ストーリー
田
田中VPoE
アセスメント手法、成熟度モデル、ギャップ分析 — 理論は一通り学んだ。ここからは実践だ。実際の組織シナリオを使って、セキュリティ文化を診断してもらう
あなた
具体的な組織の状況が与えられるんですね
あ
田
田中VPoE
そうだ。中堅SaaS企業を想定した演習だ。様々な情報が与えられる。その中から文化の実態を読み取り、経営層に報告できるレベルのアウトプットを出してくれ
あなた
サーベイ結果、行動データ、制度の情報…全部を統合するんですね
あ
田
田中VPoE
その通り。断片的な情報から全体像を描き、優先施策を提案する。まさにセキュリティ文化変革リーダーの仕事だ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティ文化診断の実施 |
| 想定時間 | 60分 |
| 成果物 | セキュリティ文化診断報告書(成熟度評価 + ギャップ分析 + 優先施策) |
| 対象組織 | 中堅SaaS企業(社員800名、うち開発300名) |
前提条件
組織の概要
会社概要:
会社名: TechFlow株式会社(架空)
事業: BtoB SaaS(ワークフロー管理ツール)
社員数: 800名
開発部門: 300名
売上: 年間80億円
顧客数: 5,000社(うちエンタープライズ500社)
設立: 2012年
組織構造:
CEO
├── CTO
│ ├── 開発本部(250名)
│ │ ├── プロダクト開発部(150名)
│ │ ├── プラットフォーム部(60名)
│ │ └── QA部(40名)
│ └── インフラ本部(50名)
│ ├── SREチーム(20名)
│ └── セキュリティチーム(8名)← 直近で2名退職
├── 事業本部長
│ ├── 営業部(120名)
│ ├── カスタマーサクセス部(80名)
│ └── マーケティング部(40名)
├── 管理本部長
│ ├── 人事部(30名)
│ ├── 経理部(20名)
│ └── 法務部(10名)
└── CISO(兼任:CTO)← 専任CISOなしセキュリティ関連の現状
| 項目 | 状況 |
|---|---|
| セキュリティポリシー | 3年前に策定。以降更新なし |
| セキュリティ研修 | 年1回、全社一斉のeラーニング(1時間) |
| インシデント報告 | 過去1年間で報告件数12件。内部検知は3件のみ |
| フィッシングテスト | 未実施 |
| セキュリティ予算 | IT予算の4%(約3,200万円/年) |
| 最近のインシデント | 3ヶ月前にフィッシング被害。営業部員のアカウントが侵害され顧客情報50件が流出 |
| 外部認証 | ISMS取得済み(形骸化の懸念あり) |
セキュリティ文化サーベイ結果(抜粋)
| カテゴリ | 平均スコア(5段階) | 特記事項 |
|---|---|---|
| 知識 | 2.8 | 開発部3.5、営業部2.0と部門差が大きい |
| 態度 | 2.3 | 「セキュリティは業務を妨げる」に52%が同意 |
| 行動意図 | 3.1 | 「報告する」と回答するが、実際の報告率は低い |
| 組織認知 | 2.0 | 「経営層はセキュリティを重視している」に23%のみ同意 |
| 心理的安全性 | 1.8 | 「報告しても不利益を受けない」に18%のみ同意 |
行動データ
| 指標 | 数値 |
|---|---|
| パスワード使い回し率(推定) | 45%(漏洩DB照合による推定) |
| MFA有効化率 | 72%(開発部95%、営業部45%) |
| セキュリティパッチ適用率(期限内) | 58% |
| シャドーIT利用率 | 32%(個人Dropbox、Google Drive等) |
| 離席時PC未ロック率 | 40%(抜き打ち調査) |
| セキュリティ研修完了率 | 65%(未完了者への追跡なし) |
直近の社内ヒアリング結果
| 部門 | コメント |
|---|---|
| 開発リーダー | 「セキュリティレビューが開発速度を落とす。もっと効率化できないか」 |
| 営業マネージャー | 「顧客から『セキュリティ対策は大丈夫か?』と聞かれることが増えた」 |
| 人事部長 | 「セキュリティ研修を受けても、翌日にはみんな忘れている印象」 |
| セキュリティチームリーダー | 「チーム人員不足で後手後手。全社への啓発まで手が回らない」 |
| カスタマーサクセス | 「3ヶ月前のインシデント以降、顧客からの信頼回復に苦労している」 |
| 新入社員 | 「セキュリティのルールは入社時に説明されたが、詳しい内容は覚えていない」 |
Mission 1: 成熟度評価の実施
要件
前提条件の情報をもとに、TechFlow社のセキュリティ文化成熟度を7軸で評価してください。
- 7軸それぞれのスコア(1-5点)と根拠
- 総合スコアと成熟度レベルの判定
- 業界平均(IT/テック: Level 3.0)との比較分析
解答例
7軸評価
| 評価軸 | スコア | 根拠 |
|---|---|---|
| リーダーシップ | 1.5 | 専任CISOが不在(CTO兼任)。組織認知サーベイで「経営層がセキュリティを重視」は23%のみ。経営層のコミットメントが著しく弱い |
| 教育・訓練 | 1.5 | 年1回のeラーニングのみ。研修完了率65%で追跡なし。人事部長のコメントからも効果が低いことが伺える |
| コミュニケーション | 1.5 | セキュリティ情報の共有が不足。ポリシーは3年間未更新。啓発活動が行われていない |
| ルール・規範 | 2.0 | ISMS取得済みでポリシーは存在するが、3年間未更新で形骸化。遵守率も低い |
