QUIZ 30分

クイズの説明

Step 4「インセンティブ設計でセキュリティを推進しよう」の理解度を確認します。インセンティブ設計、ナッジ理論、OKR、ポジティブ強化について問います。

合格ライン: 80%(5問中4問正解)

問題

Q1. インセンティブ設計の原則

セキュリティ文化変革において、罰則中心のアプローチが招く最大のリスクはどれですか?

  • A. セキュリティチームの業務量が増加する
  • B. インシデントの隠蔽が増え、被害が拡大する
  • C. セキュリティツールの導入コストが増加する
  • D. セキュリティ研修の参加率が低下する
答えを見る

正解: B

罰則中心のアプローチの最大のリスクは「インシデントの隠蔽」です。「ミスを報告すると罰せられる」という認識が広がると、社員はインシデントや不審事象を報告しなくなります。報告されないインシデントは対応が遅れ、被害が拡大します。セキュリティ文化変革では「報告する行動」を最も促進すべきであり、罰則はこれと正反対の効果を生みます。ポジティブインセンティブ(認知、成長、体験)を主軸に、報告を奨励する文化を作ることが重要です。

Q2. ナッジ理論の適用

2要素認証(MFA)の有効化率が低い組織で、最も効果的なナッジはどれですか?

  • A. MFAを有効化しない社員にメールで毎日警告を送る
  • B. MFAをデフォルトで有効にし、無効化する場合に理由入力を求める(オプトアウト方式)
  • C. MFAの技術的仕組みを解説する30分の動画を必須視聴にする
  • D. MFA未設定者のアカウントを即時停止する
答えを見る

正解: B

ナッジ理論の核心は「デフォルトの力」です。人間は現状維持バイアスが強く、デフォルト設定をそのまま受け入れる傾向があります。MFAをデフォルト有効(オプトアウト方式)にすれば、わざわざ無効化する人は少数です。毎日の警告メール(A)は「アラート疲れ」を招き無視されます。動画視聴(C)は知識提供であり行動変容には直結しません。アカウント即時停止(D)はナッジではなく強制であり、業務に支障をきたします。

Q3. セキュリティOKR

セキュリティOKRのKey Resultとして最も適切なものはどれですか?

  • A. 「セキュリティ研修を4回実施する」
  • B. 「セキュリティを強化する」
  • C. 「フィッシングシミュレーションのクリック率を25%→10%以下にする」
  • D. 「セキュリティチームの人数を増やす」
答えを見る

正解: C

OKRのKey Resultは「測定可能なアウトカム(成果)」である必要があります。フィッシングクリック率25%→10%(C)は具体的な数値目標であり、教育の成果(行動変容)を直接測定できます。研修の実施回数(A)は活動(Output)であり成果(Outcome)ではありません。「セキュリティを強化する」(B)は測定不能で曖昧です。チーム人数の増加(D)は投入リソースであり、セキュリティの成果を測定するKRとしては不適切です。

Q4. ポジティブ強化のタイミング

セキュリティ行動のポジティブ強化において、フィードバックの最適なタイミングはどれですか?

  • A. 月末にまとめて全員にフィードバックする
  • B. 望ましい行動の直後(数秒〜数分以内)にフィードバックする
  • C. 年次の人事評価時にまとめてフィードバックする
  • D. 本人が忘れた頃にフィードバックする
答えを見る

正解: B

ポジティブ強化の効果はフィードバックの即時性に大きく依存します。望ましい行動の直後(数秒〜数分以内)にポジティブなフィードバックを与えることで、脳が「この行動=良いこと」という結びつきを形成します。例えば、フィッシングメールを正しく報告した直後に「正しい判断です!」というメッセージが表示されれば、次回も同じ行動を取る確率が高まります。月末(A)や年次(C)のまとめフィードバックでは、行動との結びつきが弱くなり効果が薄れます。

Q5. インセンティブ設計の統合

組織のセキュリティ文化を変革するためのインセンティブ設計として、最も効果的なアプローチはどれですか?

  • A. 高額の金銭報酬のみで動機付ける
  • B. ナッジで環境を整え、OKRで目標を共有し、ポジティブ強化で行動を定着させる統合的なアプローチ
  • C. セキュリティ違反者への厳罰を公開し、恐怖で行動を統制する
  • D. セキュリティチームが全社員の行動を常時監視する
答えを見る

正解: B

セキュリティ文化変革には、複数のアプローチを統合した設計が最も効果的です。ナッジで「セキュアな行動が自然に取れる環境」を整え、OKRで「組織全体でセキュリティを重要事項として共有」し、ポジティブ強化で「望ましい行動を習慣化」する。この3つが相互に補完することで、持続的な文化変革が実現します。金銭報酬のみ(A)は外発的動機に依存し持続しません。厳罰(C)は報告回避を招きます。常時監視(D)は信頼を破壊し、エンゲージメントを著しく低下させます。

結果

合格(4問以上正解)

Step 4の内容をよく理解しています。次のStep 5に進みましょう。

「人を変えるのは罰ではなく、認知と報酬だ。セキュリティを『やりたくなる仕事』にすること。それがインセンティブ設計の真髄だ」 — 田中VPoE

不合格(3問以下正解)

Step 4の内容を復習しましょう。特に以下のポイントを重点的に確認してください:

  • Q1を間違えた場合 → Step 4-1「インセンティブ設計の基本」の罰則の弊害を復習
  • Q2を間違えた場合 → Step 4-2「ナッジ理論」のデフォルト設計を復習
  • Q3を間違えた場合 → Step 4-3「セキュリティOKR」のKR設計原則を復習
  • Q4を間違えた場合 → Step 4-4「ポジティブ強化」のフィードバック即時性を復習
  • Q5を間違えた場合 → Step 4全体の統合的なアプローチを復習

推定所要時間: 30分