ISO/IEC 27001(ISMS)における可用性(Availability)は、単なるシステム稼働率や稼働時間の話にとどまらず、権限を持つ人やシステムが必要なときに情報や機能を利用できる状態を維持することを意味します。
本記事では、ISO27001における可用性の定義から、方針策定・リスクアセスメントの進め方、技術的・物理的および組織的な管理策の活用方法、そしてPDCAサイクルによる継続的改善のポイントまでを、実務的な視点で解説します。
目次
ISO27001における可用性の定義
ISO/IEC 27001における可用性(Availability)は、情報セキュリティマネジメントシステムの用語が定義された規格であるISO/IEC 27000で次のように定義されています。
認可されたエンティティが要求した時に、アクセス及び使用が可能である特性
ここでいう「エンティティ」は、人間に限らず、組織や部門、業務システム、外部サービスなども含む、情報にアクセスする主体全般を指します。権限を持つ主体が、継続的かつ信頼できる環境で情報や機能を利用できることまで含めて、可用性を確保することが求められます。
可用性を維持する取り組み
可用性はCIAの一要素として、機密性・完全性と並ぶ前提条件です。
機密性が権限のないアクセスを防ぐこと、完全性が内容を正しく保つことであり、可用性は必要なときに使える状態を保つことを指します。
可用性リスクは、機密性や完全性に比べて軽視されがちですが、実際では、証明書やライセンスの期限切れでアクセスできなくなる、クラウドやSaaSの障害で利用不能になる、電源や通信回線を単一構成で運用していて系統障害が全停止につながる、といった事態が起こりえます。
このような事態を起こさないよう可用性を維持するうえでは、情報セキュリティ方針の策定とリスクアセスメントの実施が重要なポイントとなります。
情報セキュリティ方針での可用性の扱い
ISMSを構築・運用するにあたっては、まず情報セキュリティ方針を定めます。この方針の中で可用性をどう位置づけるかが重要です。ISMSは方針に沿って運用されるため、方針が可用性を特に重視するなら、可用性を維持する取り組みは優先課題として扱われます。一方で機密性や完全性を優先すると定めている場合は、可用性の優先度は相対的に下がります。
可用性を重視する旨を明記している例として、株式会社中央倉庫さんの情報セキュリティ方針を見てみましょう。
顧客の情報資産の維持・管理には、「可用性」を重視したリスクアセスメントを行い、情報資産の「セキュリティリスク」を分析し、セキュリティ要求事項を選定します。
この場合、顧客から預かった情報について、顧客が必要なときに利用できなくなるリスクを特定し、優先的に対策を講じることが求められます。
たとえば、方針で「可用性を重視する」と定めている企業では、リスクアセスメントの際に可用性に関するシナリオ(システム停止や通信障害など)を必ず含め、管理策の選定でも冗長化やバックアップ体制の整備を優先的に検討します。結果として、可用性を軽視する組織に比べて、障害発生時の復旧速度やサービス継続性に差が生まれます。
可用性観点でのリスクアセスメント
情報セキュリティ方針で可用性の位置づけが明確になったら、その方針を踏まえてリスクアセスメントを行います。 ISO27001では、リスクアセスメントは機密性・完全性・可用性の3要素をすべて考慮して実施することが求められますが、実務では機密性や完全性に比べて可用性の観点が抜け落ちやすい傾向があります。
たとえば、可用性の観点で洗い出すべきリスクとしては、まず、電源や通信回線、サーバ構成などが単系統で運用されており、障害が発生するとシステム全体が停止してしまう単一障害点の存在が挙げられます。次に、クラウドサービスやSaaSといった外部サービスへの依存により、これらの障害発生時に自社業務が停止してしまう外部依存の可用性リスクも重要です。
さらに、証明書やライセンスの期限切れ、設定変更の誤り、バックアップが未検証のまま運用されているといった運用上の管理不備も、可用性を損なう原因となります。加えて、災害や停電、空調の故障など物理的・環境的要因によってシステムが停止するリスクも見過ごせません。 こうした多角的な視点を持つことで、可用性リスクを漏れなく把握し、リスクアセスメントに反映させることができます。
可用性の見落としを防ぐ管理策の活用
ISMSの運用において可用性の観点を抜け漏れなく盛り込むには、規格が定める管理策をうまく活用することが有効です。
ISO/IEC 27001の附属書Aには、可用性の確保に直結する項目が複数含まれています。これらを参考に、自社の状況やリスクに合わせた対応を検討すると、可用性リスクに対して効果的に対策を検討できます。
技術的・物理的な可用性確保の対策
可用性を確保するためには、個々の設備やシステムを守るだけでなく、その運用環境や基盤も含めて考える必要があります。ISO/IEC 27001の管理策の中でも、特に可用性に直結するものは、「物理的な観点」と「技術的な観点」の2つの要素があります。
物理的な観点では、設備やインフラを物理的な障害から守る取り組みが中心になり、特に以下が可用性に関与する管理策となっています。
- 11「サポートユーティリティ」
- 12「ケーブル配線のセキュリティ」
- 13「装置の保守」
