QUIZ 15分

クイズの説明

Step 1「セキュリティ文化の現状を診断しよう」の理解度を確認します。セキュリティ文化アセスメント、成熟度モデル、ギャップ分析について問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. セキュリティ文化アセスメントの測定軸

セキュリティ文化アセスメントの3つの測定軸として正しい組み合わせはどれですか?

  • A. 技術力・予算・人員
  • B. 意識・行動・制度
  • C. ポリシー・ツール・監査
  • D. 攻撃・防御・復旧
答えを見る

正解: B

セキュリティ文化アセスメントは「意識(Awareness)」「行動(Behavior)」「制度(Institution)」の3軸で測定します。意識はアンケートやインタビューで主観的データを、行動はフィッシングクリック率等の客観的データを、制度は組織的仕組みの有無や内容を評価します。技術力や予算(A)は制度の一部ですが、3軸そのものではありません。ポリシーやツール(C)は手段であり、文化の測定軸ではありません。

Q2. セキュリティ文化サーベイの設計

セキュリティ文化サーベイで「逆転項目」を含める理由として最も適切なものはどれですか?

  • A. 質問数を増やしてサーベイのボリュームを確保するため
  • B. 社会的望ましさバイアスを検出し、回答の信頼性を確認するため
  • C. ネガティブな質問でストレス耐性を測定するため
  • D. 部門間の比較を容易にするため
答えを見る

正解: B

逆転項目(例:「セキュリティ対策は業務を妨げている」)は、社会的望ましさバイアス(「良い回答をしなければ」という心理)を検出するために含めます。通常の質問に常にポジティブな回答をしつつ、逆転項目にも同じくポジティブ(=セキュリティを軽視する方向)に回答している場合、その回答の一貫性が疑われます。これにより、本音と建前の乖離を検出でき、より信頼性の高い分析が可能になります。

Q3. 成熟度レベルの判定

以下の組織の状態を読み、セキュリティ文化成熟度レベルとして最も適切なものを選んでください。

セキュリティポリシーが存在し、年1回の研修を実施している。ISMSを取得済み。ただし、社員の多くは「研修は義務だから受けている」と感じており、インシデント報告は年間数件にとどまる。フィッシングシミュレーションは未実施。

  • A. Level 1: 無関心(Unaware)
  • B. Level 2: コンプライアンス(Compliant)
  • C. Level 3: 推進(Promoting)
  • D. Level 4: 自律(Self-sustaining)
答えを見る

正解: B

この組織はポリシー・研修・ISMSという「形」は整っていますが、社員の認識は「義務だから」という受動的な状態です。これはLevel 2(コンプライアンス)の典型的な特徴「ルールは存在するが、やらされ感で形骸化」に合致します。Level 1(A)はポリシーや研修すら存在しない状態であり、Level 3(C)は積極的な推進活動がある状態です。Level 4(D)は全員が自発的にセキュリティを意識する状態であり、この組織の状態とは大きく異なります。

Q4. ギャップ分析の優先順位

ギャップ分析の4象限マトリクスにおいて、「クイックウィン」に該当する特徴として正しいものはどれですか?

  • A. ギャップが小さく、改善コストも低い
  • B. ギャップが大きく、改善のしやすさも高い
  • C. ギャップが大きく、改善に時間がかかる
  • D. ギャップが小さく、改善に時間がかかる
答えを見る

正解: B

クイックウィンは「ギャップが大きい(改善効果が高い)」かつ「改善のしやすさが高い(コストが低い、実現期間が短い)」という特徴を持つ象限です。限られたリソースで最大の効果を出すために最優先で着手すべき領域です。ギャップが大きく改善が難しい(C)は「戦略的投資」、ギャップが小さく改善しやすい(A)は「地道に改善」、ギャップが小さく改善が難しい(D)は「後回し」に分類されます。

Q5. 経営層への報告

セキュリティ文化の改善を経営層に提案する際、最も効果的なアプローチはどれですか?

  • A. 最新のセキュリティ脅威の技術的な詳細を説明する
  • B. 業界のベストプラクティスをすべて列挙し、全面的な導入を提案する
  • C. ビジネスリスク(損害額、規制対応、顧客信頼)と投資対効果を数値で示す
  • D. 他社のセキュリティインシデント事例を多数紹介して危機感を煽る
答えを見る

正解: C

経営層はビジネスの観点で意思決定を行います。技術的な詳細(A)よりも、ビジネスリスク(インシデント発生時の損害額、規制違反のペナルティ、顧客離脱リスク)と、投資対効果(必要投資額と期待リターン)を数値で示すことが最も効果的です。ベストプラクティスの全面導入(B)はコストと実現性の面で現実的ではなく、危機感を煽る(D)だけでは具体的なアクションにつながりません。「リスクを定量化し、投資対効果を示す」ことで、経営層の意思決定を支援できます。

結果

合格(4問以上正解)

Step 1の内容をよく理解しています。セキュリティ文化の診断手法、成熟度モデル、ギャップ分析の基礎を身につけました。次のStep 2「セキュリティチャンピオン制度を確立しよう」に進みましょう。

不合格(3問以下正解)

Step 1の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • Q1を間違えた場合 → Step 1-2「セキュリティ文化アセスメント」の3軸測定を復習
  • Q2を間違えた場合 → Step 1-2「セキュリティ文化アセスメント」のサーベイ設計原則を復習
  • Q3を間違えた場合 → Step 1-3「セキュリティ成熟度モデル」の各レベルの特徴を復習
  • Q4を間違えた場合 → Step 1-4「ギャップ分析」の4象限マトリクスを復習
  • Q5を間違えた場合 → Step 1-4「ギャップ分析」の経営層報告フレームワークを復習

推定所要時間: 15分