なぜ「セキュリティ対応方針」が必要なのか

本コラムは、経済産業省・IPAが策定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、
その要求事項を中国古典『孫子の兵法』の視点から読み解くシリーズです。

前回は「役割・責任・権限」を取り上げ、誰が意思決定するのかを定義する重要性を整理しました。


第2回:なぜ「役割・責任・権限」を定めるのか

今回は、その意思決定の基準となる「セキュリティ方針」を扱います。

大分類:ガバナンスの整備 / 中分類:方針(1-3)

セキュリティ方針とは何か(SCS評価制度の要求)

SCS評価制度では次のように求められています。

自社のセキュリティ対応方針を策定し、周知すること。

一見すると文書整備のように見えますが、この要求が意味するのは単なる形式ではありません。

組織としてどのように対応し、どのように意思決定するかを事前に定めることです。

セキュリティ対策は、その場で判断して実行するものではなく、判断基準そのものを先に持つ必要があります。

なぜ方針が必要か(孫子における考え方)

この考え方は、孫子において明確に示されています。

勝兵先勝而後求戰,敗兵先戰而後求勝

―『孫子兵法・形篇』

(勝つ軍は戦う前に勝っており、負ける軍は戦ってから勝とうとする)

この言葉が示すのは、戦いの結果は行動の前に決まるという考え方です。

勝敗は、実行ではなく設計の段階で決まる。

ここで言う「勝っている状態」とは、何を重視し、どこまで対応し、どのリスクを受け入れるのかが整理されている状態です。

方針が定めるもの

  • 何を守るのか
  • どこまで守るのか
  • どのリスクを受け入れるのか

これらが定義されていることにより、組織として一貫した判断が可能になります。

方針がない場合に起こること

方針が定まっていない場合、個々の対策は存在していても、全体としての整合が取れません。

  • 対応の優先順位が定まらない
  • 判断が人に依存する
  • コストとリスクのバランスが取れない

結果として、場面ごとの対応が積み重なるだけになります。

これは戦略がない状態で行動することと同じです。

方針の役割

セキュリティ方針は、個々の対策の前提になる存在です。

  • 重要な資産の定義
  • 許容可能なリスクの範囲
  • 守るべき基準

これらが明確であって初めて、各種対策が意味を持ちます。

前回までとの関係と整理

ここまでの流れを整理すると、次のようになります。

  • 1-1:社内ルール → 前提条件の整理
  • 1-2:役割・責任 → 行動主体の定義
  • 1-3:方針 → 行動基準の定義

方針は、組織としてどのように判断するかを決める基準です。

周知の意味

SCSでは、方針の策定だけでなく周知も求められます。

これは単なる情報共有ではなく、組織全体の行動を統一するための要件です。

同じ基準で判断するためには、全員が同じ方針を理解している必要があります。

まとめ

セキュリティ方針は、文書整備のためのものではありません。

それは、組織としてどのように行動するかを決める基準であり、
意思決定を支える土台です。

対策の前に、勝ち方を定めること。


セキュリティは対策から始まるのではなく、
方針から始まる。

チェック:行動の基準は定義されているか

以下はチェックシートです。
すべてに☑が付く状態が望ましい状態です。

  • ☑ 組織として何を守るのか(重要な対象)が明確になっているか
  • ☑ どこまで対応するのか(守る範囲・水準)が定義されているか
  • ☑ どのリスクを受け入れるのかが整理されているか
  • ☑ 判断が場面ごとではなく、共通の基準に基づいて行われているか
  • ☑ 優先順位が明確であり、対応に迷いが生じない状態か
  • ☑ 方針が組織全体に理解され、共通の判断基準として機能しているか

もしこれらに一つでも☑を付けられない場合、
行動の基準が定まらないまま、対策だけが積み重なっている可能性があります。

方針が明確でなければ、
同じ状況でも判断が分かれ、組織としての一貫性は保たれません。

まずは、自社がどのような基準で判断しているのか、
その定義状況を確認することが重要です。


  • 銀雀山漢墓竹簡 – 中國哲學書電子化計劃

    (『孫子兵法・形篇』「勝兵先勝而後求戰,敗兵先戰而後求勝」)

  • サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | IPA

  • サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | 経済産業省