QUIZ 30分

クイズの説明

Step 2「セキュリティチャンピオン制度を確立しよう」の理解度を確認します。チャンピオンの役割、選定基準、育成プログラム、認知・評価制度について問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. チャンピオンの役割

セキュリティチャンピオンの主要な役割として最も適切なものはどれですか?

  • A. セキュリティインフラの構築と運用を担当する
  • B. セキュリティチームと各部門の橋渡し役となり、部門内のセキュリティ文化を推進する
  • C. 外部のペネトレーションテストを実施する
  • D. セキュリティポリシーの最終承認を行う
答えを見る

正解: B

セキュリティチャンピオンは、セキュリティチームと各部門の橋渡し役です。セキュリティチームからの情報を部門に伝え、部門の課題をセキュリティチームにフィードバックし、部門内でセキュリティ文化を推進する「アンバサダー」的な存在です。インフラ構築(A)やペネトレーションテスト(C)はセキュリティチームの専門業務であり、ポリシーの最終承認(D)はCISOや経営層の責任です。チャンピオンはセキュリティの専門家ではなく、現場でセキュリティを推進する「伝道師」です。

Q2. チャンピオンの選定基準

セキュリティチャンピオンを選出する際、最も重要な評価軸はどれですか?

  • A. 高度なセキュリティ技術資格(CISSP等)の保有
  • B. チーム内での影響力と、セキュリティへの意欲
  • C. 管理職以上の役職
  • D. セキュリティチームでの勤務経験
答えを見る

正解: B

チャンピオン選定では「影響力」と「意欲」が最も重要です。チーム内で信頼されており(影響力)、セキュリティに自発的な関心を持っている(意欲)人が最適です。高度な技術資格(A)は不要で、基礎的な知識は研修で習得できます。管理職である必要(C)はなく、むしろ現場に近いメンバーの方が効果的です。セキュリティチームでの経験(D)も必須ではなく、部門の業務を深く理解していることの方が重要です。

Q3. チャンピオン選出のアンチパターン

チャンピオン選出時に避けるべきアプローチとして最も適切なものはどれですか?

  • A. 自薦と他薦を組み合わせて候補者を募る
  • B. マネージャーが「セキュリティの意識が低い部下を教育するため」にチャンピオンに指名する
  • C. 面談で意欲とコミュニケーション能力を確認する
  • D. 本人と上長の三者合意で最終決定する
答えを見る

正解: B

「セキュリティ意識が低い人を教育するためにチャンピオンに指名する」は最も避けるべきアンチパターンです。やらされ感を持ったチャンピオンは活動に消極的になり、最悪の場合「セキュリティ活動はつまらない」というネガティブなメッセージを部門に発信してしまいます。チャンピオンはセキュリティに前向きな人を選ぶべきであり、強制任命は制度の信頼性を損ないます。自薦・他薦の組み合わせ(A)、面談での確認(C)、三者合意(D)はいずれも推奨されるプラクティスです。

Q4. チャンピオン育成プログラム

チャンピオン育成において、技術研修以外に特に重要なスキルはどれですか?

  • A. 財務分析スキル
  • B. プロジェクトマネジメント資格
  • C. コミュニケーションスキル(セキュリティを「伝える力」)
  • D. プログラミング言語の習得
答えを見る

正解: C

チャンピオンは「セキュリティの伝道師」であり、チームメンバーにセキュリティの重要性を伝え、行動変容を促す役割を担います。そのため、コミュニケーションスキル、特に技術的な概念を非技術者にも分かりやすく伝える能力が極めて重要です。育成プログラムでも「リーダーシップ」フェーズとしてコミュニケーション研修を組み込みます。財務分析(A)やPM資格(B)は直接的には不要であり、プログラミング言語(D)は開発部門のチャンピオンには有用ですが、全チャンピオンに必須ではありません。

Q5. チャンピオンの認知・評価

チャンピオン制度を持続させるための認知・評価として最も効果的なアプローチはどれですか?

  • A. 高額の金銭的報酬を設定する
  • B. 日常的認知(Slack称賛)、公式な認知(表彰)、制度的評価(人事評価反映)の3層で設計する
  • C. チャンピオン活動の時間を業務時間外に設定し、残業代で補填する
  • D. 年に1回の表彰式のみで認知する
答えを見る

正解: B

チャンピオンのモチベーション維持には「日常的認知」「公式な認知」「制度的評価」の3層が必要です。日常的な感謝(Slackでの称賛、ピアレコグニション)で日々の活動を認知し、公式な表彰(MVP、経営層からの感謝状)で組織的な評価を示し、制度的な反映(人事評価、キャリアパス)で長期的なキャリアメリットを提供します。高額報酬(A)は外発的動機に依存し持続性が低く、業務時間外の活動(C)はワークライフバランスを損ない燃え尽きリスクがあります。年1回の表彰のみ(D)では日常のモチベーション維持に不十分です。

結果

合格(4問以上正解)

Step 2の内容をよく理解しています。セキュリティチャンピオン制度の設計力を身につけました。次のStep 3「セキュリティ教育プログラムを設計しよう」に進みましょう。

「チャンピオンは制度だ。だが制度を動かすのは人だ。適切な人を選び、育て、認めることで、制度が文化に変わる」 — 田中VPoE

不合格(3問以下正解)

Step 2の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • Q1を間違えた場合 → Step 2-1「チャンピオン制度の全体像」の役割と責任範囲を復習
  • Q2を間違えた場合 → Step 2-2「選定基準と選出プロセス」の4つの評価軸を復習
  • Q3を間違えた場合 → Step 2-2「選定基準と選出プロセス」のアンチパターンを復習
  • Q4を間違えた場合 → Step 2-3「チャンピオン育成プログラム」の3段階カリキュラムを復習
  • Q5を間違えた場合 → Step 2-4「認知・評価の仕組み」の3層モデルを復習

推定所要時間: 30分