なぜ「セキュリティ対応方針」が必要なのか
本コラムは、経済産業省・IPAが策定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、
その要求事項を中国古典『孫子の兵法』の視点から読み解くシリーズです。
前回は「役割・責任・権限」を取り上げ、誰が意思決定するのかを定義する重要性を整理しました。
今回は、その意思決定の基準となる「セキュリティ方針」を扱います。
大分類:ガバナンスの整備 / 中分類:方針(1-3)
セキュリティ方針とは何か(SCS評価制度の要求)
SCS評価制度では次のように求められています。
自社のセキュリティ対応方針を策定し、周知すること。
一見すると文書整備のように見えますが、この要求が意味するのは単なる形式ではありません。
組織としてどのように対応し、どのように意思決定するかを事前に定めることです。
セキュリティ対策は、その場で判断して実行するものではなく、判断基準そのものを先に持つ必要があります。
なぜ方針が必要か(孫子における考え方)
この考え方は、孫子において明確に示されています。
勝兵先勝而後求戰,敗兵先戰而後求勝
―『孫子兵法・形篇』
(勝つ軍は戦う前に勝っており、負ける軍は戦ってから勝とうとする)
この言葉が示すのは、戦いの結果は行動の前に決まるという考え方です。
勝敗は、実行ではなく設計の段階で決まる。
ここで言う「勝っている状態」とは、何を重視し、どこまで対応し、どのリスクを受け入れるのかが整理されている状態です。
方針が定めるもの
- 何を守るのか
- どこまで守るのか
- どのリスクを受け入れるのか
これらが定義されていることにより、組織として一貫した判断が可能になります。
方針がない場合に起こること
方針が定まっていない場合、個々の対策は存在していても、全体としての整合が取れません。
- 対応の優先順位が定まらない
- 判断が人に依存する
- コストとリスクのバランスが取れない
結果として、場面ごとの対応が積み重なるだけになります。
これは戦略がない状態で行動することと同じです。
方針の役割
セキュリティ方針は、個々の対策の前提になる存在です。
- 重要な資産の定義
- 許容可能なリスクの範囲
- 守るべき基準
これらが明確であって初めて、各種対策が意味を持ちます。
前回までとの関係と整理
ここまでの流れを整理すると、次のようになります。
- 1-1:社内ルール → 前提条件の整理
- 1-2:役割・責任 → 行動主体の定義
- 1-3:方針 → 行動基準の定義
方針は、組織としてどのように判断するかを決める基準です。
周知の意味
SCSでは、方針の策定だけでなく周知も求められます。
これは単なる情報共有ではなく、組織全体の行動を統一するための要件です。
同じ基準で判断するためには、全員が同じ方針を理解している必要があります。
まとめ
セキュリティ方針は、文書整備のためのものではありません。
それは、組織としてどのように行動するかを決める基準であり、
意思決定を支える土台です。
対策の前に、勝ち方を定めること。
セキュリティは対策から始まるのではなく、
方針から始まる。
チェック:行動の基準は定義されているか
以下はチェックシートです。
すべてに☑が付く状態が望ましい状態です。
- ☑ 組織として何を守るのか(重要な対象)が明確になっているか
- ☑ どこまで対応するのか(守る範囲・水準)が定義されているか
- ☑ どのリスクを受け入れるのかが整理されているか
- ☑ 判断が場面ごとではなく、共通の基準に基づいて行われているか
- ☑ 優先順位が明確であり、対応に迷いが生じない状態か
- ☑ 方針が組織全体に理解され、共通の判断基準として機能しているか
もしこれらに一つでも☑を付けられない場合、
行動の基準が定まらないまま、対策だけが積み重なっている可能性があります。
方針が明確でなければ、
同じ状況でも判断が分かれ、組織としての一貫性は保たれません。
まずは、自社がどのような基準で判断しているのか、
その定義状況を確認することが重要です。
銀雀山漢墓竹簡 – 中國哲學書電子化計劃
(『孫子兵法・形篇』「勝兵先勝而後求戰,敗兵先戰而後求勝」)
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | IPA
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度) | 経済産業省
