【サイバーセキュリティ】必要なときにいつも利用したいと叶える「可用性」
はい、こんにちは。前回記事からの続きです。システムの品質を評価するための基準「RASIS」について、紹介していきます。
前回は、RASISのうち、保守性(Serviceability)についてご紹介しました。その尺度として「MTTR」があるのでしたね。「どれだけ早く故障から復旧し再稼働できるのか」の尺度です。
「信頼性」と「保守性」の紹介が終わったところで、今回は、「可用性」(
Availability)でございます!「信頼性R」と「保守性S」を先に紹介した理由がここで明らかになります~。一体どのように関係するのでしょう?
では、いってみよう!
「可用性」とは何か?
「可用性」とは聞きなれない用語です。え?よく聞きますか?それはきっと皆さんがIT関連の仕事をされているからですね。一般的には、そんなに聞きませんよ。
「可用性」という単語を最初に目にするのは、おそらくサイバーセキュリティの入門書の第1章ではないでしょうか?そう、情報セキュリティの3要素CIAの一つですね。すなわち、機密性Confidentiality、完全性Integrity、可用性Availabilityです。
このCIAにおける可用性は、簡単に言うと「データやシステムなどの資源にアクセスする権限のある人が、必要なときにいつでもアクセスできること」を言います。
一方、今紹介しているシステム評価基準のRASISにおける「可用性」についても基本的な考え方は一緒です。
RASISにおける可用性は、「システムが障害などによる停止時間なしに稼働し続けて、利用者が必要な時にシステムを利用できること」を指します。
このように、前者と後者でだいたい同じ概念です。
しかし、セキュリティにおける「可用性」と、システム評価基準における「可用性」は、若干焦点が異なります。
CIAにおける「可用性」は、情報セキュリティの観点からの「可用性」に注目しています。どちらかと言えば、ランサムウェア、DOS攻撃などのサイバー攻撃によってシステムが稼働停止に陥る状況を想定しています。
一方、RASISにおける「可用性」は、システムが稼働を停止する理由がサイバー攻撃によるものというよりは、冗長化、バックアップなどシステムの耐障害設計のよしあしによると捉えるものです。
上記のように文脈でニュアンスの違いがありそうですが、、、明確に区別されているわけではありません。念のため。
評価尺度にアレを使う
さて、RASISにおける「可用性」にも定量的な評価尺度はあるのでしょうか?
はい、あります。その尺度の名は、「稼働率」です。この単語は、一般的なビジネス用語としても聞きますね。飲食店の座席の「稼働率」とか、ホテルの客室の「稼働率」とか。
ただ、「可用性」の尺度たる「稼働率」には、明確な式があります。こちらです。
信頼性の尺度MTBF(平均故障間隔)と、保守性の尺度MTTR(平均修理時間)だけで構成されていますね。だから、信頼性と保守性の話を先にしたわけです。
分母に着目するとMTBF(時間)とMTTR(時間)の合計です。この合計に占めるMTBFの割合が「稼働率」ですね。比率ですから、単位は「パーセント」などとなります。信頼性や保守性の尺度が「時間」であったことと比べるとそこが違います。
稼働率は、MTBFが大きいほど、MTTRが小さいほど高まります。そして、稼働率は高い方がベターです。でも、十分に高い稼働率に基準はあるのでしょうか?
そのシステムはミッション・クリティカル?
昨今は、サーバを常時起ち上げておくのが当たり前になり、昔に比べて高い稼働率が求められるようになりました。
特に、ミッションクリティカルなシステム(少し止めただけでも問題になるミッション(責務)のためにクリティカル(重大)なシステム。金融系とか、商取引系とか。)では、極めて高い稼働率が求められます。
その極めて高い稼働率というのはどれくらいでしょうか。その代表例が、「ファイブナイン(99.999%)」です。
システムが1年間でわずか約5分間しか停止しないことを意味します。まさにシステム停止、許すまじという感じです…。
これをSLA(Service Level Agreement)に盛り込んで合意するんですね。大変だ。
はい、本日はここまで。今回は、RASISのうち、可用性についてお話ししました。
次回は、RASまで確認しましたから、次回はIntegrity(完全性)を見ることにしましょう。ではまた。
この記事が気に入ったらサポートをしてみませんか?