QUIZ 30分

クイズの説明

Step 3「セキュリティ教育プログラムを設計しよう」の理解度を確認します。教育フレームワーク、ゲーミフィケーション、CTF設計、フィッシングシミュレーションについて問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. 従来型セキュリティ研修の改善

年1回の全社一斉eラーニングの最大の問題点はどれですか?

  • A. コストが高すぎる
  • B. エビングハウスの忘却曲線に示される通り、1回の学習では知識が定着しない
  • C. eラーニングは対面研修より必ず劣る
  • D. 全社一斉で実施すると業務が停止する
答えを見る

正解: B

エビングハウスの忘却曲線によれば、1日後に約74%の情報を忘れてしまいます。年1回のeラーニングでは、研修直後は知識が向上しても、数日後にはほぼ元に戻ります。効果的なセキュリティ教育には、マイクロラーニング(短時間・高頻度)や反復学習を組み込み、継続的に知識を定着させる仕組みが必要です。コスト(A)は年1回の方がむしろ安い場合が多く、eラーニングが対面より劣る(C)とは一概に言えません。業務停止(D)はスケジューリングの問題であり、最大の問題点ではありません。

Q2. ゲーミフィケーションの設計原則

セキュリティ教育にゲーミフィケーションを導入する際、最も重要な設計原則はどれですか?

  • A. できるだけ高額の金銭報酬を用意する
  • B. 自律性・有能感・関係性の3要素で内発的動機を刺激する
  • C. 全社員のスコアを公開ランキングで晒す
  • D. ゲームの要素を可能な限り多く詰め込む
答えを見る

正解: B

ゲーミフィケーションの理論的基盤は自己決定理論であり、「自律性(自分で選択できる)」「有能感(成長を実感できる)」「関係性(他者との繋がり)」の3要素が内発的動機を刺激します。高額報酬(A)は外発的動機に依存し、報酬がなくなると行動も止まります。全員のスコア公開(C)は低スコア者の心理的安全性を損ない逆効果です。要素の過剰な詰め込み(D)は複雑さを増し、学習の本質から離れてしまいます。

Q3. CTFの設計

社内CTFで非エンジニア社員の参加率を高めるために最も効果的なアプローチはどれですか?

  • A. 非エンジニアの参加を免除する
  • B. フィッシング検出や情報分類など、技術知識不要のEasy問題を用意する
  • C. 非エンジニアにもプログラミング研修を事前に実施する
  • D. 非エンジニアのスコアを別集計にする
答えを見る

正解: B

社内CTFの目的はセキュリティ文化の醸成であり、全社員の参加が重要です。フィッシングメールの見分け方、パスワードの安全性判定、情報の機密レベル分類など、技術的なプログラミングスキルを必要としない問題カテゴリを用意することで、非エンジニアも楽しみながら参加できます。参加免除(A)は文化醸成の目的に反します。プログラミング研修(C)は目的と手段が逆転しています。別集計(D)は分断を生みます。

Q4. フィッシングシミュレーションの倫理

フィッシングシミュレーションを実施する際、最も重要な倫理的ガイドラインはどれですか?

  • A. クリックした社員の氏名を全社に公開して危機意識を高める
  • B. クリック結果を人事評価に直接反映して抑止力とする
  • C. クリックした社員に即時教育を提供し、結果は統計的に扱い個人を特定した公開はしない
  • D. クリック率が低い場合はシミュレーションを中止する
答えを見る

正解: C

フィッシングシミュレーションは「教育の一環」であり、クリックした社員は「学習機会を得た人」です。氏名の全社公開(A)は心理的安全性を破壊し、インシデント報告を抑制する最悪のアプローチです。人事評価への直接反映(B)も同様に報告回避の動機を生みます。クリック後に即座に教育コンテンツ(このメールの不審点の解説、正しい対応方法)を提供し、結果は部門単位の統計として分析するのが正しい実施方法です。クリック率が低いこと(D)はむしろ好ましい結果であり、中止する理由にはなりません。

Q5. 教育効果の測定

カークパトリックの4段階モデルで「Level 3: 行動」に該当するセキュリティ教育の効果指標はどれですか?

  • A. 研修後の満足度アンケートスコア
  • B. 知識テストの正答率
  • C. フィッシングシミュレーションのクリック率の改善
  • D. 年間のインシデント対応コストの削減額
答えを見る

正解: C

カークパトリックのLevel 3は「行動(Behavior)」、つまり学んだことが実際の行動変容に結びついているかを測定します。フィッシングシミュレーションのクリック率は、教育前後で実際の行動がどう変化したかを直接測定する指標です。満足度(A)はLevel 1「反応」、知識テスト(B)はLevel 2「学習」、インシデント対応コスト削減(D)はLevel 4「成果(ビジネスインパクト)」に該当します。

結果

合格(4問以上正解)

Step 3の内容をよく理解しています。セキュリティ教育プログラムの設計力を身につけました。次のStep 4に進みましょう。

「教育は一発の弾丸ではなく、継続的な灌漑だ。少しずつ、繰り返し、楽しみながら。それが文化を育てる」 — 田中VPoE

不合格(3問以下正解)

Step 3の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • Q1を間違えた場合 → Step 3-1「セキュリティ教育フレームワーク」の従来型の問題点を復習
  • Q2を間違えた場合 → Step 3-2「ゲーミフィケーション」の自己決定理論を復習
  • Q3を間違えた場合 → Step 3-3「CTF設計」の非エンジニア向け設計を復習
  • Q4を間違えた場合 → Step 3-4「フィッシングシミュレーション」の倫理ガイドラインを復習
  • Q5を間違えた場合 → Step 3-1「セキュリティ教育フレームワーク」のカークパトリック4段階を復習

推定所要時間: 30分