可用性を損なうリスクにはどのようなものがあるの？

情報セキュリティの三大要素である可用性。ISMS では可用性・ 機密性 ・ 完全性 の3つをバランス良く保つことが求められますが、そのうち可用性を脅かすリスクにはどのようなものがあるのでしょうか？

今回は、可用性を脅かすリスクについて解説していきたいと思います。

可用性とは？

可用性とは、「情報を使おうとした時に使える状態にしておくこと」を言います。可用性を維持するためには、誰もが情報にアクセスすることができる状態が理想ですが、機密性や完全性を保つためには「情報にアクセスしても良い人がアクセスできるような状態にしておくこと」が求められます。

では、この可用性を脅かすリスクにはどのようなものがあるでしょうか？

可用性を脅かすリスク

ランサムウェア

ランサムウェアとはマルウェアの一種で、感染した媒体の特定のファイルが暗号化されて読み取れなくなってしまったり、媒体のアクセス権が損なわれたりします。ランサムウェアに感染すると、被害者に対して身代金（ランサム）が要求されるため、ランサムウェアと呼ばれています。

ファイルの暗号化や媒体のアクセス権を奪われることで、可用性が損なわれてしまうため可用性を脅かすリスクの一つと数えることができます。

Dos攻撃

Dos攻撃とは、ウェブサービスなどを提供しているサーバーに対して意図的に高負荷をかけることで、サービスを妨害したりサーバーを停止させたりするものです。Dos攻撃の手法は様々ですが、大量のマシンから一斉にDos攻撃を仕掛けるDDos攻撃や、ブラウザからF5キーを押すことでページを何度も再読み込みさせ、サーバーへ大量のリクエストを送信するF5アタックと呼ばれるものが一般的です。

Dos攻撃はサーバーの停止やリソースの大量消費によって遅延を引き起こすため、可用性を損なわせるサイバー攻撃の一種です。

ハードウェア障害・誤作動

サーバーの誤作動や障害も可用性を損なうリスクの一つです。Webサービスや社内データベースを所有する場合、メンテナンス不足によってこのような障害が発生するリスクも念頭においておきましょう。

自然災害

地震や火災などによって電力のダウン、サーバーや情報端末の破損によって可用性が損なわれる可能性もあります。

可用性を維持するための対策

では、このようなリスクを低減するためにはどのような対策を行うのが良いのでしょうか？

認証システム、アクセス制御

認証システムの導入やアクセス制御 技術を用いることで、Dos攻撃やランサムウェアの侵入を防ぐことが可能になります。

例えば、Webサービスの場合はセッションやApatche、nginxなどのミドルウェアから制御することが可能です。――もちろん、全てのマルウェアやサイバー攻撃を防ぐことができるわけではありませんが、ある程度の効果を期待することができるでしょう。

負荷分散

サーバーを複数台用意して負荷を分散させたり、バックアップサーバーを物理的に離れた場所に設置しておくなどして、負荷を分散させたり、データの復元体制を整えておくことで、緊急事態に可用性が損なわれたとしても、すぐに復旧することができるように対策をしておくことも重要です。

QoS技術

QoS技術とは、データを通す順番や量を調整したり優先順位をつけたりする技術のことです。QoS技術を使うことで全体的なネットワークの利便性を向上させることが可能になります。

バックアップ

一時的に可用性を損なったとしてもすぐに復旧できる状態を保つために、バックアップを定期的にとっておくことも重要です。バックアップデータはサーバー上とは異なる場所に取っておくことで、さらにリスクを分散させることが可能になります。

まとめ

今回は、可用性を損なうリスクとそのリスクへの対処方法について解説をしてきました。可用性を保つだけではISMSの要件を満たすことはできませんが、一つ一つ分解してリスクに対応していくことも重要ですので、ISO27002などを参考にしてリスクへ対応していきましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。