ストーリー
田
田中VPoE
啓発キャンペーンの設計、文化の測定と可視化、持続可能な文化の維持 — Step 5の3つのレッスンを学んだ。ここからは実践だ。TechFlow社の年間啓発計画を策定してもらう
あなた
キャンペーンのテーマ設定だけでなく、効果測定や運用体制まで含めた包括的な計画ですね
あ
田
田中VPoE
その通り。啓発は「やって終わり」では意味がない。計画し、実行し、測定し、改善するPDCAサイクルを回せる設計にする。さらに、マンネリ化を防いで持続可能な仕組みにすることが求められる
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | セキュリティ啓発計画の策定 |
| 想定時間 | 60分 |
| 成果物 | セキュリティ啓発年間計画書(キャンペーンカレンダー + 測定指標 + 運用体制) |
| 対象組織 | TechFlow株式会社(800名) |
Mission 1: 啓発キャンペーンの年間カレンダー設計
要件
TechFlow社の年間セキュリティ啓発キャンペーンカレンダーを設計してください。
- 年間12ヶ月のテーマ設定(月ごとに1テーマ、組織の課題に沿った優先順位付け)
- 各テーマのチャネル戦略(ターゲット部門、配信チャネル、コンテンツフォーマット)
- 四半期ごとのハイライトイベント(CTF、セキュリティウィーク等の特別施策)
各キャンペーンのターゲットと期待される行動変容を明記してください。
解答例
年間キャンペーンカレンダー
| 月 | テーマ | ターゲット | 主要施策 | 期待する行動変容 |
|---|---|---|---|---|
| 4月 | セキュリティオンボーディング強化 | 新入社員 | ウェルカムキット + 体験型ワークショップ | 入社初日からセキュリティ意識を持つ |
| 5月 | フィッシング対策月間 | 全社(営業部重点) | シミュレーション + 即時フィードバック | 不審メールの報告率向上 |
| 6月 | パスワード・認証強化月間 | 営業部・管理部門 | MFA設定キャンペーン + パスワードマネージャ導入 | MFA有効化率45%→90%(営業部) |
| 7月 | データ保護月間 | カスタマーサクセス・営業 | データ分類ワークショップ + シャドーIT棚卸し | シャドーIT利用率32%→20% |
| 8月 | リモートワークセキュリティ | 全社 | VPN・端末管理の再確認 + 自宅環境チェックリスト | セキュアなリモートワーク環境の整備 |
| 9月 | インシデント報告推進月間 | 全社 | 匿名報告キャンペーン + 報告者ストーリー共有 | 報告件数の増加、心理的安全性向上 |
| 10月 | サイバーセキュリティ月間(国際連動) | 全社 | CTF大会 + 経営層メッセージ + 特別セミナー | セキュリティへの関心と知識の向上 |
| 11月 | セキュアコーディング月間 | 開発部門 | コードレビューチャレンジ + OWASP Top 10学習 | セキュリティレビュー実施率の向上 |
| 12月 | 年末セキュリティチェック | 全社 | デバイス棚卸し + アクセス権レビュー + 年間振り返り | 不要なアクセス権の整理 |
| 1月 | 新年セキュリティリセット | 全社 | パスワード更新キャンペーン + 年間目標設定 | 新年の行動習慣リセット |
| 2月 | ソーシャルエンジニアリング対策 | 全社(営業部重点) | 実演デモ + 対処訓練 | 対面・電話での不正アクセス試行への耐性 |
| 3月 | 年度末セキュリティ総まとめ | 全社 | 年間成果報告 + 表彰式 + 次年度計画発表 | 成果の可視化と次年度への動機付け |
チャネル戦略
| チャネル | 使用頻度 | コンテンツ例 | ターゲット |
|---|---|---|---|
| Slack(#security-tips) | 週2回 | セキュリティTips、クイズ、速報 | 全社 |
| メールニュースレター | 月1回 | 月次テーマの詳細解説、成果報告 | 全社 |
| タウンホール | 四半期 | 経営層メッセージ、成果報告、表彰 | 全社 |
| 社内Wiki | 常時 | FAQ、ガイドライン、手順書 | 全社 |
| ポスター・デジタルサイネージ | 月次更新 | 月間テーマのビジュアルリマインド | オフィス勤務者 |
| 部門別Slackチャンネル | 随時 | 部門固有のセキュリティ情報 | 各部門 |
