SDGs ブログ

90日で“動く体制”を作る:ロードマップ×RACI×ROI

Day4|90日実装ロードマップ:RACI・リスク対策・投資回収の見立て

シリーズ:経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」に備える|Day4(本文)

90日で“動く体制”を作る:ロードマップ×RACI×ROI

Day4は、Day1〜3で定めた方針・根拠・実務を時間軸に並べ、やりきる回です。経営は「どこまでを何月までに」「誰が責任を持ち」「証拠は何で示すか」を合意すれば動きます。本稿は0–30–60–90日のロードマップRACIリスク対策投資回収の考え方エビデンス(証憑)チェックリストコンプライアンス・カレンダーコミュニケーション計画までを一枚に束ねました。

1. 前提条件と適用範囲(スコープの固定)

  • 対象:企業グループのIT基盤(オンプレ+クラウド)。ビジネスSCとITサービスSCを含む。OTや提供製品は直接対象外(別制度参照)。
  • ゴール像:初年度は★3を中核に全社の衛生水準を底上げし、重要領域は★4の第三者評価に向け準備。再委託管理と監視・復旧の実効性を最低ラインに。
  • 成功条件:①スコープ固定(増改築は例外管理で)、②証憑主義(再利用と鮮度管理)、③調達・契約・監査の語彙統一

0–30日|基盤づくり:スコープ確定・台帳初版・優先3領域

主要タスク

  • スコープ確定:組織・拠点・子会社・JVを洗い出し、対象外(OT等)との接点を図示。
  • 資産・接続台帳 初版:SaaS/IaaS/MSP、VPN/RDP/API、責任分界(データ/設定/ログ/鍵)。
  • 優先3領域IAM外部接続/脆弱性バックアップ/復旧)の是正計画。
  • ★レベルの仮割当て:業務クリティカル度と機微性で層別(★3広く、★4は重要領域)。
  • RFP/契約テンプレ改訂方針:再委託通知・ログ・復旧・監査条項の雛形化。
  • 社内資格者任命:自己評価主務とレビュー責任者を指名、教育計画を開始。

完了基準(DoD)

  • 台帳初版(最小フィールド)を経営レビューで承認。
  • 優先3領域の是正バックログ(担当・期限・証跡)作成。
  • ★仮割当て表と例外基準を決定。
  • RFP/契約の改訂方針を合意(条項サンプルはDay3参照)。
  • 教育キックオフ(役割別トレーニング計画)。

31–60日|実装と検証:自己評価ドラフト・再委託把握・監視設計

主要タスク

  • ★3 自己評価ドラフト:不足コントロールを是正計画に接続。
  • 重要取引先の把握:判定基準を適用し、台帳・第三者評価レポートの確認を原則に。
  • 監視・ログ設計:対象範囲、保存期間、相関分析、MSSPのSLO案。
  • BCP/DRの更新:RTO/RPOの再確認、演習計画(シナリオ別)。
  • 例外管理の運用開始:期限・代替対策・承認者を記録。

完了基準(DoD)

  • ★3 自己評価ドラフト(証憑リンク付き)をレビュー済み。
  • 重要取引先リストと把握手段(二層運用)の確定。
  • 監視・ログの設計仕様(提供形式・通知SLA)承認。
  • 復旧演習の年間計画(四半期ごと)承認。
  • 例外台帳が稼働(ダッシュボードで可視化)。

61–90日|仕上げ:是正完了・提出準備・第三者評価計画

主要タスク

  • 是正の実装完了:優先3領域の残タスクをクローズ。
  • ★3 自己評価の確定:経営承認→登録・公開の準備。
  • ★4 第三者評価の準備:重要領域の範囲、評価機関の選定、スケジュール案。
  • エビデンス・パック整備:設定画面、手順書、ログ、CAB議事録、演習記録。
  • RFP/契約の改訂反映:次の入札・更改に★要求をブロックで投入。

完了基準(DoD)

  • 優先3領域の是正達成率 ≥ 90%(残件は例外台帳に移管)。
  • ★3 自己評価の最終版・承認・提出準備完了。
  • ★4 第三者評価の計画(時期・範囲・費用感の見積枠)。
  • 証憑の鮮度管理(更新日・保管場所・責任者)を定義。

RACI(責任分担)と承認フロー

プロセスR(実行)A(責任)C(協議)I(連絡)
スコープ固定情報セキュリティCISO/事業責任者調達・法務・監査主要子会社・MSP
台帳管理情報セキュリティCISO調達・監査事業部
★3 自己評価社内資格者CISO事業・法務・監査役員会
★4 第三者評価計画情報セキュリティCIO/CISO法務・調達・財務事業部
監視・復旧運用(SOC/MSSP)運用部長セキュリティ・事業経営
例外承認情報セキュリティ経営(CIO/CISO)法務・監査関係部門

