ストーリー
田
田中VPoE
教育フレームワーク、ゲーミフィケーション、CTF、フィッシングシミュレーション — 4つの武器を手に入れた。これを統合してTechFlow社向けの年間教育プログラムを設計してもらう
あなた
4つをバラバラに実施するのではなく、1つの体系的なプログラムにまとめるんですね
あ
田
田中VPoE
そうだ。年間を通じて継続的に教育が行われ、効果が測定され、改善されるサイクルを設計する。TechFlow社の弱点である「年1回のeラーニングで終わり」を完全に置き換えるプログラムだ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティ教育プログラムの構築 |
| 想定時間 | 90分 |
| 成果物 | 年間セキュリティ教育プログラム設計書 |
| 対象組織 | TechFlow株式会社(800名) |
Mission 1: 3層教育モデルの具体設計
要件
TechFlow社の800名に対して、以下を設計してください。
- Layer 1(全社基礎教育) のマイクロラーニング年間計画(12ヶ月分)
- Layer 2(役割別教育) の役割グループ定義とカリキュラム
- Layer 3(専門教育) の対象者とトピック
解答例
Layer 1: 全社基礎教育(年間計画)
| 月 | テーマ | 配信コンテンツ | 所要時間/人 |
|---|---|---|---|
| 1月 | パスワード安全管理 | Tips×4 + クイズ×2 + 事例×1 | 30分 |
| 2月 | フィッシング対策 | Tips×4 + クイズ×2 + シミュレーション×1 | 45分 |
| 3月 | 情報の機密分類 | Tips×4 + クイズ×2 + 事例×1 | 30分 |
| 4月 | ソーシャルエンジニアリング | Tips×4 + クイズ×2 + 事例×1 | 30分 |
| 5月 | モバイルデバイスセキュリティ | Tips×4 + クイズ×2 | 25分 |
| 6月 | クラウドサービスの安全利用 | Tips×4 + クイズ×2 + 事例×1 | 30分 |
| 7月 | インシデント報告 | Tips×4 + クイズ×2 + シミュレーション×1 | 45分 |
| 8月 | リモートワークセキュリティ | Tips×4 + クイズ×2 | 25分 |
| 9月 | データ保護とプライバシー | Tips×4 + クイズ×2 + 事例×1 | 30分 |
| 10月 | サイバーセキュリティ月間 | CTF + 特別コンテンツ | 120分 |
| 11月 | サプライチェーンリスク | Tips×4 + クイズ×2 | 25分 |
| 12月 | 年間振り返りと来年の課題 | 年間レポート + クイズ | 20分 |
Layer 2: 役割別教育
| 役割グループ | 人数 | 年間カリキュラム | 頻度 |
|---|---|---|---|
| 開発者 | 300名 | セキュアコーディング、OWASP Top 10、DevSecOps実践 | 月次ハンズオン |
| 営業・CS | 200名 | 顧客データ保護、フィッシング上級、インシデント報告 | 月次ケーススタディ |
| 管理職 | 50名 | リスクマネジメント、インシデント意思決定、規制動向 | 四半期ワークショップ |
| 管理部門 | 60名 | コンプライアンス、個人情報保護、内部監査 | 四半期座学+演習 |
| 新入社員 | 随時 | セキュリティオンボーディング(半日) | 入社時 |
Mission 2: ゲーミフィケーション + CTF + フィッシングシミュレーション計画
要件
- ゲーミフィケーションシステム のポイント・バッジ・リーダーボード設計
- 年2回のCTF大会 の企画(第1回と第2回の設計)
- フィッシングシミュレーション の年間実施計画(4回)
解答例
ゲーミフィケーション設計
ポイントシステム:
| 活動 | ポイント | 年間想定回数 | 最大獲得pt |
|---|---|---|---|
| マイクロラーニング完了 | 20pt | 48回 | 960pt |
| 月次クイズ全問正解 | 50pt | 12回 | 600pt |
| フィッシング報告 | 100pt | 4回 | 400pt |
| CTF参加 | 300pt | 2回 | 600pt |
| 改善提案 | 100pt | 随時 | 上限なし |
バッジ(10種類): セキュリティルーキー、フィッシングハンター、CTFチャレンジャー、連続学習者、報告マイスター 等
CTF計画
| 項目 | 第1回(5月) | 第2回(10月) |
|---|---|---|
| テーマ | セキュリティ基礎 | インシデント対応 |
| 形式 | Jeopardy | Jeopardy + ミニAttack-Defense |
| 問題数 | Easy15 + Medium8 + Hard3 | Easy10 + Medium10 + Hard5 |
| 参加目標 | 全社員の40% | 全社員の60% |
| 予算 | 50万円 | 80万円 |
フィッシングシミュレーション計画
| 回 | 時期 | 難易度 | 目的 |
|---|---|---|---|
| 第1回 | 2月 | Easy | ベースライン測定 |
| 第2回 | 5月 | Easy+Medium | 教育効果確認 |
| 第3回 | 8月 | Medium | 部門別弱点対応 |
| 第4回 | 11月 | Medium+Hard | 年間成果測定 |
Mission 3: 効果測定と予算計画
要件
- カークパトリック4段階 での効果測定計画
- 年間予算 の見積もり
- ROI の試算
解答例
効果測定計画
| レベル | 指標 | 測定方法 | 目標値 |
|---|---|---|---|
| L1: 反応 | 研修満足度 | 各研修後アンケート | 4.0/5.0 |
| L2: 学習 | 知識テストスコア | 月次クイズ正答率 | 80%以上 |
| L3: 行動 | フィッシングクリック率 | シミュレーション | ベースライン比-50% |
| L3: 行動 | インシデント報告率 | 報告件数/検知件数 | 60%以上 |
| L4: 成果 | インシデント件数 | 年間カウント | 前年比-30% |
| L4: 成果 | インシデント対応コスト | 対応工数×単価 | 前年比-25% |
年間予算
| 項目 | 金額 | 内訳 |
|---|---|---|
| フィッシングシミュレーションツール | 400万円 | ライセンス費用 |
| CTFプラットフォーム・運営 | 130万円 | ツール+賞品+運営費 |
| eラーニングコンテンツ制作 | 300万円 | 動画制作、クイズ開発 |
| 外部講師 | 200万円 | 専門研修4回分 |
| ゲーミフィケーションツール | 100万円 | ポイント・バッジ管理 |
| 合計 | 1,130万円 |
ROI試算
- 投資: 1,130万円/年
- 効果: インシデント1件防止で3,000万円のコスト回避(前回のフィッシング被害の対応コスト+信頼回復コスト基準)
- ROI: (3,000 - 1,130) / 1,130 = 165%
達成度チェック
| 観点 | 達成基準 |
|---|---|
| 3層教育 | Layer 1-3が体系的に設計され、全社員をカバーしている |
| ゲーミフィケーション | ポイント・バッジ・リーダーボードが適切に設計されている |
| CTF | 全社員参加を考慮した難易度設計がされている |
| フィッシングシミュレーション | 倫理的ガイドラインに沿った計画になっている |
| 効果測定 | カークパトリック4段階で測定計画が策定されている |
| 予算 | 現実的な予算見積もりとROI試算がある |
推定所要時間: 90分