コンピュータ、ネットワーク、そして情報セキュリティは、科学の範疇に収まりやすいように思われますが、科学だけでは十分ではありません。セキュリティシステム開発会社Tripwireは最近、Ponemon Instituteと共同で調査を実施し、ITプロフェッショナルがリスク管理を「科学」と捉えているか「芸術」と捉えているかを調査しました。
Ponemonは、米国と英国で情報セキュリティ、リスク管理、IT運用、事業運営、コンプライアンスに携わるITプロフェッショナル1,320名を対象に調査を実施しました。回答者には、「情報セキュリティリスク管理は『芸術』ですか、それとも『科学』ですか?」という質問が投げかけられました。
Ponemonは調査のために2つの概念を定義しました。「科学」とは、客観的で定量化可能な指標とデータに基づいて意思決定を行うことを意味します。「芸術」とは、直感、専門知識、そして組織全体に対する視点に基づいた分析と意思決定を指します。
IT および企業リスク管理またはビジネス オペレーションに携わる回答者の 3 分の 2 が「芸術」を選択しましたが、IT セキュリティおよび IT オペレーションに携わる回答者のほぼ 3 分の 2 が「科学」を選択しました。
TripwireのCTO、ドウェイン・メランコン氏がこの結果について意見を述べました。彼の見解は、ビジネスオペレーションやリスクマネジメントに携わる人々は、意思決定に正確な答えは必要ないと一般的に考えており、そのため芸術を重視する傾向があるということです。一方、ITオペレーションやセキュリティに携わる人々は、リスクマネジメントの世界を明確な答えを持つ数学の問題と捉え、「科学」として捉えています。
メランコン氏は、リスクを効果的に管理する上で、芸術と科学の乖離こそが問題の核心だと説明する。「こうした視点を持つ人々は同じことについて語っているにもかかわらず、非常に異なる言葉を使っており、それが相互に合意できる見解に到達することを困難にしているのです。」
リスク管理は芸術であると同時に科学でもあるというのが、単純な現実です。コンピューターは1と0の数字だけで動作する精密機器です。コンピューターの動作、攻撃のされ方、そしてリスク管理と保護の方法など、コンピューターは科学に基づいて機能する装置です。しかし、攻撃者と被害者の両方に人間的要素が加わることで、予測不可能な要素が加わり、直感と芸術が科学と融合するのです。
攻撃者は、セキュリティ対策をすり抜けるために人的要因を巧みに利用します。効果的なリスク管理は、適切なツール(つまり「科学」)を導入すると同時に、全体像を把握し、ユーザーがセキュリティチェーンにおける最も脆弱な部分であることを理解すること(つまり「技術」)にかかっています。
