情報セキュリティを学ぶ上で必ず出てくる概念の一つが「可用性」です。機密性や完全性と並んで情報セキュリティの三要素と呼ばれますが、それぞれの違いや意味を正確に理解できているでしょうか。
特に可用性は、システムが使えなくなることと関係があるようですが、具体的にどういう意味なのか曖昧な方も多いはずです。
実は、可用性とは「必要なときにシステムやデータが利用できる状態を保つこと」を意味します。
サーバーダウンや障害によってシステムが使えなくなると、可用性が損なわれたことになります。一方、機密性は情報の漏洩防止、完全性はデータの正確性に関係します。
この記事では、可用性の基本的な定義から、システム障害との関係、完全性・機密性との明確な違い、そして情報セキュリティの三要素(CIA)の全体像まで、わかりやすく丁寧に解説していきます。
情報処理試験の対策や実務に役立つ内容になっていますので、ぜひ最後までお読みください。
可用性とは?基本的な意味と定義
それではまず、可用性の基本的な意味と定義について解説していきます。
可用性(Availability)の定義
可用性(かようせい、英語:Availability)とは、許可された利用者が必要なときに、システムやデータにアクセスできる状態が保たれていることを意味します。
簡単に言えば、「使いたいときに使える」ということです。
Webサイトにアクセスしたらちゃんと表示される、データベースに問い合わせたら応答が返ってくる、といった当たり前の状態を保つことが可用性です。
可用性が損なわれる状況には、次のようなものがあります。
・サーバーの故障やダウンでシステムが停止
・ネットワーク障害で接続できない
・DDoS攻撃でサーバーが過負荷になり応答できない
・停電や災害でシステムが停止
・メンテナンス中でサービスが利用できない
可用性は、システムの信頼性や継続性に直結する重要な要素です。
情報セキュリティにおける可用性
情報セキュリティの分野では、可用性は機密性(Confidentiality)、完全性(Integrity)と並ぶ三大要素の一つです。
これらの頭文字を取ってCIAと呼ばれます。
情報セキュリティというと、情報漏洩や不正アクセスの防止(機密性)ばかりが注目されがちですが、可用性も同じくらい重要です。
いくら機密性が高くても、システムが使えなければ業務が停止してしまいます。
可用性を確保するための主な対策には、次のようなものがあります。
・冗長化(バックアップサーバーの用意)
・負荷分散(複数のサーバーで処理を分散)
・定期的なバックアップ
・UPS(無停電電源装置)の設置
・災害対策(DR:Disaster Recovery)
・監視体制の構築
これらの対策により、システムの停止時間を最小限に抑えることができます。
可用性が重要な理由
なぜ可用性がこれほど重要なのでしょうか。具体例で考えてみましょう。
ECサイトの場合:
・サイトがダウンすると売上が止まる
・1時間のダウンで数百万円の損失も
・顧客の信頼を失う
銀行システムの場合:
・ATMが使えなくなり顧客に不便
・振込や決済ができず経済活動に影響
・システム障害が長引くと社会問題に
医療システムの場合:
・電子カルテが見られず診療に支障
・緊急時に患者情報にアクセスできない
・生命に関わる可能性も
交通システムの場合:
・鉄道の運行管理システムが停止
・航空機の予約・チェックインができない
・物流が麻痺する
・業務の継続性に直結する
・経済的損失を防ぐ
・顧客満足度を維持する
・社会インフラとしての責任
現代社会では多くのサービスがITに依存しているため、可用性の確保は企業の責務となっています。
可用性と障害・システムダウンの関係
続いては、可用性とシステム障害の関係について確認していきます。
可用性を脅かす障害とは
可用性を脅かす主な要因は、システム障害です。
これらはいくつかのカテゴリーに分類できます。
ハードウェア障害:
・サーバーの故障
・ディスクの破損
・ネットワーク機器の不具合
・電源トラブル
ソフトウェア障害:
・プログラムのバグ
・OSの不具合
・データベースのエラー
・メモリリーク
ネットワーク障害:
・回線の切断
・ルーターの故障
・通信速度の低下
・DNSの障害
人為的ミス:
・設定ミス
・誤操作
・メンテナンス作業のミス
外部攻撃:
・DDoS攻撃(大量アクセスでサーバーをダウンさせる)
・ランサムウェア(データを暗号化して使えなくする)
自然災害:
・地震、台風、洪水
・停電
・火災
これらの障害が発生すると、システムが正常に動作せず、可用性が損なわれます。
稼働率と可用性の関係
可用性は、稼働率(アベイラビリティ)という指標で定量的に表されます。
稼働率は、次の式で計算されます。
稼働率 = 稼働時間 / (稼働時間 + 停止時間)
または、
稼働率 = 稼働時間 / 全体時間
パーセンテージで表すこともあります。
計算例1:1年間(8760時間)のうち、8時間停止したシステムの稼働率は?
