 | 重点アクション | 到達目標 |
|---|---|---|
| Q1 | SAST/SCA全リポジトリ展開、シークレットスキャン全展開、Critical脆弱性ゼロ達成 | パイプラインカバレッジ100% |
| Q2 | DAST自動化(毎デプロイ実行)、Vault導入、ゲートポリシー運用開始 | L3達成 |
| Q3 | メトリクスダッシュボード構築、SLA運用開始、コンプライアンス自動チェック | L3→L4移行開始 |
| Q4 | 月次セキュリティレビュー定着、成熟度再評価、次年度計画策定 | L4安定運用 |
達成度チェック
| 観点 | 達成基準 |
|---|---|
| ヘルススコア | 5カテゴリの重み付きスコアが算出され、根拠がある |
| KPI | 6つ以上のKPIが定義され、信号機方式で表示されている |
| 経営層向けアクション | データに基づいた具体的なアクションが3つ以上提案されている |
| Operationalダッシュボード | チーム別の状態が可視化され、アラート条件が定義されている |
| 成熟度評価 | 現在のレベルと目標レベルが設定され、ギャップが明確 |
| ロードマップ | 四半期ごとの具体的なアクションが策定されている |
推定所要時間: 60分