はじめに
情報システムセキュリティを担当している皆さん、事業継続計画(BCP)の策定は喫緊の課題の一つですよね。BCPを策定する上で欠かせないのが、事業影響度分析(BIA)です。このBIAの中で、特に重要な指標がRTO(目標復旧時間)とMTPD(最大許容停止時間)です。今回は、この二つの指標がどのような関係性にあるのかを、具体的な例を交えて解説します。
RTOとMTPD:それぞれの定義
まず、それぞれの定義を明確にしておきましょう。
RTO (Recovery Time Objective) - 目標復旧時間:
- 災害やシステム障害が発生してから、業務が許容可能なレベルで復旧するまでの目標時間です。
- システムを復旧させるための具体的な作業時間(サーバーの再構築、データのリストアなど)を指します。
- 「ECサイトのシステムを、障害発生から4時間以内に復旧させる」といった形で設定されます。
MTPD (Maximum Tolerable Period of Disruption) - 最大許容停止時間:
- 災害やシステム障害により、業務が停止しても事業が致命的な影響を受けずに済む限界時間です。
- この時間を超えて業務が停止すると、顧客の喪失、ブランドイメージの失墜、法的責任、売上の大幅減少など、事業存続に関わる重大なダメージが発生します。
- 「ECサイトの業務は、8時間以上停止すると事業継続が困難になる」といった形で設定されます。
RTOとMTPDの関係性
RTOとMTPDは、BIAにおいて密接に関係していますが、その役割は異なります。最も重要な関係性は、RTOは必ずMTPD以下でなければならないということです。
RTO ≦ MTPD
この関係は、事業を致命的なダメージから守るための絶対的なルールです。なぜなら、MTPDは「これ以上は耐えられない」という限界点であるのに対し、RTOは「この時間内に復旧させる」という目標だからです。目標時間が限界時間を超えてしまっては、計画の意味がありません。
具体例で考える
ここでは、ECサイトの決済システムを例に考えてみましょう。
事業影響度分析(BIA):
- まず、決済システムが停止した場合に、どれくらいの時間で事業に致命的な影響が出るかを分析します。
- 顧客が購入できなくなることで、売上の機会損失が発生します。また、長時間にわたるシステム停止は顧客の信用を失い、競合他社への流出に繋がります。
- この分析の結果、「決済システムは8時間以上停止すると、事業に致命的な影響を及ぼす」という結論が出たとします。この8時間がMTPDとなります。
RTOの設定:
- MTPDが8時間と決まったので、これを超えないように復旧目標時間を設定します。
- システム担当者やベンダーと協議し、バックアップからのリストアやサーバーの再構築にかかる時間を算定します。
- 検討の結果、「決済システムのRTOを4時間と設定する」という目標を立てました。これは、MTPDである8時間を下回っているため、事業継続計画として妥当な目標となります。
- もし、システムの複雑さから復旧に10時間かかると判明した場合、RTOがMTPDを超えてしまいます。この場合、より迅速な復旧を可能にするための投資(例:冗長構成の導入、DRサイトの構築)を検討する必要があります。
このように、MTPDは「どこまで耐えられるか」という事業上の限界を示すものであり、RTOは「その限界に達する前にどう復旧するか」という具体的な目標を示すものです。BIAでは、まずMTPDを定義し、そのMTPDを基に各システムのRTOを適切に設定していくプロセスが重要となります。
まとめ
RTOとMTPDは、どちらも事業継続を考える上で不可欠な指標です。BIAを通じてMTPDという事業の限界時間を明確にし、その限界に収まるようにRTOを設定することで、私たちは初めて実効性のあるBCPを策定することができます。この二つの指標の関係性を正しく理解し、BCP策定に活かしていくことが、私たちの役割の一つだと私は考えています。
