なぜ「セキュリティ対策推進計画」が必要なのか
本コラムは、経済産業省・IPAが策定した「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」について、
その要求事項を中国古典『孫子の兵法』の視点から読み解くシリーズです。
前回は「セキュリティ方針」を取り上げ、組織としての判断基準を事前に定める重要性を整理しました。
大分類:ガバナンスの整備 / 中分類:監督(1-4)
監督とは何か(SCS評価制度の要求)
SCS評価制度では、次のように定められています。
セキュリティ対策推進計画を策定し、定期的に経営層へ対策実施状況に関する報告を行うとともに、
報告結果を対策の推進に反映すること。
この要求は、計画・実行・報告・改善という一連の流れを指しています。
単なる管理ではなく、意思決定を循環させる仕組みを持つことが求められます。
なぜ監督が必要か(孫子における考え方)
この考え方は、孫子においても示されています。
兵形象水
―『孫子兵法・形篇』
(兵の形は水に似る)
水は形を固定せず、状況に応じて流れを変えます。
戦略もまた、環境に応じて変化させ続ける必要があります。
ここまでの整理を振り返ると、
- 前提条件を定める(第1回)
- 意思決定主体を定める(第2回)
- 判断基準を定める(第3回)
これにより「戦える状態」は整っています。
しかし、環境は変化し続けるため、これだけでは不十分です。
決めた戦略を維持するのではなく、更新し続ける必要があります。
監督の構造
SCSが求める監督は、次の循環です。
- 計画を立てる
- 実行する
- 状況を報告する
- 結果を反映する
戦略を「生きた状態」に保つための循環です。
経営層への報告の意味
- セキュリティが経営リスクであるため
- 最終的な意思決定が経営にあるため
判断に必要な情報を適切に伝えることで、組織としての意思決定が成立します。
反映が持つ意味
- 報告するが変わらない
- 過去の前提のまま動き続ける
環境が変化する中で修正が行われなければ、戦略は機能しません。
まとめ
セキュリティにおける監督とは、
- 計画を作ることでもなく
- 報告を行うことでもなく
意思決定の循環を止めないことです。
戦略は一度定めて終わるものではありません。
変化に応じて更新し続けることで、初めて機能する。
チェック:意思決定の循環は機能しているか
以下はチェックシートです。
すべてに☑が付く状態が望ましい状態です。
- ☑ 計画・実行・報告・改善の流れが定義されているか
- ☑ 実行状況が定期的に可視化されているか
- ☑ 報告が意思決定に繋がる形で行われているか
- ☑ 経営層が状況を把握できる状態になっているか
- ☑ 報告結果が実際の改善に反映されているか
- ☑ 環境変化に応じて戦略や対策が見直されているか
もしこれらに一つでも☑を付けられない場合、
意思決定の循環が機能していない可能性があります。
まずは、自社の意思決定がどのように回っているのかを確認することが必要です。
