ストーリー
田
田中VPoE
インセンティブ設計、ナッジ理論、OKR、ポジティブ強化 — 4つの理論を学んだ。これを統合してTechFlow社のインセンティブ制度を設計してもらう
あなた
理論をそのまま当てはめるのではなく、TechFlow社の文化と課題に合わせた設計が必要ですね
あ
田
田中VPoE
その通り。TechFlow社の最大の課題は「報告文化の欠如」と「セキュリティは邪魔者という認識」だ。この2つをインセンティブで変える。罰ではなく、望ましい行動を促進する設計だ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティインセンティブ制度の設計 |
| 想定時間 | 90分 |
| 成果物 | インセンティブ制度設計書(ナッジ + OKR + ポジティブ強化の統合) |
| 対象組織 | TechFlow株式会社(800名) |
Mission 1: ナッジ設計
要件
TechFlow社の以下の課題に対するナッジを設計してください。
- MFA有効化率が72%(営業部45%) → 100%を目指すナッジ
- シャドーIT利用率が32% → 抑制するナッジ
- 離席時PC未ロック率が40% → 改善するナッジ
- インシデント報告の心理的安全性が18% → 改善するナッジ
各ナッジについてEAST原則のどれを活用しているか明示してください。
解答例
| 課題 | ナッジ設計 | EAST原則 | 期待効果 |
|---|---|---|---|
| MFA有効化率 | デフォルト有効化(新規はオプトアウト式)+ 社会的証明メッセージ「開発部門は95%が有効化済みです」 | Easy + Social | 営業部45%→90%以上 |
| シャドーIT | 未承認サービス利用時に「承認済みの代替サービスはこちら」を提示 + 「同僚の68%が承認済みサービスを利用しています」 | Easy + Social + Attractive | シャドーIT 32%→15% |
| PC未ロック | 自動ロック時間を15分→5分に変更 + ロック時にポジティブメッセージ「セキュアな行動です」 | Easy + Attractive + Timely | 未ロック率40%→10% |
| 報告の安全性 | 匿名報告オプション追加 + 報告後即座に「ありがとうございます」メッセージ + 月次で「報告のおかげで防げたインシデント」を共有 | Easy + Attractive + Timely | 心理的安全性18%→50% |
Mission 2: セキュリティOKRの策定
要件
- 全社OKR(Objective 1つ + KR 3つ)
- 開発部門OKR(Objective 1つ + KR 3つ)
- 営業部門OKR(Objective 1つ + KR 3つ)
各KRの測定方法と現在値→目標値を明記してください。
解答例
全社OKR
Objective: セキュリティを「全員の仕事」にし、報告文化を確立する
KR1: セキュリティ文化サーベイの「セキュリティは自分の仕事」スコアを2.3→3.5にする
測定: 四半期サーベイ(Q6の平均スコア)
KR2: インシデント報告件数を12件/年→48件/年に増加させる
測定: セキュリティチームへの報告件数カウント
KR3: フィッシングシミュレーションのクリック率を測定開始し、年度末に15%以下にする
測定: フィッシングシミュレーションツールのレポート開発部門OKR
Objective: セキュアな開発プロセスを標準にする
KR1: セキュリティレビュー実施率を0%→80%にする
測定: PRにセキュリティレビューラベルが付与された割合
KR2: 高リスク脆弱性のリリース前検出率を90%にする
測定: SAST/DASTの検出件数 / リリース後発見数
KR3: 開発者のセキュアコーディング研修修了率を100%にする
測定: LMS修了記録営業部門OKR
Objective: 顧客データを守り、セキュリティ事故ゼロを達成する
KR1: MFA有効化率を45%→100%にする
測定: IdPのMFA有効化レポート
KR2: フィッシングシミュレーションのクリック率を20%以下にする
測定: フィッシングシミュレーションツールのレポート
KR3: 顧客データ取り扱いインシデントをゼロにする
測定: インシデント管理システムのカウントMission 3: ポジティブ強化プログラムの設計
要件
- 報告行動の強化プログラム(習慣ループ + 強化スケジュール)
- 部門レベルの競争/協力プログラム
- 年間の認知・表彰イベント計画
解答例
報告行動の強化プログラム
習慣ループ:
- きっかけ: 不審なメール受信、異常なシステム動作
- 行動: セキュリティ報告フォームで報告
- 報酬: 即座の感謝メッセージ + 50ポイント + 「セキュリティガーディアン」進捗表示
強化スケジュール:
- 導入期(1-3ヶ月): 連続強化。毎回の報告にポイント+感謝
- 定着期(4-6ヶ月): 固定比率。3件報告でバッジ、10件でランクアップ
- 維持期(7ヶ月以降): 変動間隔。ランダムなボーナスポイント
部門レベルプログラム
| 施策 | 内容 | 頻度 |
|---|---|---|
| 部門スコアボード | セキュリティKPIの部門別スコアを公開 | 月次 |
| 改善賞 | 最も改善した部門にチームランチ提供 | 四半期 |
| ゼロインシデント表彰 | 四半期インシデントゼロの部門を表彰 | 四半期 |
年間認知・表彰計画
| 時期 | イベント | 内容 |
|---|---|---|
| 毎月 | セキュリティヒーロー選出 | 最も貢献した社員を紹介 |
| Q1末 | 四半期セキュリティ表彰 | 部門賞、個人賞、改善賞 |
| Q2 | サイバーセキュリティチャレンジ | CTF + 特別表彰 |
| Q3末 | 四半期セキュリティ表彰 | Q1と同様 |
| Q4 | 年間セキュリティアワード | 年間MVP、年間ベスト部門、年間改善賞 |
達成度チェック
| 観点 | 達成基準 |
|---|---|
| ナッジ設計 | EAST原則に基づき、TechFlow社の課題に適した設計がされている |
| OKR | 測定可能、挑戦的、期限付きのKRが3層で設定されている |
| ポジティブ強化 | 習慣ループと強化スケジュールが適切に設計されている |
| 統合性 | ナッジ、OKR、ポジティブ強化が相互に補完している |
| 現実性 | TechFlow社のリソースと制約の中で実現可能な設計になっている |
推定所要時間: 90分