| 報告文化 | 1.0 | 心理的安全性スコアが1.8。「報告しても不利益を受けない」に18%のみ同意。報告件数も極めて少ない |
| 責任意識 | 1.5 | セキュリティチーム任せ。人員不足で啓発に手が回らない。各部門にセキュリティ推進者がいない |
| 改善姿勢 | 1.5 | 3ヶ月前のインシデント後も抜本的な改善策が見られない。ポリシーの更新すら行われていない |
総合評価
重み付き総合スコア:
リーダーシップ: 1.5 × 0.20 = 0.30
教育・訓練: 1.5 × 0.15 = 0.23
コミュニケーション: 1.5 × 0.10 = 0.15
ルール・規範: 2.0 × 0.15 = 0.30
報告文化: 1.0 × 0.15 = 0.15
責任意識: 1.5 × 0.15 = 0.23
改善姿勢: 1.5 × 0.10 = 0.15
総合スコア = 1.51
判定: Level 1.5(無関心〜コンプライアンスの中間)
業界平均(3.0)を大幅に下回る。
特に報告文化(1.0)が最大のリスク要因。Mission 2: ギャップ分析と優先施策の策定
要件
- 7軸のギャップを現在レベルと目標レベル(12ヶ月後)の差として可視化
- 4象限マトリクス(ギャップの大きさ × 改善のしやすさ)に各軸をプロット
- Phase 1(0-3ヶ月)で実行すべき施策を3つ選定し、理由を説明
- 期待される成果指標を各施策に設定
解答例
ギャップ分析
| 評価軸 | 現在 | 目標(12ヶ月後) | ギャップ |
|---|---|---|---|
| リーダーシップ | 1.5 | 3.0 | 1.5 |
| 教育・訓練 | 1.5 | 3.5 | 2.0 |
| コミュニケーション | 1.5 | 3.0 | 1.5 |
| ルール・規範 | 2.0 | 3.0 | 1.0 |
| 報告文化 | 1.0 | 3.0 | 2.0 |
| 責任意識 | 1.5 | 3.0 | 1.5 |
| 改善姿勢 | 1.5 | 3.0 | 1.5 |
4象限マトリクス
| 象限 | 該当する軸 | 理由 |
|---|---|---|
| クイックウィン | 教育・訓練 | ギャップ大、外部サービスで即座に改善可能 |
| クイックウィン | 報告文化 | ギャップ最大、制度変更で即効性あり |
| 戦略的投資 | リーダーシップ | ギャップ大だが、経営層の意識変革に時間要 |
| 戦略的投資 | 責任意識 | ギャップ大、チャンピオン制度等の構築に時間要 |
| 地道に改善 | ルール・規範 | ギャップ小、既存ISMSを活性化 |
| 地道に改善 | コミュニケーション | ギャップ中、情報共有の仕組みで改善可能 |
| 後回し | 改善姿勢 | 他の施策の結果として自然に向上 |
Phase 1 優先施策
| 施策 | 選定理由 | 成果指標 |
|---|---|---|
| 1. インシデント報告制度の改革 | 報告文化のギャップが最大(1.0→3.0)。匿名報告制度・報告者称賛制度の導入で即効性あり | 報告件数: 12件/年→36件/年、心理的安全性スコア: 1.8→2.8 |
| 2. 実践的セキュリティ研修の導入 | 教育のギャップ大(1.5→3.5)。フィッシングシミュレーション等の導入で即座に効果測定可能 | フィッシングクリック率の測定開始(ベースライン取得)、研修完了率: 65%→95% |
| 3. 経営層のコミットメント可視化 | リーダーシップのギャップ大。CTO/CEO名義のセキュリティメッセージ発信はコスト最小 | 組織認知スコア: 2.0→3.0、全社会議でのセキュリティ報告を月次化 |
Mission 3: 経営層への報告書作成
要件
Mission 1・2の結果を、CTO兼CISOに報告するためのエグゼクティブサマリーを作成してください。
- 現状の深刻度をビジネスリスクとして説明
- 目標と達成計画の概要
- 必要な投資と期待リターン
- 直近3ヶ月のアクションプラン
解答例
■ エグゼクティブサマリー
【現状】
セキュリティ文化成熟度: Level 1.5(業界平均3.0を大幅に下回る)
最大リスク: 報告文化の欠如(心理的安全性18%)
直近の影響: フィッシング被害による顧客情報50件流出
【ビジネスリスク】
・再発時の想定被害額: 5,000万〜1億円(対応コスト+信頼回復+機会損失)
・エンタープライズ顧客からのセキュリティ監査要求増加
・規制強化への対応遅れリスク
【提案】
12ヶ月でLevel 3.0(業界平均水準)への引き上げ
【投資】
年間追加投資: 約3,000万円
(教育プログラム: 1,200万円、ツール: 800万円、
セキュリティチーム増員: 1,000万円)
【期待リターン】
・インシデント発生率40%低減(年間1-2件の重大インシデント防止)
・対応コスト30%削減
・顧客信頼回復によるエンタープライズ契約維持
【直近3ヶ月のアクション】
1. インシデント報告制度の改革(匿名報告、報告者称賛)
2. フィッシングシミュレーション開始(ベースライン測定)
3. 経営層からのセキュリティメッセージ月次発信達成度チェック
| 観点 | 達成基準 |
|---|---|
| 成熟度評価 | 7軸のスコアに根拠があり、総合レベルの判定が妥当 |
| 業界比較 | 業界平均との比較分析ができている |
| ギャップ分析 | 各軸のギャップが可視化され、4象限に適切に分類されている |
| 優先施策 | 実現可能性とインパクトを考慮した施策選定ができている |
| 経営層報告 | ビジネス言語でリスクと投資対効果が説明されている |
推定所要時間: 60分