可用性の議論
その情報を必要とする人が必要な時にアクセスできることの実現性を可用性という。
可用性価値とは、必要な時にアクセス出来ないことにより発生する被害相当額の大きさ。
可用性の喪失によって生ずる事態は、顧客クレーム(社会信用や市場機会の喪失)、業務停止に繋がり、それによる損害額が考えられる。
どの程度の時間でアクセスできるかという観点からの価値評価も考えられる。必要な時といっても時間幅が有るとする考え方だ。事態はアナログ的。
最強はリアルタイム。常にその情報にアクセスできる状態。手元あるいは居室内に置く情報。24時間運用のサーバー内に有る情報も最強のカテゴリーに入るでしょう。時間差なし。
最悪はロスト(紛失)で二度とアクセスできない。または手遅れのケース。
管理策の程度で区分する。求められたら直ぐに出せる状態。直ぐそば管理。外部倉庫なら、翌日アクセス。メディアに落としてあるものなら、インデックスがないと分かりにくい。インデックスも外にある場合はもう1日必要。
.*.
可用性の議論が面倒なのは、脅威の頻度の議論と似たところがある。地震の頻度と震度の議論を同時に始めてしまうから何を計測するのかが混乱する。可用性も、震度に相当する時間は場というアナログが入り込んでくるのでややこしくなる。
情報を区分するときに管理項目にアクセス時間をあらかじめ設定しておくことが大事です。管理基準のひとつ。情報の用途が決まればアクセス要件も決まる(筈)。
たとえば、アクセス要件は当日中とした場合、翌日以降になったら被害額はいくらになるか?。被害額の大中小で可用性価値を評価する。被害の最大値で見ておくこと。
.*.
外部参照データは、可用性が高い場合は、内部にも保持するなどの施策が必要になる。
.*.
情報が必要になったときに直ぐ必要なのか一定の時間後に必要なのか。タイミングの要求。これ難しいですね。大方は気付いたときに直ぐに必要になります。この情報は3日後でいいですということは会議などを想定すればありうることですが、問題がすり替わる懸念が有る。重要な決定が必要な会議で求められて直ぐに出せなかったら意味が無い。会議が終わってからこれがその情報ですとこられても後の祭り。もっとも会議場でどの程度決定的かによるので評価はやはり難しい。
情報へのアクセス要求が出て、直ぐに対応が必要なものはAランク。翌日でいいものはBランク。永久にアクセスできなくてもいいものはDランク。とか適当に決める組織がありますが、何か変ですね。これは情報の種別/区分の話で価値評価とは別物です。
アクセスのスピードと被害額の大きさとは別次元の概念です。
ヘルプデスクではレスポンスタイムは秒オーダーで、個別の対応が入っても数分が限界。顧客のクレームに繋がる。
経営者が経営会議などで必要とする計画実績などの情報は同様に数秒、数分のオーダーが期待値です。経営のスピードが落ちる。
例えば、設計作業時に要件情報にアクセスするのはやはり同様に数秒、数分。プロセスのスピードが落ちる。
.*.
可用性の議論が難しいのは情報の質と遅延の程度によりインパクト(損害額)は変わるだろうと思われるからです。
<この問題を単純化することが出来ます~単純化することが必要です>