四半期ハイライトイベント
| 四半期 | イベント | 内容 | 参加目標 |
|---|---|---|---|
| Q1(4-6月) | セキュリティブートキャンプ | 新入社員+全社参加型のハンズオンイベント | 全社参加率50% |
| Q2(7-9月) | セキュリティヒーロー表彰 | 四半期の貢献者・改善者を表彰 | 各部門から1名以上ノミネート |
| Q3(10-12月) | サイバーセキュリティCTF大会 | チーム対抗CTF + 特別セミナー | 開発部門80%、他部門30% |
| Q4(1-3月) | 年間セキュリティアワード | 年間MVP、ベスト部門、最優秀チャンピオン表彰 | 全社タウンホールで実施 |
Mission 2: セキュリティ文化測定指標の設計
要件
TechFlow社のセキュリティ文化を定量的に測定するための指標体系を設計してください。
- KPIダッシュボード設計(先行指標5つ + 遅行指標5つ、測定方法と目標値)
- 四半期サーベイの設問設計(10問、リッカート5段階、逆転項目を含む)
- 経営層向けダッシュボードのレイアウト(表示項目と更新頻度)
解答例
KPIダッシュボード
先行指標
| # | KPI | 現在値 | 6ヶ月目標 | 12ヶ月目標 | データソース | 測定頻度 |
|---|---|---|---|---|---|---|
| 1 | フィッシングシミュレーション報告率 | 未測定 | 40% | 70% | フィッシングツール | 四半期 |
| 2 | セキュリティ研修完了率 | 65% | 90% | 98% | LMS | 月次 |
| 3 | MFA有効化率 | 72% | 90% | 98% | IdP(Okta) | 月次 |
| 4 | インシデント報告件数(月平均) | 1件 | 4件 | 8件 | チケットシステム | 月次 |
| 5 | セキュリティサーベイスコア(総合) | 2.2 | 3.0 | 3.5 | サーベイツール | 四半期 |
遅行指標
| # | KPI | 現在値 | 6ヶ月目標 | 12ヶ月目標 | データソース | 測定頻度 |
|---|---|---|---|---|---|---|
| 6 | セキュリティインシデント件数(重大) | 4件/年 | 2件/年 | 1件/年 | SIEM | 月次 |
| 7 | フィッシングクリック率 | 未測定 | 20% | 10% | フィッシングツール | 四半期 |
| 8 | パッチ適用率(期限内) | 58% | 80% | 95% | 資産管理ツール | 月次 |
| 9 | シャドーIT利用率 | 32% | 20% | 10% | CASB | 四半期 |
| 10 | セキュリティ成熟度レベル | 1.5 | 2.5 | 3.0 | 成熟度評価 | 半期 |
四半期サーベイ設問
| # | 設問 | カテゴリ | 逆転 |
|---|---|---|---|
| Q1 | セキュリティは自分の仕事の一部だと思う | 責任意識 | - |
| Q2 | セキュリティ対策は業務の妨げになっている | 態度 | 逆転 |
| Q3 | 不審な事象を発見したら、すぐに報告する | 行動意図 | - |
| Q4 | セキュリティインシデントを報告しても不利益を受けない | 心理的安全性 | - |
| Q5 | 経営層はセキュリティを重要な経営課題と捉えている | 組織認知 | - |
| Q6 | セキュリティ研修の内容は実務に役立たない | 教育効果 | 逆転 |
| Q7 | チーム内でセキュリティに関する情報共有が活発に行われている | コミュニケーション | - |
| Q8 | セキュリティルールが多すぎて覚えきれない | ルール認知 | 逆転 |
| Q9 | 自分のセキュリティ知識は業務に十分だと思う | 知識自信 | - |
| Q10 | セキュリティの改善に自分も貢献したいと思う | 改善意欲 | - |
分析のポイント:
- Q2, Q6, Q8(逆転項目)のスコアが他の項目と一貫しているかで回答の信頼性を検証
- 部門別の比較で重点支援部門を特定
- 時系列比較で施策の効果を検証
経営層向けダッシュボード
| 表示項目 | 可視化方法 | 更新頻度 |
|---|---|---|
| セキュリティ成熟度スコア推移 | ゲージチャート(業界平均線付き) | 四半期 |
| 重大インシデント件数推移 | 折れ線グラフ(前年比較) | 月次 |
