ストーリー
田
田中VPoE
チャンピオン制度の理論は学んだ。ここからは実践だ。Step 1で使ったTechFlow社にチャンピオン制度を導入する設計をしてもらう
あなた
あのセキュリティ文化成熟度Level 1.5の組織ですね。セキュリティチームが8名で手が回っていない…
あ
田
田中VPoE
そうだ。しかもセキュリティチームから2名が退職したばかりだ。だからこそチャンピオン制度で「セキュリティの民主化」を急ぐ必要がある。800名の組織にどのような制度を設計するか、具体的に考えてくれ
あなた
選定基準、配置計画、育成プログラム、認知制度…全部を設計するんですね
あ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティチャンピオン制度の設計 |
| 想定時間 | 90分 |
| 成果物 | チャンピオン制度設計書(選定基準 + 配置計画 + 育成プログラム + 認知制度) |
| 対象組織 | TechFlow株式会社(800名、Step 1の演習と同じ組織) |
Mission 1: チャンピオン配置計画の策定
要件
TechFlow社の組織構造をもとに、以下を設計してください。
- チャンピオンの配置計画(各部門への配置数と理由)
- フェーズ分け(初期導入と段階的拡大の計画)
- セキュリティチームとの連携モデル
制約条件
- セキュリティチームは現在6名(8名から2名退職)
- チャンピオン活動に使える時間は各人の業務時間の最大20%
- Phase 1は3ヶ月以内に開始する必要がある
解答例
配置計画
| 部門 | 人数 | チャンピオン数 | 選定理由 |
|---|---|---|---|
| プロダクト開発部 | 150名 | 3名 | 最大部門。50名に1名で3チーム分をカバー |
| プラットフォーム部 | 60名 | 2名 | インフラに近くセキュリティ影響大 |
| QA部 | 40名 | 1名 | セキュリティテストとの連携 |
| SREチーム | 20名 | 1名 | インシデント対応の初動に直結 |
| 営業部 | 120名 | 2名 | フィッシングクリック率が最も高い部門 |
| CS部 | 80名 | 1名 | 顧客データ取り扱いが多い |
| マーケティング部 | 40名 | 1名 | 外部との情報やり取りが多い |
| 管理本部 | 60名 | 1名 | コンプライアンス対応 |
| 合計 | 570名 | 12名 | 比率: 約1 |
フェーズ分け
| フェーズ | 期間 | 内容 |
|---|---|---|
| Phase 1 | 0-3ヶ月 | 開発系4部門(開発3名+プラットフォーム2名+QA1名+SRE1名=7名)を先行導入 |
| Phase 2 | 3-6ヶ月 | 事業系3部門(営業2名+CS1名+マーケ1名=4名)を追加 |
| Phase 3 | 6-9ヶ月 | 管理本部(1名)を追加。全12名体制完成 |
Mission 2: 選定基準と選出プロセスの設計
要件
- TechFlow社に適した選定基準(4軸の重み付けと評価シート)
- 選出プロセスの詳細フロー(タイムラインとステップ)
- アンチパターンを回避するための注意事項
解答例
選定基準(TechFlow社カスタマイズ版)
| 評価軸 | 重み | TechFlow社での重点ポイント |
|---|---|---|
| 影響力 | 25% | チーム内での信頼度。特に「セキュリティは面倒」という空気を変えられる人 |
| 意欲 | 35% | 重み増。文化Level 1.5の組織では意欲が最重要。自発的な関心がない人は機能しない |
| コミュニケーション力 | 25% | 「セキュリティは邪魔」という認識を変える伝達力 |
| 技術的素養 | 15% | 基礎があれば十分。研修で補完可能 |
選出プロセス
| 週 | ステップ | 内容 |
|---|---|---|
| 1週目 | 制度説明 | 全社に制度の目的と募集要項を告知 |
| 2週目 | 候補者募集 | 自薦フォーム + 部門長推薦を並行実施 |
| 3週目 | 適性評価 | セキュリティチームリーダーが候補者と30分面談 |
| 4週目 | 最終選定 | 本人・上長・セキュリティチームの三者合意 |
Mission 3: 育成プログラムと認知制度の設計
要件
- 8週間の育成カリキュラム(Phase 1チャンピオン7名向け)
- 認知・評価の3層モデルの具体的な施策設計
- 初年度の成功指標(KPI)
解答例
育成カリキュラム(8週間)
| 週 | テーマ | 内容 | 時間 |
|---|---|---|---|
| 1 | オリエンテーション | チャンピオンの役割理解、自社ポリシー理解 | 4h |
| 2 | セキュリティ基礎 | OWASP Top 10、一般的な攻撃手法 | 4h |
| 3 | 脅威モデリング | STRIDEモデル、自社システムの脅威分析 | 4h |
| 4 | セキュアコーディング | 自社技術スタックでのセキュアコーディング | 4h |
| 5 | ツール活用 | SAST/DAST、依存関係スキャン実践 | 4h |
| 6 | インシデント対応 | 初動対応シミュレーション、エスカレーション | 4h |
| 7 | コミュニケーション | セキュリティを伝える技術、勉強会の企画 | 4h |
| 8 | 卒業プロジェクト | 担当部門の改善計画を策定・発表 | 4h |
認知・評価制度
| 層 | 施策 | 詳細 |
|---|---|---|
| 日常 | Slack称賛botの導入 | #security-championsで活動報告→自動リアクション |
| 日常 | 感謝ポイント制度 | チームメンバーがチャンピオンにポイント付与 |
| 公式 | 月間MVP選出 | セキュリティチームが選定、社内ニュースレターで紹介 |
| 公式 | 四半期表彰 | CTOから感謝状、全社会議で活動紹介 |
| 制度 | MBO目標への反映 | チャンピオン活動を目標の10%に設定 |
| 制度 | キャリアパス設計 | シニアチャンピオン→リードチャンピオンの昇格パス |
初年度KPI
| 指標 | 現在 | 6ヶ月後目標 | 12ヶ月後目標 |
|---|---|---|---|
| チャンピオン配置率 | 0% | 7名(開発系) | 12名(全社) |
| チャンピオン継続率 | - | 90% | 80% |
| 部門セキュリティスコア | 1.5 | 2.0 | 2.5 |
| インシデント報告件数 | 12件/年 | +50% | +100% |
| フィッシングクリック率 | 未測定 | ベースライン測定 | ベースライン比-30% |
達成度チェック
| 観点 | 達成基準 |
|---|---|
| 配置計画 | 部門特性を踏まえた適切な配置数とフェーズ分けがある |
| 選定基準 | 4軸の重み付けがTechFlow社の課題に適合している |
| 選出プロセス | 自薦と推薦を組み合わせ、アンチパターンを回避している |
| 育成プログラム | 技術・コミュニケーション・リーダーシップのバランスが取れている |
| 認知制度 | 3層モデルで日常的な認知から制度的評価まで設計されている |
| KPI | 定量的な成功指標が設定されている |
推定所要時間: 90分