稼働率 = (8760 − 8) / 8760
= 8752 / 8760
≈ 0.9991
= 99.91%
稼働率99.91%となります。
一般的に、稼働率は「9(ナイン)」の数で表されます。
| 稼働率 | 年間停止時間 | 呼び方 |
|---|---|---|
| 99%(ツーナイン) | 約3.65日 | 低い可用性 |
| 99.9%(スリーナイン) | 約8.76時間 | 一般的なレベル |
| 99.99%(フォーナイン) | 約52.6分 | 高い可用性 |
| 99.999%(ファイブナイン) | 約5.26分 | 非常に高い可用性 |
| 99.9999%(シックスナイン) | 約31.5秒 | 極めて高い可用性 |
重要なシステムほど、高い稼働率が求められます。
金融システムや社会インフラでは、ファイブナイン以上が要求されることもあります。
可用性を高める対策方法
可用性を高めるための具体的な対策方法を見ていきましょう。
冗長化(Redundancy):
・サーバーを複数台用意し、1台が故障しても他が稼働
・RAID(ディスクの冗長化)
・ネットワークの二重化
・ホットスタンバイ(待機系の常時稼働)
負荷分散(Load Balancing):
・複数のサーバーで処理を分散
・特定のサーバーに負荷が集中しない
・ロードバランサーの導入
バックアップ:
・定期的なデータバックアップ
・フルバックアップと差分バックアップ
・バックアップデータの遠隔地保管
フェイルオーバー(Failover):
・障害発生時に自動的に予備系に切り替え
・ダウンタイムを最小化
監視と早期対応:
・24時間365日のシステム監視
・異常の早期検知
・迅速な障害対応体制
災害対策(DR):
・データセンターの地理的分散
・災害時の復旧計画(BCP)
・定期的な訓練
・単一障害点(SPOF)を作らない
・障害の早期検知と迅速な対応
・定期的なメンテナンスと更新
・訓練と計画の実施
これらの対策を組み合わせることで、高い可用性を実現できます。
完全性(Integrity)との違い
続いては、可用性と完全性の違いについて見ていきます。
完全性とは何か
完全性(かんぜんせい、英語:Integrity)とは、情報が正確で改ざんされていない状態が保たれていることを意味します。
完全性が保たれているとは、次のような状態です。
・データが正確である
・データが改ざんされていない
・データが不正に変更されていない
・データの整合性が取れている
完全性が損なわれる状況には、次のようなものがあります。
・不正アクセスによるデータ改ざん
・ウイルスによるファイルの書き換え
・通信中のデータの改変(中間者攻撃)
・プログラムのバグによるデータ破損
・人為的ミスによる誤入力・誤削除
完全性を確保するための対策には、次のようなものがあります。
アクセス制御:権限のない者がデータを変更できないようにする
ハッシュ値の利用:データの改ざん検知
デジタル署名:データの真正性を保証
バージョン管理:変更履歴の記録
監査ログ:誰がいつ何を変更したか記録
可用性と完全性の違いと具体例
可用性と完全性の違いを、具体例で理解しましょう。
可用性の問題:
・システムがダウンしてアクセスできない
・サーバーが故障してサービスが停止
・ネットワーク障害で接続できない
→ 「使えない」状態
完全性の問題:
・データが改ざんされている
・顧客情報の住所が間違っている
・金額が不正に書き換えられている
→ 「正確でない」状態
具体例:銀行口座の残高
可用性が損なわれた場合:
・ATMがダウンして残高照会できない
・オンラインバンキングにログインできない
・システム障害で取引できない
→ サービスが利用できない
完全性が損なわれた場合:
・残高が不正に書き換えられている
・振込記録が改ざんされている
・データに矛盾がある
→ 情報が正確でない
| 項目 | 可用性(Availability) | 完全性(Integrity) |
|---|---|---|
| 意味 | 使いたいときに使える | 情報が正確で改ざんされていない |
| 問題 | システムダウン、障害 | データ改ざん、エラー |
| 対策 | 冗長化、バックアップ | アクセス制御、ハッシュ値 |
| 侵害時 | サービスが使えない | データが信用できない |
両者は異なる側面からシステムの信頼性を支えています。
両者が侵害された場合の影響
可用性と完全性が同時に侵害されると、深刻な事態になります。
ランサムウェア攻撃の例:
・完全性の侵害:データが暗号化され正常に読めない
・可用性の侵害:システムが使えなくなる
→ 業務が完全に停止
データベース障害の例:
・完全性の侵害:データが破損して不正確
・可用性の侵害:データベースにアクセスできない
→ 復旧が困難