承認フローは「閾値」で短縮:重大度・金額・影響範囲で三段階の承認ラインを設定し、単純案件は部門決裁で即日可、重要案件は週次経営レビューで裁く。

リスク登録簿(トップ10)と対応策

#リスク原因影響対応策(予防/是正)オーナー
1スコープ肥大化要件の解釈拡大遅延・コスト超過前提固定・例外台帳・四半期ごとの見直しCISO
2証憑不足運用未定義/保存不足評価不適合エビデンス標準・鮮度管理・提出前レビュー社内資格者
3再委託の把握漏れ変更通知欠如供給途絶/不適合契約に事前通知条項・台帳自動更新調達
4監視の形骸化SOCのKPI欠如検知遅延MTTD/MTTRのSLO化・四半期演習運用
5復旧未達RTO/RPO未合意長期停止事業と合意・演習・是正のCAB報告事業責任者
6人材依存属人化継続性低下手順書とクロストレーニング・休暇代替人事/運用
7ベンダ反発過剰要求遅延/断絶二層運用(台帳/第三者→例外時のみ追加)調達
8重複監査語彙不一致工数増語彙集/共通書式の採用監査
9費用超過一律展開投資効率悪化層別適用・重要領域へ配賦・段階投資財務
10広報/IR影響説明不足信頼毀損進捗の四半期公表方針・問い合わせ対応FAQ広報/IR

エビデンス・パック:★3/★4向け提出物テンプレ

共通

  • スコープ図(組織・システム・接続・責任分界)
  • ポリシー/標準/手順書(版数・発効日)
  • 台帳(資産・接続・重要取引先・再委託通知)

★3(自己評価)

  • ネットワーク図・境界設定画面のエビデンス
  • IAM(MFA適用率、特権分離、棚卸し記録)
  • 脆弱性SLA/例外管理台帳、パッチ適用ログ
  • バックアップ構成・復旧演習記録

★4(第三者評価)

  • 監視・検知のSLO、重大インシデントの通知手順
  • ログの保存期間・完全性・提供形式
  • 重要取引先の把握方法(二層運用の記録)
  • 内部監査報告・是正のCAB議事録

予算区分とROIの見方(式・感度・配賦)

8.1 予算区分

  • 評価費:自己評価の運用費、第三者評価の見積枠。
  • 実装費:IAM・脆弱性管理・監視・バックアップ等の設定/製品/構築。
  • 維持費:年次自己評価、台帳運用、演習、監視運用、教育。

8.2 ROIの考え方(例式)

回避損失 = 年間停止時間の削減 × 損失/時 + 事故対応コストの削減
取引便益 = 入札・審査の摩擦低減による受注増分の限界利益
ROI(年) ≒ (回避損失 + 取引便益 − 維持費) ÷ 初期投資
IRR感度 = 侵入経路閉塞率 × (発生確率 × 影響) の逓減度合いで評価

投資配賦は、境界×IAM×脆弱性→バックアップ/復旧→監視→取引先把握の順で厚く、周辺領域はテンプレ運用で軽く回すのが基本線です。

コンプライアンス・カレンダー(四半期運用)

主要イベント提出/承認可視化
Q1スコープ/台帳更新、★3自己評価ドラフト経営レビュー、例外承認ダッシュボード更新(KPI/KRI)
Q2復旧演習、重要取引先把握の年次確認監査サンプリング報告是正進捗・SLO達成率
Q3第三者評価(★4)計画の再確認、RFP改訂反映予算要求・配賦決定投資対効果の中間レビュー
Q4★3自己評価最終・提出準備、証憑鮮度更新役員報告・方針更改翌年度ロードマップ公表

コミュニケーション計画(社内・サプライヤ・役員)

社内

  • 役員ブリーフ(月次10分):進捗・例外・リスクの要点。
  • 事業部向けトレーニング(四半期):RFP/契約の更新点と証憑作り。
  • 運用定例(週次):監視SLO、未対応CVE、ログ保全率。

サプライヤ

  • 年次確認の案内テンプレ(台帳/第三者評価レポート中心)。
  • 再委託変更の事前通知と影響評価フロー。
  • 例外時の追加質問票(軽量・期限付き)。

役員向けテンプレ(メール/メモ)

件名:評価制度対応の進捗共有(MM/DD)— 90日計画の現況
本文:①スコープ/台帳の更新状況、②優先3領域の是正率、③★3自己評価の提出準備、
④重要取引先の年次確認、⑤例外台帳の残件、⑥翌月の意思決定事項(予算/範囲)。

Next Best Action/Day5へのブリッジ

Next Best Action:本日、台帳初版の承認★仮割当て優先3領域の是正バックログを経営決裁し、0–30日の着手を開始してください。Day5では、取締役会提出用のDecision Briefに本ロードマップとKPI、費用配賦、リスク対応を凝縮します。

ご相談

📩 自社事情に合わせたロードマップ/RACI/条項・証憑テンプレの整備をご希望の方は、 こちらからご相談ください

-SDGs, ブログ