情報セキュリティの可用性とは？CIA三要素の意味・重要性・高め方を事例付きで解説

2025年9月30日2026年3月6日

燦夜/管理部長

えっと…鏡里くん、可用性って何ですか？🤔 授業で聞いた気がするんですけど、全然思い出せなくて…😰

鏡里/CISO

えぇ〜？🙄 燦夜部長、管理部長って肩書きでそれも知らないんですかぁ？まあいいですよ。簡単に言うと「必要なときにちゃんと使える状態」✨ のことですよ。

燦夜/管理部長

あ、あの…その「使える状態」って、たとえばどういうこと…？💦

鏡里/CISO

スマホの地図アプリ、いつ開いても動くでしょ？📱🗺️ あれが可用性が高いってこと。逆にATMがメンテで使えないのは可用性が低い🏧⛔ …これくらいはわかりますよね？😏

燦夜/管理部長

あー！なるほど…！😮 でもそれって、そんなに大事なんですか？動かなかったら、ちょっと困るくらいで…🤷

鏡里/CISO

「ちょっと困る」？😅 ふふっ、想像力なさすぎですよ燦夜部長！ECサイトが何時間も落ちたらどうなります？🛒💥 売上損失だけじゃない。「あの会社やばくない？」って悪評が一気に広がるんですよ📉📣

燦夜/管理部長

ひぇっ…！そ、そんなに…！😱

鏡里/CISO

病院のカルテが止まったら人命に関わるし🏥🆘、銀行のシステムが落ちたら送金も支払いもできない🏦❌。可用性って、社会のインフラそのものなんですよ。…まあ、部長にはまだ難しいかな〜？😏

燦夜/管理部長

えっと…じゃあ情報セキュリティの中でも、かなり重要ってことですか…？😳

鏡里/CISO

かなりじゃなくて、三本柱のひとつです🧱。機密性・完全性・可用性。どれが欠けてもアウト🚫。…まあ、下に全部書いてありますから。読めば燦夜部長でもわかると思いますよっ？たぶん😌

燦夜/管理部長

た、たぶんって…！😣 よ、読みます…！📖

情報セキュリティの可用性（Availability）とは？その意味と重要性

可用性（Availability）とは、必要なときに情報やシステムを利用できる状態を維持すること。

この記事の結論（先に要点）

可用性は「必要なときに使える」状態を守る考え方で、CIA（機密性・完全性・可用性）の1つ。
ビジネスでは、停止時間が短くても 売上・信用・業務継続（BCP） に直結する。
100%の無停止は現実的ではないため、冗長化・監視・バックアップ/復旧訓練 の組み合わせで“止まりにくく、止まっても早く戻す”を目指す。

情報セキュリティの三要素「CIA（機密性・完全性・可用性）」の重要な柱の一つです。いくら機密性や完全性を高めて強固なシステムを作っても、肝心なときにシステムが動かなければ意味がありません。

可用性を一言で表すと、「システムが停止せず、利用者が安心して使える状態」を約束することです。

IT業界では、この可用性の高さを「稼働率（アップタイム）」で評価することがあります。稼働率が上がるほど、許容される停止時間は短くなります。

【表】稼働率と年間の許容停止時間の目安

稼働率	呼び方	年間の許容停止時間（目安）
99.9%	スリーナイン	約8時間45分
99.99%	フォーナイン	約52分
99.999%	ファイブナイン	約5分

ビジネスにおいては、わずか数分の停止が数百万〜数億円規模の損失に直結することもあります。

たとえば、設備の一部が壊れても最低限の機能で稼働し続けるようにする。有線LANを二重化して片方が切れても通信を維持する。こうした工夫の積み重ねが「可用性」を支えています。

【なぜ重要？】情報セキュリティ可用性の重要性とインシデント事例

近年、システムの停止（可用性の喪失）が企業に致命的なダメージを与えるケースが後を絶ちません。

たとえば、ある大手通販サイトがランサムウェア（身代金要求型ウイルス）の攻撃でシステムダウンに陥った事例では、自社の受注・出荷業務が停止しただけでなく、物流を委託していた提携先のネットストアまで巻き込む事態となりました。一企業のシステム障害が、サプライチェーン全体を機能不全に陥れるリスクを示しています。

また、国内の大手飲料メーカーがサイバー攻撃を受け、受注・出荷システムが長期間停止したケースもあります。この時は手作業での対応を余儀なくされ、完全復旧までに膨大なコストと時間を費やしました。可用性の確保が、企業の事業継続（BCP）にいかに直結しているかがわかる教訓です。

情報セキュリティの可用性：高い・低いの具体例（日常・ビジネス・IT）

**日常生活：**スマホの地図アプリがいつでも開ける → 可用性が高い
**ビジネス：**クラウドストレージが稼働率99.99%で24時間365日利用可能 → 可用性が高い
**ITシステム：**銀行ATMが頻繁にシステム障害で使えなくなる → 可用性が低い

可用性は、電気や水道のようなインフラに近い考え方です。普段は「使えて当たり前」ですが、止まった瞬間に大きな不便や損失が発生します。

【具体例】落雷による停電で経験した「可用性」の喪失

冷蔵庫が止まり、野菜が傷み始める
クーラーが使えず、室内は蒸し暑い
シャワーも温度調整ができず冷水しか出ない

電気が復旧したのは夜でしたが、たった数時間でも生活は大きく乱れました。この経験からもわかるように、可用性は生活にもビジネスにも欠かせない要素なのです。

燦夜/管理部長

はぇぇ…たった数時間でこんなに…😨

可用性を脅かす主な要因とクラウド依存のリスク

自然災害：地震・洪水・停電
人的要因：設定ミス、誤操作
サイバー攻撃：DDoS攻撃、ランサムウェア
システム要因：ハードウェア故障、ソフトウェアバグ

先にチェックリスト（最低限これだけ）

重要システムの単一障害点（SPOF）を洗い出す（回線、DNS、認証基盤、DBなど）
バックアップ方針を決める（頻度、保持期間、暗号化、保管先）
復元テストを定期実施する（例：月1回）
監視とアラートを整える（検知、通知、一次対応の手順）
DDoS/ランサムウェア対策を可用性の観点でも設計に入れる（WAF、CDN、分離、復旧手順）