優先順位は状況によって異なります。
・医療システム:可用性優先(緊急時に使えることが最重要)
・金融システム:完全性優先(金額が正確であることが最重要)
・一般的なWebサイト:バランス重視
実際には、両方をバランスよく確保することが理想です。
機密性(Confidentiality)との違いと情報セキュリティの三要素
続いては、機密性との違いと、情報セキュリティの三要素について確認していきます。
機密性とは何か
機密性(きみつせい、英語:Confidentiality)とは、許可された者だけが情報にアクセスでき、許可されていない者には情報が漏洩しないことを意味します。
機密性が保たれているとは、次のような状態です。
・個人情報が外部に漏れない
・企業秘密が競合他社に知られない
・機密文書が無関係な人に見られない
・パスワードが第三者に知られない
機密性が損なわれる状況には、次のようなものがあります。
・不正アクセスによる情報漏洩
・ウイルス感染による情報流出
・内部関係者による情報持ち出し
・紛失・盗難による情報漏洩
・設定ミスによる公開範囲の誤り
機密性を確保するための対策には、次のようなものがあります。
アクセス制御:権限管理、認証
暗号化:データの暗号化、通信の暗号化
物理的セキュリティ:入退室管理、施錠
教育:従業員へのセキュリティ教育
監視:アクセスログの監視
CIA(機密性・完全性・可用性)の関係
情報セキュリティの三要素であるCIAを整理しましょう。
C:Confidentiality(機密性)
・意味:情報が漏洩しない
・問題:不正アクセス、情報漏洩
・対策:暗号化、アクセス制御
I:Integrity(完全性)
・意味:情報が正確で改ざんされていない
・問題:データ改ざん、破損
・対策:ハッシュ値、デジタル署名
A:Availability(可用性)
・意味:必要なときに使える
・問題:システムダウン、障害
・対策:冗長化、バックアップ
| 要素 | キーワード | 侵害例 |
|---|---|---|
| 機密性(C) | 漏らさない | 個人情報流出 |
| 完全性(I) | 改ざんしない | データ改ざん |
| 可用性(A) | 使えるようにする | システムダウン |
これら三つは相互に関連しており、すべてをバランスよく確保することが重要です。
バランスの取り方と優先順位
CIAの三要素は、時にトレードオフの関係になることがあります。
機密性を重視しすぎると:
・アクセス制限が厳しくなりすぎる
・認証手続きが煩雑になる
・可用性が低下する(使いにくくなる)
可用性を重視しすぎると:
・アクセス制限が緩くなる
・セキュリティチェックが簡素化される
・機密性が低下する(情報漏洩のリスク)
完全性を重視しすぎると:
・変更手続きが厳格になりすぎる
・業務の柔軟性が失われる
・可用性が低下する
業種や用途によって優先順位は異なります。
金融機関:
・完全性 > 機密性 > 可用性
・金額の正確性が最重要
医療機関:
・可用性 > 完全性 > 機密性
・緊急時に使えることが最重要
ECサイト:
・可用性 > 機密性 > 完全性
・サイトが止まると売上に直結
官公庁:
・機密性 > 完全性 > 可用性
・個人情報保護が最重要
・すべての要素が重要
・業種や用途で優先順位は異なる
・一つを犠牲にして他を高めるのではなく、全体のバランスを取る
・リスク分析に基づいて適切なレベルを設定
理想は、三要素すべてを高いレベルで維持することですが、現実にはコストや利便性との兼ね合いで適切なバランスを見つける必要があります。
まとめ
可用性について、基本的な定義から障害との関係、完全性・機密性との違いまで詳しく解説してきました。
可用性(Availability)とは、許可された利用者が必要なときにシステムやデータにアクセスできる状態が保たれていることです。
サーバーダウンや障害によって可用性が損なわれると、業務が停止し大きな損失につながります。
可用性は稼働率で定量的に表され、重要なシステムでは99.999%(ファイブナイン)以上の高い稼働率が求められます。
冗長化、負荷分散、バックアップ、監視体制の構築などの対策で可用性を高めることができます。
完全性(Integrity)は情報が正確で改ざんされていないこと、機密性(Confidentiality)は情報が漏洩しないことを意味します。
可用性は「使えること」、完全性は「正確であること」、機密性は「漏らさないこと」と覚えるとわかりやすいでしょう。
これらの三要素は情報セキュリティのCIA(機密性・完全性・可用性)と呼ばれ、すべてをバランスよく確保することが重要です。
業種や用途によって優先順位は異なりますが、一つを犠牲にするのではなく、リスク分析に基づいて適切なレベルを設定することが求められます。
