ストーリー
田
田中VPoE
チャンピオンを選出したら、次はトレーニングだ。何のトレーニングもなく現場に送り出したら、チャンピオンは途方に暮れるだけだ
あなた
セキュリティの技術研修を集中的にやるイメージですか?
あ
田
田中VPoE
技術だけじゃない。チャンピオンに必要なのは「セキュリティの基礎知識」「コミュニケーションスキル」「実践的なツール活用」の3つだ。特にコミュニケーションスキルが重要だ。チームメンバーにセキュリティの重要性を「伝える力」がなければ意味がない
あなた
チャンピオンはセキュリティの専門家ではなく「伝道師」のような存在ですね
あ
田
田中VPoE
いい表現だ。まさに伝道師だ。だから育成プログラムも技術一辺倒ではなく、バランスの取れた設計にする
育成プログラムの全体設計
3段階カリキュラム
| フェーズ | 期間 | 目的 | 内容 |
|---|---|---|---|
| Phase 1: 基礎 | 2週間 | セキュリティの基礎知識の習得 | OWASP Top 10、脅威モデリング基礎、ポリシー理解 |
| Phase 2: 実践 | 4週間 | 実務で使えるスキルの習得 | コードレビュー、リスク評価、ツール活用 |
| Phase 3: リーダーシップ | 2週間 | チーム推進力の獲得 | コミュニケーション、啓発活動の企画・運営 |
Phase 1: セキュリティ基礎(2週間)
| 週 | テーマ | 内容 | 形式 |
|---|---|---|---|
| 1週目 | 脅威の理解 | OWASP Top 10、一般的な攻撃手法、最新の脅威動向 | 座学 + ハンズオン |
| 1週目 | ポリシー理解 | 自社セキュリティポリシーの深堀り、コンプライアンス要件 | ワークショップ |
| 2週目 | 脅威モデリング | STRIDEモデル、自社システムの脅威分析演習 | グループワーク |
| 2週目 | インシデント対応 | 初動対応、エスカレーション手順、レポート作成 | シミュレーション |
Phase 2: 実践スキル(4週間)
| 週 | テーマ | 内容 | 形式 |
|---|---|---|---|
| 3週目 | セキュアコーディング | 部門の言語に応じたセキュアコーディング実践 | ペアプログラミング |
| 4週目 | コードレビュー | セキュリティ観点でのコードレビュー実践 | OJT(実際のPRレビュー) |
| 5週目 | ツール活用 | SAST/DAST、依存関係スキャン、シークレット管理 | ハンズオン |
| 6週目 | リスク評価 | 部門の業務プロセスにおけるセキュリティリスク評価 | フィールドワーク |
Phase 3: リーダーシップ(2週間)
| 週 | テーマ | 内容 | 形式 |
|---|---|---|---|
| 7週目 | コミュニケーション | セキュリティを「伝える」技術、非技術者への説明方法 | ロールプレイ |
| 8週目 | 啓発活動 | 勉強会の企画・運営、ニュースレター作成、施策提案 | プレゼン実践 |
継続学習の仕組み
月次活動
| 活動 | 内容 | 時間 |
|---|---|---|
| チャンピオンミーティング | セキュリティチームとの定例会。最新脅威情報共有、活動報告 | 月2時間 |
| セキュリティ勉強会 | チャンピオン主催の部門内勉強会 | 月1時間 |
| スキルアップ研修 | 新しいセキュリティトピックの深堀り学習 | 月2時間 |
| 情報共有 | セキュリティニュース、脆弱性情報の部門内共有 | 週30分 |
チャンピオンコミュニティ
チャンピオンコミュニティの構造:
セキュリティチーム
│
├── Slackチャンネル #security-champions
│ └── 日常の情報交換、質問対応
│
├── 月次ミーティング
│ └── 活動報告、ベストプラクティス共有
│
├── 四半期ワークショップ
│ └── 深堀りテーマの研修、外部講師招聘
│
└── 年次カンファレンス
└── 活動成果発表、表彰、次年度計画部門別カスタマイズ
部門特性に応じた研修内容
| 部門 | 重点テーマ | 具体的な内容 |
|---|---|---|
| 開発部門 | セキュアコーディング | OWASP Top 10対策、SAST/DAST活用、DevSecOps |
| QA部門 | セキュリティテスト | 脆弱性テスト、ペネトレーションテスト基礎 |
| 営業部門 | ソーシャルエンジニアリング対策 | フィッシング対策、機密情報の取り扱い |
| CS部門 | 顧客データ保護 | 個人情報管理、セキュリティインシデント時の顧客対応 |
| 管理部門 | コンプライアンス | 個人情報保護法、ISMS、内部監査 |
育成の効果測定
測定指標
| 指標 | 測定方法 | 目標値 |
|---|---|---|
| 知識テストスコア | 研修前後のテスト | 研修後80%以上 |
| 活動実績 | 月次活動報告 | 月1回以上の啓発活動 |
| 部門のセキュリティ指標 | フィッシングクリック率等 | 担当部門で前期比20%改善 |
| チームメンバーの評価 | 360度フィードバック | 3.5/5.0以上 |
| チャンピオン継続率 | 年間の継続/離脱率 | 80%以上 |
まとめ
| ポイント | 内容 |
|---|---|
| 3段階カリキュラム | 基礎(2週間)→ 実践(4週間)→ リーダーシップ(2週間) |
| バランスの取れた育成 | 技術知識だけでなく、コミュニケーション・リーダーシップも |
| 継続学習 | 月次ミーティング、勉強会、コミュニティで継続的にスキルアップ |
| 部門別カスタマイズ | 部門の特性に応じた重点テーマの設定 |
| 効果測定 | 知識テスト、活動実績、部門指標で育成効果を可視化 |
チェックリスト
- 3段階カリキュラムの構成を理解した
- 各フェーズの目的と内容を把握した
- 継続学習の仕組みを理解した
- 部門別カスタマイズの考え方を理解した
- 育成の効果測定指標を把握した
次のステップへ
次は「チャンピオンの活動を認知・評価する仕組み」を学びます。チャンピオンのモチベーションを維持し、活動を持続させるための認知・報酬制度を設計しましょう。
推定読了時間: 30分