SCS評価制度が問う“組織としての対応力”：経営層を巻き込んだレジリエンス強化の進め方：★の本質――SCS評価制度の裏を読む

SCS評価制度の評価基準を読み解くと、インシデント対応能力の向上を通じた「レジリエンスの強化」と「経営層の関与」という2つのメッセージが浮かび上がります。インシデントへの実効性ある対応は、技術的な整備だけでなく、経営層との日常的なコミュニケーションによって初めて機能します。本記事では、IPAの公開文書「サイバーレジリエンスのためのコミュニケーション」が示す“3つの違い”を踏まえ、経営層を巻き込んだレジリエンス強化の進め方を解説します。

[中村 悠，株式会社アイ・ティ・アール]

　本連載ではこれまで2回にわたって、SCS評価制度の要求事項、評価基準の個別項目に込められたメッセージを解説してきました。今回は「レジリエンスの強化と経営層の関与」を取り上げます。

レジリエンスの強化

　「レジリエンス」は、サイバーセキュリティに限らず、さまざまな分野にまたがって存在する概念です。NIST（米国立標準技術研究所）の定義では、「サイバーレジリエンス」は、“サイバーリソースを利用する、またはサイバーリソースによって支えられるシステムが、ストレス、攻撃、侵害を予測し、それに持ちこたえ、回復し、適応する能力”と表現されています。

　SCS評価制度では、「4-5 技術インフラのレジリエンス」として技術面でのレジリエンスを求める項目が設けられているものの、インシデント対応や復旧を直接扱う評価基準の中では「レジリエンス」という表現は用いられていません。しかし、その内容を読み解くと、企業のインシデント対応能力や復旧能力の向上を通じて、組織としてのレジリエンスを高めることを強く意識した制度設計になっていることが分かります。

　特に、「大分類：インシデントからの復旧」で示された要求事項No.7-1-1は、企業のレジリエンスの強化を目指した項目と読み取ることができます。

「大分類：インシデントからの復旧」で示されたレジリエンスの強化を目指した項目（出典：経済産業省）

　「インシデントレスポンス」は、一般的に、サイバー攻撃や情報漏えいなどのインシデントが発生した際に、その影響を最小化するために実施される一連の対応プロセスを指します。こうしたインシデントレスポンス体制の整備・運用は、組織のレジリエンスを高めるための重要な要素といえます。

　要求事項においても、インシデントへの対応や有害事象の分析など、インシデント対応に関連する項目が複数の評価基準に組み込まれています。これらの要求事項を通じて、企業に対してインシデント対応能力の向上を通じたレジリエンスの強化を求めていることが読み取れます。

インシデント対応能力の強化を通じたレジリエンスの強化を求めている要求事項（出典：経済産業省）

経営層の関与

　また、本制度では、上述したインシデント対応に実効性を持たせ、レジリエンスを高める仕組みの構築について、経営層を含む役員の関与の必要性を説いています。このことは、★4における評価基準No.1-4-1-1に注目することで、より鮮明になります。

　この項目では、インシデント対応に関する事項を含む複数の評価基準に対して、セキュリティ担当部署が年1回以上、セキュリティを統括する役員への報告・承認・社内共有といった点検を実施することが求められています。

経営層の関与が特に明示されている評価基準（出典：経済産業省）

評価基準No.1-4-1-1内で経営層が関与する旨が示された項目の内、インシデント対応関連の項目（出典：経済産業省）

　このことから、本制度はインシデント対応を通じたレジリエンスの強化を単なる技術的対応として位置付けるのではなく、経営レベルの意思決定と結び付けて運用することを求めていると読み取ることができます。

　一方で、セキュリティ担当者の中には、他部署とのコミュニケーションに課題を感じているケースもあります。特に、経営層とのコミュニケーションにおいては、同様の課題が指摘されることもあります。

　こうした課題を踏まえ、IPA（情報処理推進機構）は、平時、有事を通じた経営層を含む他部署とのコミュニケーションの考え方を文書にまとめ、「サイバーレジリエンスのためのコミュニケーション」として公表しています。

　当該文書を踏まえると、セキュリティ担当者と他部署との間では、次の"3つの違い"がコミュニケーションの障壁になりやすいと考えられます。

• 知識の違い：セキュリティ用語やリスク感度に関する理解のギャップ
• 言語の違い：同じ言葉（「復旧」など）に対する定義やニュアンスの差
• 価値観の違い：「情報の安全性」か「事業の継続」か、という優先順位の違い

　こうした「違い」を踏まえ、本文書では経営層との平時のコミュニケーションとして次のような工夫が重要と指摘されています。

1．活動の定期報告

サイバーインシデントが発生していない平常時から、SIRT（※）活動や業界の攻撃動向、他社事例などを定期的に経営層へ報告することが重要である。こうした継続的な情報共有が、経営層との信頼関係の構築につながる。

（※）SIRT：Security Incident Response Teamの略称で、サイバー攻撃などによるセキュリティインシデントに対応する専門組織を指す

2．経営層のプロファイリング

経営層は業務背景によって関心事項が異なるため、報告内容もそれに応じて調整する必要がある。日常的な活動報告を通じて関心領域を把握しておくことで、インシデント発生時の迅速な意思決定につなげることができる。

　このように、上述した評価基準No.1-4-1-1が求める役員への報告・承認・社内共有を実現するためには、単なる報告体制の整備にとどまらず、平時から「違い」を認識し、それを擦り合わせておくことこそが、有事の際の実効性を担保する鍵となります。

まとめ

　SCS評価制度は、レジリエンスの強化と経営層の関与の双方に踏み込んだ内容が要求事項として示されており、サプライチェーン全体のセキュリティ確保に向け、企業の組織的な対応力を高めることを強く意識した制度設計であると読み取ることができます。

　レジリエンスを強化するためには、個別のセキュリティ対策の実施に加え、インシデント対応に実効性を持たせることが肝要です。そして、その実現に向けて、経営層とのコミュニケーションを日常的に積み重ねていくことが欠かせません。

　経営層を巻き込んだコミュニケーションには、まず「知識・言語・価値観の違い」を前提として認識した上で、活動の定期報告と経営層プロファイリングを継続的に実践することが出発点となります。評価基準No.1-4-1-1が求める報告・承認・共有といった点検の必要性を組織内で再確認し、平時の対話の積み重ねとして機能させることが、組織としてのレジリエンス強化の実践につながります。

筆者紹介：中村悠（アイ・ティ・アール　アナリスト）

ユーザー企業の情報システム部門および外資系セキュリティベンダーでの実務経験を経て、2023年より現職。情報セキュリティ分野の市場分析を担当し、執筆や講演を通じた啓発活動にも取り組む。CISSP／CEH保有。