前回のコラムではサプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)の全体像の解説をしました。
今回のコラムでは、SCS評価制度で求められている「要求事項案及び評価基準案」(←Excelがダウンロードされます)は企業や組織に何を求めているのかを解説します。
SCS評価制度の要求事項というと、「たくさんのチェック項目が並んだ難しそうなもの」という印象を持たれる方も多いかもしれません。しかし、実際に中身を眺めてみると、そこに書かれているのは単なる対策の有無を確認するためのリストではなく、「企業として、どのような姿勢でセキュリティに向き合っているのか」を測るための設計図であることが見えてきます。
ウイルス対策ソフトは導入されているか。
ファイアウォールを入れているか。
ログは取得しているか。
バックアップは取得しているか。
こうした技術的な対策はもちろん重要です。しかし、SCS評価制度が本当に見ているのは、それだけではありません。むしろ、その背景にある「組織の考え方」や「経営の関与の仕方」に重きが置かれています。
要求事項を俯瞰してみると、大きく次のような6つの観点で構成されていることが分かります。
1.「経営の関与と方針」
セキュリティが現場任せになっていないか、経営として方針が示されているか、責任の所在が明確になっているかが問われています。これは、セキュリティを「技術の問題」ではなく「経営課題」として扱っているかどうかを見る視点です。
2.「組織体制と役割の明確化」
誰が何を担当するのか、事故が起きたときに誰が判断し、誰が動くのか。平常時だけでなく非常時も含めた体制が設計されているかが評価されます。
3.「規程・ルール・手順の整備」
場当たり的な対応ではなく、ルールとして定められ、組織の中で共有され、実際に運用されているか。書類があるかどうかではなく、「仕組みとして機能しているか」が問われます。
4.「技術的なセキュリティ対策」
ここで初めて、ネットワーク対策や端末対策、アクセス制御、ログ管理といった、いわゆる一般的なセキュリティ対策が登場します。ただし、これは全体の一要素であり、主役ではありません。
5.「サプライチェーン・委託先管理」
自社だけ守れば良い時代は終わっています。業務を委託している先や取引先を含めて、どこまで把握し、どこまで管理できているか。SCS評価制度は、ここを非常に重視しています。
6.「インシデント対応と継続的改善」
事故が起きたときに動けるか。復旧だけでなく、原因を分析し、再発防止につなげられるか。セキュリティを一度作って終わりにせず、育て続けられる組織かどうかを見る観点です。
こうして整理してみると、SCS評価制度の要求事項は、「どんな製品を導入しているか」、「どれだけ高価な対策をしているか」を評価する制度ではなく、「セキュリティを経営と組織の仕組みとして持っているか」、「事故に耐えられる構造を企業として作れているか」を確認するための枠組みであることが分かります。
見方を変えれば、SCS評価制度は企業に対して「セキュリティ対策を『点』で考えるのではなく、『構造』として設計してください」と問いかけている制度だと言えるでしょう。
中小企業にとっては、「すべてを完璧に揃える」ことよりも、「自社なりの設計思想を持っているか」が重要になります。どこまでできていて、どこが弱く、これから何を強化していくのか。その道筋を説明できること自体が、評価の対象になる制度とも言えます。
SCS評価制度の要求事項は、チェックリストではありません。
企業のセキュリティ体力を測る『ものさし』であり、同時に、これからのセキュリティ経営を設計するための『設計書』でもあるのです。
結論:セキュリティは組織で構築しよう!
プラスエス(+S)はお客様にさまざまな”S”を提供します。
Satisfaction、Solution、System、Support、Security、Smile & Sun
