サービス可用性――その評価手法を知っているか?：ITIL Managerの視点から（1/3 ページ）

「可用性の向上」とはよく聞く標語だが、その基準は意外と知られていない。ただの掛け声に終わらないよう、その評価手法を紹介する。

[谷誠之，ITmedia]

■CRAMM（CCTA Risk Analysis Management Methodology）

　「クラム」と読む。英国大蔵省（CCTA）と英国規格協会（BSI）が1988年に考案した、「貴重なデータや保護が必要なデータを処理する現在および将来の情報システムのセキュリティを確保するために必要な、全ての技術的および非技術的なコントロールを識別するための、英国政府によって推薦されたリスク分析および管理手法」である（英国セキュリティサービスより引用）。現在では、バージョン5.1が公開されている。

　CRAMMは、次の3つのステージで構成される。

• ステージ1　保護対象である情報資産の識別と評価
• ステージ2　保護対象の脅威と脆弱性の5段階評価
• ステージ3　リスク対策の実施及びリスクマネジメント

　このことを図に示したものが、図1である。「分析」と「管理（対策）」を明確に分けていること、分析を「どの資産に」「どんな脅威があって」「どんな脆弱性があるか」という3つの視点で捉えることが特徴的である。例えば「サーバルーム」という資産に対して、「停電」という脅威があり、「バックアップ電源が準備されていない」という脆弱性があるのなら、「電源が供給されないことによるシステムダウン」というリスクが存在することになる。

図1：CRAMMの概念

　資産は、最悪事態を想定した質問表を用いて分類と評価を行う。脅威、リスクなどの分析は、各資産に質問表を用いて5段階で評価する。そして1000を超えるライブラリから適切な対策をリストアップする、という手順である。

　同様のもので、日本情報処理開発協会（JIPDEC）が考案した「JRMS（JIPDEC Risk Management System）」というものもあるので、参考にしていただきたい。