なぜセキュリティは「社内ルール」から始まるのか
本コラムは、経済産業省・IPAが策定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、
その要求事項を中国古典『孫子の兵法』の視点から読み解くシリーズです。
SCS評価制度において最初に求められる要素が「社内ルール整備」です。
一見すると基本的な対応に見えますが、その背景にはセキュリティを戦略として扱うための考え方があります。
セキュリティ対策は「何をすべきか」は語られる一方で、
「なぜそれが必要なのか」が整理されることは多くありません。
本シリーズでは、約2500年前の戦略書である孫子を手がかりに、
SCSの各要求事項が持つ意味を、戦略という観点から捉え直していきます。
今回は、その出発点となる「社内ルール」を取り上げます。
大分類:ガバナンスの整備 / 中分類:組織の状況
要求事項:社内ルール(1-1-1)
社内ルール整備とは何か(SCS評価制度の要求)
SCSが求めていること
SCS評価制度では、次のように定められています。
セキュリティに関する法令等に規定された事項を考慮し、社内ルールを策定及び周知すること。
その前提として、次の事項を把握することが求められます。
- 自社に関連する法令
- 所管省庁・業界基準
- 取引先の要求事項
単なる規程整備ではなく、活動の前提条件を整理することが求められていると言えます。
孫子における同じ考え方
この構造は、『孫子』の冒頭に示される考え方と一致しています。
兵者,国之大事,死生之地,存亡之道,不可不察也
―『孫子兵法・計篇』
(戦いとは国家にとって極めて重要であり、
生死や存亡を左右するものである。ゆえに、
これを十分に見極めないわけにはいかない)
ここで示されている「察」とは、単なる観察ではありません。
戦う前に、
どのような条件で動くのか、何が制約となるのかを、
あらかじめ明確にしておくことを意味します。
戦いは、始まる前の段階で方向が決まる。
SCSと孫子の対応関係
| SCSで把握するもの | 意味 |
|---|---|
| 法令 | 行動を制約する条件 |
| 省庁・業界基準 | 外部環境 |
| 取引先要求 | 関係性による制約 |
SCS評価制度は、これらを整理することから始まります。
まず前提条件を定めること。
なぜ社内ルールが必要か(孫子に学ぶ戦略の前提)
なぜ「社内ルール」に落とし込むのか
前提条件を理解するだけでは、組織は動きません。
そこで必要になるのが、「社内ルール」という形への変換です。
- 法令 → 社内規程
- 取引先要求 → 運用ルール
- 基準 → 手順
外部の条件を、組織の行動に変換することが求められます。
さらに、それを周知することで、
組織全体の行動が揃います。
ルールがない場合に起こること
- 判断が個人に依存する
- 要求事項が守られない
- 法令対応が不十分になる
- インシデント対応が遅れる
これは組織としての統一が取れていない状態です。
注意点・整理
この要求の本質
社内ルール整備とは、単なる文書作成ではありません。
戦略の前提条件を定義する行為です。
まとめ
不可不察也
(見ずに済ませてはならない=事前に条件を見極めよ)
セキュリティの出発点は「対策」ではなく、
前提条件の整理にある。
チェック:自社はどこまでできているか
以下はチェックシートです。
すべてに☑が付く状態が望ましい状態です。
- ☑ 自社に関連する法令を整理できているか
- ☑ 所管省庁や業界基準を把握しているか
- ☑ 取引先から求められているセキュリティ要件を把握しているか
- ☑ それらを社内ルールとして明文化しているか
- ☑ 策定したルールが全社に周知されているか
- ☑ ルールに基づいて実際に運用されているか
もしこれらに一つでも☑を付けられない場合、
前提条件が整理されていない状態で対策を進めている可能性があります。
セキュリティは対策の積み上げではなく、
前提条件の整理から始まります。
まずは、自社の現状を正しく把握することから始める必要があります。
続いて、「誰がこの戦いを指揮するのか」という問題に移ります。