近年は自社でサーバーを持たず、外部のクラウドサービスに依存する企業が増えたことで、特定のインフラ基盤への「集中依存リスク」も顕在化しています。

メガクラウドの大規模障害： 特定のリージョンで障害が発生し、多数の人気アプリやWebサービスが同時に数時間利用できなくなるケース。
インフラサービスの障害： 通信を最適化するCDNやDNSサービスに障害が起き、主要なSNSやAIサービス全体にアクセスできなくなるケース。

さらに、クラウド型電子カルテの障害により、全国の医療機関で診療や会計がストップする事態も起きています。これは、ITシステムの可用性が単なる「便利さ」を超えて、「人命や社会インフラに直結する課題」であることを強く示しています。

現代の複雑なIT環境では、システム障害やサイバー攻撃を「100%防ぐ」ことは現実的ではありません。そのため、単一の対策に頼るのではなく、複数の防御策を組み合わせる「多層防御」や、人的ミスが起きてもシステム全体がダウンしない「フールプルーフ」の設計を取り入れ、被害を最小限に抑える工夫が不可欠です。

これからの時代に求められるのは、単に「絶対に止まらないシステム」を目指すことではなく、「万が一停止しても迅速に復旧し、ビジネスや顧客への影響を最小限に食い止める力（レジリエンス）」を身につけることです。

情報セキュリティの可用性を高める・守るための5つの具体的方法

1. 冗長化（Redundancy）

サーバーを複数台用意し、一台が故障しても他が稼働
ネットワーク回線を二重化し、片方が切れても通信を維持
重要なデータベースやストレージも冗長構成にする

2. 負荷分散（Load Balancing）

ロードバランサーでアクセスを分散
CDNを活用して世界中のユーザーに安定した配信

ロードバランサーとは、複数のサーバーにトラフィック（アクセス通信）を効率よく振り分ける装置や仕組みのことです。これにより、1台に負荷が集中してシステムが落ちる事態を避けやすくなります。

3. バックアップとディザスタリカバリ（DR）

定期バックアップでデータ消失を防ぐ
災害時に備えたバックアップサイト（別リージョンなど）を用意

「ディザスタリカバリ（DR：災害復旧）」とは、災害や大規模障害が発生したときに、システムやデータを速やかに復旧させるための仕組みや計画のことです。

運用の目安例（あくまで例）

バックアップ：毎日
保持：30日
復元テスト：月1回（「取れている」ではなく「戻せる」を確認）

4. 自動化と監視（検知を早く、復旧を早く）

自動スケーリングでアクセス急増に対応
監視で障害を早期検知し、通知と一次対応を標準化

可用性は「壊れない」だけではなく、「壊れたときに早く気づいて、早く戻す」ことで上がります。

5. セキュリティ対策（可用性を守るための防御）

DDoS対策（WAF、CDN、レート制限など）でサービス停止を防ぐ
ランサムウェア対策（分離、権限管理、復旧手順）で長期停止を避ける

物理的な障害だけでなく、サイバー攻撃でも可用性は失われます。可用性の対策として、攻撃を受けたときの復旧手順まで含めて設計しておくことが重要です。

情報セキュリティ可用性を支える「信頼性」と「保守性」とは？

鏡里/CISO

災害とかでシステムが壊れたときに、素早く元に戻すための準備のことです。やられても復活できる段取り。…まあ、それだけ覚えておけば燦夜部長でも大丈夫でしょう😆

情報セキュリティの可用性とBCP（事業継続計画）の関係性

信頼性（Reliability）：長時間エラーなく動き続ける力
保守性（Maintainability）：障害が起きたときにすぐ直せる力

可用性は、この2つのバランスで成り立っています。つまり「壊れにくく、壊れてもすぐ直せる」ことが、止まらずに使える安心感につながるのです。

燦夜/管理部長

えっと…つまり信頼性が「壊れにくい」で、保守性が「壊れてもすぐ直せる」ってことですか…？合ってますか…？😰

鏡里/CISO

へぇ〜？燦夜部長にしては悄けにまともですね？車で例えると、信頼性は故障しにくいエンジン、保守性はすぐ部品交換できる整備体制。どっちか片方だけじゃ安心して走れないでしょ？両方揃って初めて止まらないが成り立つ。…これくらいはわかりますよね？😏

燦夜/管理部長

あっ…！なるほど！両方ないとダメなんだ…！なんか、やっとつながった気がします…！😢

情報セキュリティの可用性とBCP（事業継続計画）の重要な関係

可用性は、災害やパンデミック時に業務を継続できるかとも直結します。

BCPを策定する際は、「重要業務をどの程度の時間で復旧させるか（RTO：目標復旧時間）」と「どの時点のデータまで復旧させるか（RPO：目標復旧時点）」を明確に定義することが重要です。たとえばECサイトであれば、「障害発生から1時間以内に、10分前のデータの状態で復旧させる」といった具体的な数値を設定し、非常時でも事業を継続できる仕組みを構築します。

地震や火災といった災害は、可用性にとって最大の脅威。それでも業務を継続できるかどうかが、真の可用性を測るポイントです。