情報セキュリティの三大要素である「可用性」の考え方について知る
情報セキュリティ3要素の一つである『可用性』とは、企業や組織が所有する情報資産に対して安定した環境でいつでも情報を引き出せる環境を整える指標です。
例えば、企業が所有する情報資産を社内サーバーで管理している場合、社内サーバーが不安定で情報を引き出す際に稼働停止していたら情報にアクセスすることができません。このようなリスクを回避するためにハードウェア面、ソフトウェア面ともに安定したシステムを構築することが望ましいのです。また、何かしらのトラブルが発生した際にトラブルが発生する前の情報を引き出せるようにするバックアップも可用性に含まれます。
目次
「可用性」が満たされないと、何が困るのか?
多くの企業や組織は、所有する情報資産を安全に活用するためにクライアントサーバーシステム(クラウドサービスも含む)を利用して情報を管理しています。このサービスはインターネットに接続されたサーバー側でデータを管理する情報システムを稼働させており、ユーザー(クライアント)はいつでもどこでもインターネットを通じて、サーバーで管理している業務データなどを取得しています。
もし、サーバー側でシステムダウンなどのトラブルに遭遇してしまうと「可用性」が確保できないので、クライアント側はサーバー側で管理している業務データなどのデータにアクセスすることができません。必要な業務情報の確認や更新が不可能になるので、利用不可時間が長引けば長引くほど業務への影響が深刻になります。
サーバーや通信機器のトラブルについて
可用性が確保できない場合、どのようなトラブルが生じているのでしょうか。ここではトラブルを大きく2つに分けて解説していきます。
ハードウェア的な脅威と原因
サーバーやネットワーク機器の主な物理的な原因としては、大規模な自然災害や機器の故障、回線障害等によるシステムダウンがあります。例えば、サーバー側に接続しているケーブル等が破損している場合は当然ながら通信ができないので物理的な原因と言えるわけです。
対策
情報を保管しているサーバー元は有事に備えてシステムの冗長化・二重化やデータのバックアップ体制が必要です。特に自社でサーバーを所有している企業や組織では業務への影響やシステム障害による損失を最小限に抑えるため、迅速なシステム復旧(業務再開)が実現できるよう復旧マニュアルの作成も必要になります。
システムの冗長化・二重化に関しては上記の図のように正常時は普段使っているサーバーでデータの管理を行い、そのサーバーに有事が発生した際は待機しているサーバーを動かすことで、迅速なシステム復旧を行うことができます。この方法のデメリット面は高額な費用が発生することであり、どこまで冗長化・二重化を構築するのかで費用は変わってきます。
迅速なシステム復旧に関わる部分なので、費用対効果の高いネットワーク設計/構築をすることはとても重要です。
ソフトウェア的な脅威と原因
ソフトウェア的な脅威とはサーバーで使用しているソフトウェアやオペレーティングシステムなど情報システム事態に欠陥があり、可用性が確保できない場合のことです。
主に下記のような原因から脅威が生まれます。
- 更新プログラム(パッチ)の適用で発生するOS関連の不具合
- サーバーにインストールされたOSやソフトウェアのバグ/脆弱性など突いたサイバー攻撃(*1)によるシステムサービスの停止等
- システム利用者の想定外の操作(開発時のテスト検証不足)によるシステムトラブル
- 情報システムのバグ修正や仕様変更(改良)等で発生しやすいシステム不具合によるトラブル
- 情報システムの運用ミス/保守ミスによるデータ消失やシステムダウン等
*1システム負荷によるサーバーダウン、データ破壊、ハードディスクやファイルを暗号化するランサムウェア等のサイバー攻撃があります。
対策
①更新プログラムの適用
OSやソフトウェアにバグや脆弱性がある場合、ベンダーから修正プログラムが提供されますので、既存環境 に適用しましょう。ただし、セキュリティ的には、常にOSやソフトウェアは最新バージョンを適用することが望ましいのですが、修正プログラムの検証が不十分のまま本環境で適用された場合、かえって適用前より状況が悪くなることもあります。最新版を適用する場合、修正プログラムの動作検証情報の収集や、テスト環境を用意してパッチ検証を実施し、システム適用に問題がないことを確認してから本環境に適用されることをお勧めします。
②サイバー攻撃の対策
サーバーを狙ったサイバー攻撃もあります。クライアント同様にセキュリティソフトを導入しましょう。また、ネットワークセキュリティ対策も含む「総合的」対策を検討する必要がありますので、UTM(統合脅威管理)、IDS /IPS(不正侵入検知・防御)、F/W(ファイアウォール)等の導入(見直し)についても検討されると良いでしょう。
③情報システム関連の不具合対策
情報システム関連の原因については、マニュアルに基づいた諸教育の充実化、随時閲覧可能なマニュアルの提供、困ったときの相談窓口の設置/案内、システムトラブルが深刻な場合にデータ復旧が可能なように毎日あるいは一定サイクルでデータをバックアップしておきます。また、運用・保守ミスの対策として、ミスが発生しやすい作業についてはチェックシートの作成/運用、人的ダブルチェックなどの対処方法があります。
クライアント側のトラブルについて
クライアント側。つまり私たちが使用しているPCやスマートフォン側にトラブルが生じた場合のことです。例えば、使用しているPCのLANケーブルや会社のルーターなどにトラブルが生じた場合、そのPCでインターネットに接続することができず必要な情報を引き出すことができません。
ハードウェア的な脅威と原因
普段使用しているPCやスマートフォンが何かしらのトラブルで本体にトラブルが生じた場合、故障などハードウェア障害となります。
対策
ハードウェアが故障した場合に備えて、企業や組織では予備のPCを用意しておくことがベストです。リースPCの場合は代替機貸出サービス(有償もしくは無償)が受けられるのか確認しておきたいところです。
ソフトウェア的な脅威と原因
更新プログラム(修正パッチ)の適用で発生するOS関連の不具合により、クライアントパソコンが起動しない/正常に動作しない事象が発生しています。(◎黒い画面またはブランクの画面のエラーのトラブルシューティング(Microsoft))
2016年日本でも深刻な被害を出したランサムウェアに感染し、パソコン本体や一部のフォルダが暗号化され、その部分に保管されたデータにアクセスできないという妨害報告を受けています。(◎2019年第1四半期のランサムウェア攻撃総数は約3750万件–トレンドマイクロ調査)
メールの添付ファイルやWebサイト閲覧時にウイルスに感染し、アプリケーションの動作が遅い/頻繁にフリーズ・強制終了する、パソコンが再起動を繰り返す・ハングアップなどパソコン操作に支障をきたすなどの事象が多数発生しています。
対策
セキュリティソフトを導入し、ウイルス定義ファイルを最新状態にしておきましょう。組織横断的に、情報セキュリティ対策を展開し、管理職・一般社員へのセキュリティ教育が重要になります。
※ウイルス定義ファイルの更新により、ネットワークに負荷がかかる場合もあります。ネットワーク負荷の軽減や、セキュリティソフトの動作の軽さ・性能(機能/ウイルス検出率)なども考慮して製品を選定されると良いでしょう。
まとめ
可用性とは一言で説明すると、「普通に使える状態を保つこと」です。しかし、普通に使える状態を保つことは容易なものではなく、予期せぬハードウェア面、ソフトウェア面でのトラブルに瞬時に対応できる仕組みづくりが求められます。そのため対策はきちんと行い、いつでもどこでも情報資産にアクセスできる環境を保ちましょう。
また、情報資産の機密性を必要以上に高めてしまうと、当然のことながら可用性は失われていきます。機密性・完全性・可用性はバランス良く対策することが必須となってきます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい