【情報セキュリティの三大要素】「可用性」とは

投稿日:

ISOプロ担当者

最終更新日: 2019年10月29日

今回は、情報セキュリティの3大要素「CIA(機密性:Confidentiality、完全性:Integrity、可用性:Availability)」の1つ「可用性」(availability:アベイラビリティ)についてです。「可用性」とは、アクセス許可された者が、必要なときに、企業/組織が運用する情報システムを利用でき、必要な情報(データ)を入手・操作できるようにすることです。

可用性

1.「可用性」が満たされないと、何が困るの?

多くの企業/組織では、情報資産を安全に活用するためにクライアントサーバーシステム(クラウドサービス含む)を利用し、サーバー側で情報システム(データを管理す仕組み)を稼動させ、システムサービスを提供しています。サーバーに対し、クライアント側は常時(ないし随時)サーバーと接続し、必要な情報(業務データ)を取得しています。

クライアント・サーバーモデル

クライアントサーバーシステム(クラウドサービス含む)において、システム(サービス)ダウン等が発生して可用性を確保できない場合、クライアント側ではシステムサービスを利用できません。必要な業務情報の確認および更新(追加・修正等)が不可能な状態となるため、利用不可時間に応じて業務(作業)への影響が深刻になります。

2.可用性を脅かす「原因/脅威」と「対策」は?

クライアントサーバーシステムにおける可用性を脅かす原因/脅威は、大きく分けると物理的原因とソフト的原因に分類することができます。両者に対する対策は、さらにサーバーかクライアントかによって異なります。まずはサーバー側で可用性が確保できない原因とその対策について見ていきましょう。

なお、クラウドサービスを利用される場合は、クラウド事業者がサーバー上でクラウド型システムサービスを運用しサービスを提供していますので、一般的にはクライアント側の対策のみとなります。ただし、提供サービスのシステム構成やサポート内容などによって可用性を確保するための対策は異なりますので、クラウド事業者にご確認ください。

1)サーバー/通信機器

a.物理的な原因

大規模な自然災害、システム異常、サーバーやネットワーク機器の故障、回線障害などによるシステムダウンがあります。

サーバーの冗長化例

≪対策≫

有事に備え、システム(サーバーおよび機器)の冗長化(二重化)やデータのバックアップ体制が必要です。また業務への影響やシステム障害による損失を最小限に抑えるために、迅速なシステム復旧(業務再開)が実現できるよう復旧マニュアルの作成も必要です。冗長構成については、どこまで冗長化するかによって費用はまちまちですが、高額な費用がかかりますので費用対効果の高いネットワーク設計/構築することが重要です。

ネットワーク機器/回線の冗長化例

b.ソフト的な脅威/原因

以下のように、サーバーにインストールされたソフトウェア・OS、情報システム自体に欠陥があり、可用性を確保できない場合もあります。

  • 更新プログラム(パッチ)の適用で発生するOS関連の不具合
  • サーバーにインストールされたOSやソフトウェアのバグ/脆弱性など突いたサイバー攻撃(*1)によるシステムサービスの停止等
  • システム利用者の想定外の操作(開発時のテスト検証不足)によるシステムトラブル
  • 情報システムのバグ修正や仕様変更(改良)等で発生しやすいシステム不具合によるトラブル
  • 情報システムの運用ミス/保守ミスによるデータ消失やシステムダウン等

*1システム負荷によるサーバーダウン、データ破壊、ハードディスクやファイルを暗号化するランサムウェア等のサイバー攻撃があります。

≪対策≫
①更新プログラムの適用

OSやソフトウェアにバグや脆弱性がある場合、ベンダーから修正プログラムが提供されますので、既存環境に適用しましょう。ただし、セキュリティ的には、常にOSやソフトウェアは最新バージョンを適用することが望ましいのですが、修正プログラムの検証が不十分のまま本環境で適用された場合、かえって適用前より状況が悪くなることもあります。最新版を適用する場合、修正プログラムの動作検証情報の収集や、テスト環境を用意してパッチ検証を実施し、システム適用に問題がないことを確認してから本環境に適用されることをお勧めします。

②サイバー攻撃の対策

サーバーを狙ったサイバー攻撃もあります。クライアント同様にセキュリティソフトを導入しましょう。また、ネットワークセキュリティ対策も含む「総合的」対策を検討する必要がありますので、UTM(統合脅威管理)、IDS/IPS(不正侵入検知・防御)、F/W(ファイアウォール)等の導入(見直し)についても検討されると良いでしょう。

③情報システム関連の不具合対策

情報システム関連の原因については、マニュアルに基づいた諸教育の充実化、随時閲覧可能なマニュアルの提供、困ったときの相談窓口の設置/案内、システムトラブルが深刻な場合にデータ復旧が可能なように毎日あるいは一定サイクルでデータをバックアップしておきます。また、運用・保守ミスの対策として、ミスが発生しやすい作業についてはチェックシートの作成/運用、人的ダブルチェックなどの対処方法があります。

次に、クライアント側です。

2) クライアント

a.物理的な原因

突然起こるクライアントパソコン本体の故障などハードウェア障害があります。

≪対策≫

ハードウェアが故障した場合に備え、企業/組織内でクライアント用に代替機を用意しておきます。また、リースパソコンを利用している場合、代替機貸出サービス(有償・無償)を受けられるか確認しておきましょう。

b.ソフト的な脅威/原因

  • 更新プログラム(修正パッチ)の適用で発生するOS関連の不具合により、クライアントパソコンが起動しない/正常に動作しない事象が発生しています。(◎黒い画面またはブランクの画面のエラーのトラブルシューティング(Microsoft)
  • 2016年日本でも深刻な被害を出したランサムウェアに感染し、パソコン本体や一部のフォルダが暗号化され、その部分に保管されたデータにアクセスできないという妨害報告を受けています。(◎2019年第1四半期のランサムウェア攻撃総数は約3750万件–トレンドマイクロ調査)
  • メールの添付ファイルやWebサイト閲覧時にウイルスに感染し、アプリケーションの動作が遅い/頻繁にフリーズしたり強制終了する、パソコンが再起動を繰り返す・ハングアップなどパソコン操作に支障をきたすなどの事象が多数発生しています。
≪対策≫
  • セキュリティソフトを導入し、ウイルス定義ファイルを最新状態にしておきましょう
  • 組織横断的に、情報セキュリティ対策を展開し、管理職・一般社員へのセキュリティ教育が重要になります。

※ウイルス定義ファイルの更新により、ネットワークに負荷がかかる場合もあります。ネットワーク負荷の軽減や、セキュリティソフトの動作の軽さ・性能(機能/ウイルス検出率)なども考慮して製品を選定されると良いでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1
2
3
4
5
6

ISMSとは?図解で易しく解説

2019年10月29日

1,811 Views

7
8

関連するおすすめ記事

ISOプロ講座
HACCPプロ講座