電源や空調といった基盤設備の停止、ネットワークや電源ケーブルの断線や損傷による通信断のほか、ハードウェア故障を未然に防ぐための定期的な点検や部品交換などの要求が含まれています。たとえば、電源については無停電電源装置(UPS)の設置や非常用発電機の配備、空調については冗長化された空調機の運用やフィルタの定期交換が有効です。ケーブル配線では、床下やラック内での配線を物理的に保護し、誤って抜けたり断線したりしないようラベル管理やケーブルダクトを活用します。さらに、サーバやストレージ装置は定期的な清掃やファームウェア更新、摩耗部品(ファンやディスク)の計画的交換を行い、突発的な故障を防ぐなどの対策が実施できます。
技術的な観点では、システムやデータを安定して利用できるようにするための設計や運用管理が重要であり、このときに注視すべき管理策は以下の3つです。これらは、可用性の維持に必要不可欠な管理策です。
- 6「容量・能力の管理」
- 13「情報のバックアップ」
- 14「情報処理施設・設備の冗長性」
容量・能力の管理では、CPUやメモリ、ストレージ、ネットワーク帯域などの使用状況を常時監視し、利用率が一定の閾値を超える前に増強計画を立てます。たとえば、利用者数の増加や新機能の追加による負荷変動を見越して、クラウド環境ではオートスケーリングを設定し、オンプレミスでは予備機や増設スロットを確保しておくと効果的です。
情報のバックアップでは、日次・週次の定期バックアップに加え、重要データはリアルタイムレプリケーションを行うなど、復旧時間(RTO)や復旧可能時点(RPO)の要件に合わせた方式を選定します。バックアップデータは同一拠点だけでなく、地理的に離れた場所やクラウドにも保管し、定期的にリストアテストを実施して実際に復旧できることを確認します。
情報処理施設・設備の冗長性については、電源やネットワーク経路の二重化、サーバのクラスタリングやロードバランサの導入などにより、単一障害点を排除します。また、障害発生時に自動的に切り替わるフェイルオーバー構成や、手動切り替え時の手順書を整備しておくことで、ダウンタイムを最小限に抑えられます。
組織的な可用性計画
可用性を確保するには、設備やシステムそのものの保護に加えて、組織全体で有事に備えた計画を立て、運用に落とし込むことが重要です。
ISO/IEC 27001の管理策の中でも、特に可用性計画に直結するものは以下の4つです。
- 12「情報の分類」
- 29「事業の中断・阻害時の情報セキュリティ」
- 30「事業継続のためのICTの備え」
まず、情報を分類する際に、情報の機密性や完全性だけでなく可用性の観点も考慮しておきます。情報資産ごとに必要となる可用性に応じて分類することで、業務に重大な影響を与える情報やシステムを特定しやすくなり、優先的に保護・復旧の対象とすることができます。ごく稀にしか利用せず、金庫などで保管するような定款の原本もあれば、オンラインバンキングや決済システムのトランザクション情報、コールセンターの顧客情報など常に利用可能な状態を維持しなければならない情報もあります。
分類する基準を可用性の度合い(高・中・低など)で3段階程度で設けて、その基準に沿って分類しておくことで、その後の対策に効率的に取り組むことができます。
そして、重大な障害や災害が発生しても必要最低限の情報セキュリティレベルを維持する方法を計画し、関係者と共有することが必要になります。これにより、有事の際であっても一定の可用性を確保できます。計画の一部として、ICTインフラの復旧や代替手段を整え、試験や訓練を通じて実運用できる状態を保つことも求められます。単にバックアップを取るだけではなく、実際の切り替えや再稼働がスムーズに行えるよう、手順と体制を平時から整備しなければなりません。このとき、前述した分類を用いて基準を設けることで対策の程度や必要性が客観的に判断できるようになります。
たとえば、可用性の度合いが「高」の情報に対しては復旧目標時間(RTO)を1時間、「中」なら24時間、という具合に定めることで、重要な部分にリソースを割り当てて対策することが可能になります。こうした基準設定は、BIA(事業影響度分析)と組み合わせることで、より客観的かつ根拠のある可用性計画に落とし込むことができます。
継続的な改善
可用性の確保は一度計画・実施して終わりではありません。ISMSのPDCAサイクルの中で、障害発生時の対応結果や訓練のフィードバックをもとに、定期的に管理策や計画を見直すことで、変化する業務環境や脅威にも対応できる持続的な可用性維持が可能になります。仮に訓練のときに想定通り進まず中断されてしまったとしても、想定通りいかなかった原因を特定することが改善につながるため、必ず振り返りを実施して、活動を改善のサイクルにのせるようにしましょう。
まとめ
可用性とは、権限を持つ人やシステムが必要なときに情報や機能へアクセスできる状態を指し、これを維持することはISMSにおける重要な取り組みのひとつです。確実に可用性を確保するには、まず情報セキュリティ方針の中でその重要性を明確にし、その方針を踏まえてリスクアセスメントを実施し、可用性に関するリスクを漏れなく洗い出し、対策を施していかなければなりません。
この一連の取り組みの中で、ISO/IEC 27001が定める管理策を活用し、技術的・物理的な対策によって設備やシステムの安定稼働を確保するとともに、組織的な計画で有事の備えを整えることが重要です。
こうして策定した取り組みは、一度作って終わりではなく、障害対応や訓練の結果を踏まえて見直すなど、PDCAサイクルを回しながら継続的に改善することで、変化する環境や脅威にも適応できる強固な可用性の維持が可能になります。まずは自社の方針を見返してみてください。方針に見合った対策が実施できているか、管理策と比べて漏れなくリスクアセスメントできているか、今一度確認してみてください。