| フィッシングクリック率推移 | 折れ線グラフ(目標線付き) | 四半期 |
| 部門別セキュリティスコア | レーダーチャート(部門比較) | 四半期 |
| セキュリティ投資ROI | 棒グラフ(投資額 vs 削減コスト) | 四半期 |
| OKR進捗 | スコアカード(達成率色分け) | 月次 |
Mission 3: 持続可能な運用体制の設計
要件
啓発キャンペーンと測定を持続的に運用するための体制を設計してください。
- 年間リソース配分計画(予算、人員、時間の配分)
- マンネリ化防止策(3つ以上の具体的な仕組み)
- ROI評価フレームワーク(投資対効果の算出方法)
解答例
年間リソース配分計画
| 項目 | Q1 | Q2 | Q3 | Q4 | 年間合計 |
|---|---|---|---|---|---|
| キャンペーン制作費 | 100万 | 80万 | 120万 | 100万 | 400万円 |
| ツール費(フィッシングシミュレーション、LMS) | 50万 | 50万 | 50万 | 50万 | 200万円 |
| イベント費(CTF、表彰式) | 30万 | 30万 | 80万 | 50万 | 190万円 |
| 外部講師・研修費 | 50万 | 30万 | 50万 | 30万 | 160万円 |
| 合計 | 230万 | 190万 | 300万 | 230万 | 950万円 |
人員配分:
| 役割 | 担当 | 時間配分 |
|---|---|---|
| 啓発プログラムリーダー | セキュリティチーム(1名) | 業務時間の40% |
| コンテンツ制作担当 | セキュリティチーム(1名) | 業務時間の30% |
| チャンピオン(啓発活動) | 各部門チャンピオン(6名) | 業務時間の10% |
| サーベイ分析担当 | セキュリティチーム(1名) | 業務時間の15% |
| 経営層スポンサー | CTO/CISO | 月2時間(タウンホール、承認) |
マンネリ化防止策
| 施策 | 内容 | 実施頻度 |
|---|---|---|
| コンテンツローテーション | 同じテーマでもフォーマットを変更(動画→クイズ→ワークショップ→ゲーム) | 毎月 |
| ゲスト講師・外部事例 | 外部セキュリティ専門家の招聘、他社事例の共有 | 四半期 |
| 社員参加型コンテンツ | 社員が「自分のヒヤリハット体験」を投稿する仕組み | 常時 |
| 脅威トレンド連動 | 最新の脅威ニュースに連動したタイムリーな啓発 | 随時 |
| チャンピオンのローテーション | 年次でチャンピオンを交代し、新しい視点を導入 | 年次 |
| 成果の可視化と称賛 | 改善データを全社に共有し、貢献者を称賛する | 月次 |
ROI評価フレームワーク
投資(年間):
| 項目 | 金額 |
|---|---|
| 啓発プログラム運営費 | 950万円 |
| 人件費(専任工数) | 600万円 |
| チャンピオン活動の機会コスト | 300万円 |
| 投資合計 | 1,850万円 |
効果(年間・定量):
| 項目 | 試算根拠 | 効果 |
|---|---|---|
| インシデント削減 | 重大インシデント1件防止(対応コスト5,000万円×発生確率低減30%) | 1,500万円 |
| フィッシング被害防止 | クリック率低下による被害件数削減 | 500万円 |
| コンプライアンス対応効率化 | 監査対応工数20%削減 | 200万円 |
| シャドーIT削減 | 情報漏洩リスク低減 + IT管理コスト削減 | 300万円 |
| 効果合計 | 2,500万円 |
ROI:
ROI = (2,500 - 1,850) / 1,850 = 35.1%
回収期間 = 約9ヶ月
※ 定性的効果(顧客信頼回復、採用競争力、従業員エンゲージメント向上)は含まず達成度チェック
| 観点 | 達成基準 |
|---|---|
| キャンペーンカレンダー | 12ヶ月のテーマがTechFlow社の課題に沿って設計されている |
| チャネル戦略 | ターゲット部門に応じた適切なチャネルとフォーマットが選定されている |
| 測定指標 | 先行指標と遅行指標がバランスよく設計され、測定方法が明確である |
| サーベイ設計 | 逆転項目を含み、信頼性の高いサーベイが設計されている |
| 運用体制 | リソース配分が現実的で、マンネリ化防止策が具体的である |
| ROI | 投資対効果が定量的に算出されている |
推定所要時間: 60分