RASIS
掲載:2023年03月31日
執筆者:チーフコンサルタント 倉橋 繭子
用語集
「RASIS(レイシスまたはラシス)」とは、コンピュータシステムに関する評価指標です。Reliability(信頼性)、Availability(可用性)、Serviceability(保守性)、Integrity(完全性)、Security(安全性)の頭文字をとったものであり、コンピューターシステムが期待される機能および性能を要しているかをこの5項目を通して評価する概念です。
RASISを構成する5つの観点
RASISという評価指標が登場する前に、RASISにおける「I」と「S」を除いた「RAS」という評価指標が先に登場しました。米IBM社が1970年代に提唱した考え方で、新しい大型コンピュータ(メインフレーム)である「System/370」に起用しました。同社に追随するようにして富士通や日立も自社製品にRASの考え方を取り入れます。コンピューターシステムにおいてRASが重要な要素となっていくなかで、Integrity(完全性)とSecurity(安全性)の重要性も認識されるようになり、RASISがシステム全般の評価指標として広く使われるようになりました。今ではコンピューターシステムの開発や運用に欠かせない考え方として定着しています。
| 頭文字 | 名称・観点 | 内容 |
|---|---|---|
| R | 信頼性(Reliability) | 故障や障害などによるシステムの停止がなく安定して稼働を 続けられるかどうか、壊れにくさを表す。 |
| A | 可用性(Availability) | 稼働率の高さや停止時間の短さを表す。 |
| S | 保守性(Serviceability) | 障害が起きたときの復旧のしやすさやメンテナンスのしやすさを表す。 |
| I | 完全性(Integrity) | データが常に一貫しており、障害や誤操作による不整合の起こりにくさを表す。 |
| S | 安全性(Security) | 外部の攻撃者による不正侵入などによってデータが改竄されないよう保護されているかを表す。 |
RASISを構成する5つの項目について一つずつ解説します。
まずは先頭のReliability(信頼性)。故障や障害などによるシステムの停止がなく安定して稼働を続けられるかどうか、壊れにくさを表します。具体的な数値指標としては稼働時間当たりの障害発生回数であるMTBF(平均故障間隔:Mean Time Between Failuresの略)で測ることができます。MTBFが大きければ大きいほど故障間隔が長いことになり、信頼性が高いと言えます。
2つ目のAvailability(可用性)は稼働率の高さや停止時間の短さを意味します。稼働率(稼働が期待される時間に対する実際の割合)という指標で表すことができます。
3つ目のServiceability(保守性)は、障害が起きたときの復旧のしやすさやメンテナンスのしやすさを表します。つまり障害発生時にいかに早く検知し、修復を行えるかといった保守のしやすさに直結します。代表的な数値指標はシステムを修復するのにかかる平均時間であるMTTR(平均修理時間:Mean Time To Repair)です。こちらはMTBFとは逆で、大きければ大きいほど復旧に時間を要し、保守性が低いということになります。
4つ目のIntegrity(完全性)は、データが常に一貫しており障害や誤操作による不整合の起こりにくいかを表します。どのような状況でも正しくデータを保持し書き換えや消失を防げるかを評価します。
最後の5つ目のSecurity(安全性)とは、外部の攻撃者による不正侵入などによってデータが改竄されないよう保護されているかを表します。
類似用語との違い
コンピューターシステムやサービスに関して、機能や性能を表す用語はRASISの他にも複数あります。
例えば、情報セキュリティの3大原則である「CIA」です。Confidentiality(機密性)、Integrity(完全性 )、Availability(可用性)の頭文字をつなげたもので、機密性とは、アクセス権を持った者だけが情報を閲覧できるなどの制限をかけることです。
他にも、「RTO(Recover Time Objective)」や「RPO(Recovery Point Objective)」、「MTPD(Maximum Tolerable Period of Disruption)」があります。RTOはいつまでに事業を復旧するかという目標復旧時間、RPOはRTOまでに少なくともどの時点のデータを復旧しなければならないかを考えたときの「どの時点のデータか」を表し、MTPDは経営陣が最大限譲歩できる業務中断の最長時間である最大許容停止時間を表します。これらは主にBCP(事業継続計画)にて用いられる用語ですが、システムやサービスにおいてバックアップを取得する要件を決める際などにも、重要な要素として検討されます。
まとめ
本用語集ではRASISの各項目に関する解説と類似用語について説明しました。信頼性(R)を向上させるには出荷前ハードウェア試験、可用性(A)を向上させるためには冗長化、保守性(S)の向上にはシステムを停止させずに電源やファンを交換するなどの「活性保守」という手法、完全性(I)の向上にはデータのバックアップを取る、安全性(S)の向上にはデータや通信を暗号化する――などそれぞれに対策を講じることができます。対策の必要性を認識するとともに、システム障害やサイバー攻撃は起こりうるものと捉えて原因特定や復旧作業を実際に行う演習・訓練も合わせて必要となるでしょう。
おすすめ記事
- フェイルオーバー(Fail over)
- Design for Failure
- 最大許容停止時間 (MTPD: Maximum Tolerable Period of Disruption)
- アタックサーフェス
- ディザスタリカバリ、災害復旧 (DR: Disater Recovery)
- 攻撃者視点のガイドライン「CSC」を活用したサイバーセキュリティ評価手法
- CSMS/CSMS認証制度
- 目標復旧地点(RPO: Recovery Point Objective)
- 目標復旧時間 (RTO: Recovery Time Objective)
- 業務レベルの目標復旧時間の決定方法
- 売買システムの更新や取引時間の延長に向けた行動計画を公表、2024年度後半に実施へ 東証
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
