【サイバーセキュリティ】RASを日本独自に拡張したの？「完全性」と「安全性」

はい、こんにちは。前回記事からの続きです。システムの品質を評価するための基準「RASIS」について、紹介しています。

これまで、信頼性Reliability、可用性Availability、保守性Serviceabilityの３つの重要指標についてご紹介しました。

「信頼性」と「保守性」には、それぞれ「MTBF」と「MTTR」という定量的な尺度がありました。「稼働時間」と「修理時間」で補いあう関係でした。これらの尺度を利用して、「可用性」の尺度である「稼働率」を算出するのでしたね。

今回は、完全性Integrityと安全性Securityについて、ご紹介します。この２つの指標は、確かに重要そうなのですが、先に紹介したRASとは何か様子が異なりますよ。

気になりますね!?では、続きをどうぞ！

RASの歴史は古かった

先にRASの歴史を少しだけ紐解きましょう。

このRASという概念を提唱したのは、あのIBMでした。1970年代に、同社製のメインフレームの価値を訴えるために提案されたようです。

そんな昔からあるんですね。以降、現代でもRASという用語は世界的にも使われています。

完全性Iと安全性Sは後から追加された？

ひるがえって、完全性と安全性（あるいは機密性）を含むRASISは、どうでしょうか。

ググっても海外の文献についてはうまくヒットしませんし、ChatGPTに英語で聞いても「RASIS」という単語の説明がうまく返ってきませんでした…（代わりにRASの説明が返ってきました…）。

何だこれは！？

実は、RASISという用語は、日本独自で完全性IntegrityとSecurityをRASに加えたものらしいのです。

となりますと、海外の人に向かって「RASIS！」という用語を使うのは止め解いた方がいいですね。RASはもちろんいいのですが。

RASとの違いはこれだけではありません。IとSの方は、RASと異なり明確な定量的指標がありません。これも頭の片隅にいれておきましょうか。

完全性Integrityとは何か？

さて、本題。完全性のIntegrityとは何でしょうか。情報セキュリティのCIAで同じみの単語ですね。

一言でいうと、「データの喪失、改ざん、不整合などがないこと」を言います。

ただし、システムの安定した稼働を評価する文脈では、その原因が、どちらかというとサイバー攻撃というよりは、システム障害や誤操作にあるといえます。

対策は、フールプルーフ機構やバックアップなどとなります。

安全性Securityとは何か？

どんどん行きましょう。最後の安全性Securityです。文献によっては、Securityを「機密性」と訳しています。

確かに、「機密性」と訳せば、RASISのなかに、情報セキュリティの三要素がうまく入ることになりますね（情報セキュリティ三要素では、機密はConfidentialityですから、SecurityのSでなくCにしてほしかったところですが）。

「機密性」は、特段の解説は不要かと思いますが、「見る権限のない人が、見ることができないこと」です。説明が適当すぎますが、お許しを。

以下、私の感想ですので、参考程度にとらえてください。

完全性Integrityがどちらかというと、内在的なリスクに視点が置かれるのに対し、安全性Securityの方は、どちらかというと外部からの脅威・攻撃に視点がおかれている気がします。そう考えると、IとSが補い合う関係に見えて、自分の中で腹落ちします。

はい、本日でRASISの解説は終了です。

実は、ずっとRASISというものが漠然としていて理解できずにいたのですが、今回だいぶスッキリと理解できるようになりました。特にRASの部分は、互いの指標の関係がよく整理できたと思っています。

ではまた！