カギは問題認知能力にあり:山口英の10分間セキュリティ責任者強化塾(1)
日本の情報セキュリティ戦略にも関わる山口英教授がセキュリティ責任者のあなたに送る連載メッセージ。第1回目は、セキュリティに限らず情報システムの管理者として不可欠な資質を考える。
これから毎月、10分間で読めるコラムを通じて、あなたのセキュリティ管理責任者としての実戦力強化を図っていく。早速セキュリティの話題に入りたいところだが、まずは基礎の確認ということで、情報システム管理者全般に当てはまる重要なポイントについて触れたいと思う。
どんな組織でも、情報システム管理責任者は、多種多様な問題解決に奮闘する日々を送るのが普通だ。ユーザーが管理対象の情報システムを使って営むすべての活動が円滑に行われるようにすることを目的として、情報システムが提供するサービスを安定的に最高の状態で提供することが具体的な目標となる。この目標達成を阻むすべての問題を特定し解決することが、管理責任者の責務である。
しかし、同じシステムを対象にしても、問題解決のプロセスから最終的な解決された状態に至るまで、管理責任者によって大きな違いが出てくることが多い。腕の良い管理責任者と、未熟な管理責任者の違いがはっきりするところだ。この差はどこから生まれてくるのだろうか。
これには何通りもの答えを用意することができるだろう。例えば、問題解決に利用可能な技術をよく知っているかどうかも重要な要因である。また、過去にどれだけ問題解決のプロセスに携わってきたのかという経験の厚みも、最終的な問題解決の仕上がりに大きく影響を及ぼすだろう。しかし、何といっても管理責任者の持つある資質が、問題解決プロセスと成果の全体に大きく影響していることを絶対に忘れてはならないと私は考えている。それは「問題認知能力」の差である。
知り得ないことは問題とならないのか
問題認知能力とは、何が問題として存在しているのかを発見し、理解し、問題解決へのプロセスを起動できる能力のことだ。これまでの私の経験からいえば、明らかに問題認知能力には個体差がある。だが、問題認知能力は改善することができる。
どんな管理責任者であっても、「知り得ないことは問題とならない」という一見正しそうな原則を心に張り付けてしまったら、問題認知能力が改善される可能性の多くを放棄したことになってしまう。この原則は完全に間違いである。管理責任者にとっては「知り得ないことでも問題となる」のだ。実際、自分が知らなかったことに対して責任を取って頭を下げる謝罪会見の多いこと、多いこと。知らないことは免罪符にはならない。
その代わりに情報システム管理責任者は、問題が発生するまで漫然と時を過ごすようなことをせずに、問題を積極的に発見し、その解決に努めることが必要になる。なぜならば「知り得ないことは解決できない」からだ。この知り得ないことは解決できないという原則を心から理解し、この原則に忠実に行動できるかどうかが、管理責任者にとって問題認識能力の改善ができるかどうかの分岐点である。
継続的かつ有効な観測が必須
では、問題を積極的に発見し、認知するためにはどうしたらよいのだろうか。これには、情報システムがどのように使われているのかを継続的かつ合理的に観測することが必須となる。システムの稼働状態を表す特徴的な事象を観測することが大切だ。観測をすることで、システムの本当の状態を推定できるようになる。状態に急激な変化が発生すれば、少なくとも何らかの問題がそこには存在しているであろうと分かる。
さらに経験が積まれて、問題と観測との相関関係が明白になれば、問題発生を予測し得る指標として観測を行い、ある一定水準を超えるギリギリで事前に問題発生を抑止するような、積極的な対応も可能となる。
対象とする情報システムが大規模であればあるほど、その稼働状態を知るための観測系も、巧みに構築することが必須である。
何を観測するかが腕の差
そして何を観測するかの設定が、実は管理責任者の腕の差を明白に表わしていると私は考える。あくまでも私見であるが、腕の良い管理責任者は、次のようなやり方で観測をしていることが多いようだ。
まず仮説をいろいろと立てる。例えば「○○の値がこのくらいになったらシステムの稼働状態は悪化しているのではないか」といったようなものだ。そして観測をしていく中で、1つ1つの仮説の検証を繰り返している。そして、正しいと思われる仮説に対応した観測を進めていくことで、観測から分かることの精度を高めていくのだ。
漫然とシステムの利用率、運用費用、利用者満足度などを見るのではなく、常に「なぜこれを観測するのか」が明白になっている。そして、変化を知ることで問題を認知するのだ。
さて、あなたが使うシステムの管理責任者や、あなたの属する組織のCIOの問題認知能力はどうだろう。もしかしたら、あなた自身がCIOであれば、問題解決のための能力改善に取り組んでいるだろうか。一度そんな視点で管理責任者、場合によっては管理者である自分自身を眺めてみるのは良いことだ。
著者紹介
▼著者名 山口 英(やまぐち すぐる)
奈良先端科学技術大学院大学情報科学研究科教授。大規模分散処理環境構築、ネットワークセキュリティなどの研究に従事。また、WIDE Projectのメンバーとして、広域コンピュータネットワークの構築・研究を行ってきた。セキュリティに関しては、現在JPCERTコーディネーションセンターの運営委員も務めている。また、内閣官房情報セキュリティセンターの情報セキュリティ補佐官として、日本の情報セキュリティ戦略と具体的な対策の立案に携わっている。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
ITmediaはアイティメディア株式会社の登録商標です。