情シス運用サポートBlog

2023.09.04

インシデント管理と障害管理は異なる? 定義の違い、対応フローを解説

関連サービス
ITインフラ構築

ITシステムを適切に運用するためには、インシデント管理が重要です。
しかし、「インシデント」の意味は、現場や観点によって異なる使われ方をされているケースが珍しくありません。またインシデントと混同されがちな言葉として「障害」があります。
本記事では、ITシステム運用におけるインシデントの定義、障害との違い、そして、インシデント管理の対応フローも詳しく解説していきます。それぞれの意味を正しく理解することで、インシデント管理、障害管理といったトラブル発生時の対応プロセスもスムーズになるでしょう。

トラブルは最小限に! サーバー、ネットワーク 管理を最適化するポイント

「インシデント」とは?

「インシデント(Incident)」とは、本来「出来事」「事件」を意味する英語の定義です。一般的には「重大な事故が発生しかねない一歩手前の状況」といった意味合いで使われています。

ITシステム運用における「インシデント」は、システムの正常な運用を妨げる予期しない出来事や状況を指します。このインシデントには、ユーザーがシステムにアクセスできなくなるような状況や、データの損失、セキュリティの脅威など、広範な問題が含まれます。具体的には以下のような状態が挙げられます。

  1. アクセスエラー
    サーバーやアプリケーションの不具合により、ユーザーがサービスにログインができない状態を指します。
  2. サービス中断
    サーバーやネットワーク機器の物理的な故障が原因で、サービスが中断されている状態を指します。
  3. 情報セキュリティの脅威認知
    未承認のアクセスやウイルス感染など、システムのセキュリティを脅かす状況もインシデントに含まれます。データ漏洩のリスクやアカウントへの不正アクセスなどがあり、
    「セキュリティインシデント」と呼ばれます。
  4. データ損失
    ユーザーの誤操作が原因で、データやシステムに問題が発生するケース
    あります。例えば、重要なファイルの誤削除やシステムの誤設定などです。

いずれも適切に対応せずに放置してしまうと、さらに重大な事故につながる恐れがあるとともに、システムの信頼性やユーザー満足度に影響を与えるため、迅速かつ適切な対応が求められます。現場や観点により、「インシデント」のとらえ方やニュアンス違いがあることを理解し、障害管理プロセスに組み込みましょう。
また、インシデントの発生を最小限に抑えるために、常に監視を行うことも重要です

適切なインシデント管理について知りたい方はこちらでご確認ください。
▼適切なインシデント管理とは? 問題点や解決策を解説
ITシステム運用について知りたい方はこちら。

▼システム運用とは? 保守との違い、重要視される理由について解説

IT分野における「インシデント」とは、情報セキュリティの脅威やユーザーが正常にサービスを利用できないことを指す。

「ISO/IEC 27001」におけるインシデントの定義

「ISO/IEC 27001」は、ISO(国際標準化機構)と IEC(国際電気標準会議)が策定したISMS(情報セキュリティマネジメントシステムの国際規格で、組織の情報資産保護するための枠組みです。
この規格における「
インシデント」とは、情報セキュリティ上の想定外の出来事であり、事業運営や情報セキュリティの脅威となりうるもの」と情報セキュリティに強くフォーカスし、明確に定義しています。つまり情報セキュリティに関わるイベントのうち、情報の機密性、完全性、可用性に悪影響を及ぼす可能性があるものを指しているのです。
具体的には、不正アクセス、データの漏洩、サイバー攻撃、システムの不正な操作、マルウェア感染、端末の紛失などがあたります

ISO/IEC 27001では、こうしたインシデントを迅速に認識し、適切に対応することを求められます。インシデントが発生すると、組織の業務に重大な支障をきたす可能性があるため、予防策の策定や危機管理計画の実施が重要です。

さらに、インシデントの影響を最小限に抑えるためには、迅速な報告と適切な対応が不可欠です。ISO/IEC 27001の準拠によって、インシデント発生時の対応能力を強化し、情報セキュリティに対する信頼性を高めることができます。
この規格に基づくインシデント管理は、リスク評価や改善プロセスを通じて、継続的なセキュリティ向上を促進し、組織の安全性を高める一助
なります

また、ISO/IEC 27001の関連規格として「ISO/IEC 27002」があります。ISO/IEC 27002は、ISO/IEC 27001を補完する内容で、インシデント管理の詳しい対応例が記載されています。
ISO/IEC 27001
ISO/IEC 27002について、さらに詳しくは一般財団法人日本規格協会の公式サイトをご覧ください。

インシデントと障害の違い

ここまで「インシデント」について解説してきましたが、同じ意味で使われがちな用語として「障害」があります。障害もインシデントもITシステム運用において重要な概念ですが、「インシデント=障害」と誤解していると、固定観念にとらわれてインシデントの原因究明が遅れたり、見落としたりすることがあり、この違いを明確に理解して適切な対応をとらねばなりません。厳密には次のように定義が異なります

  • インシデント:期待される機能をシステムが提供できない状態
  • 障害:システムやサービスの通常の運用を妨げている要因

インシデントは「状態」を示すのに対し、障害はインシデントを引き起こした「原因」を指します
IT
システム運用における障害として、以下の例が挙げられます。

  • サーバーの処理性能を超えてシステムが停止する
  • プログラムのミスによりデッドロックが生じる
  • ハードウェアの故障による機能停止

こうした障害の原因は、リソース不足、人的ミス、自然災害、事故、サイバー攻撃、経年劣化など多岐にわたります。

障害はインシデントの原因のひとつであり、その他物理的な損傷や人的ミスも、インシデントとなる

インシデント管理と障害管理の違い

インシデントと障害の違いを理解することで、組織内での役割分担も明確になります。インシデント管理チームは迅速な復旧を目指し、障害管理チームは根本原因の解決に集中します。
これは、組織全体のIT運用効率を大幅に向上させ、サービスの信頼性を高める鍵となります。インシデントと障害を適切に区別し、それぞれに最適な対応を行うことで、ビジネスの継続性を確保し、顧客満足度を向上させることが可能です。

そして、インシデント管理と障害管理も、ITサービス管理において異なる目的とプロセスを持っており、インシデント管理で解決できなかった問題を障害管理にエスカレーションし、根本原因を究明する流れが一般的です。

ITIL(Information Technology Infrastructure Library)における定義は次の通りです。

  • インシデント管理:運用の安定性を迅速に回復するためのプロセス
  • 障害管理:根本原因を排除し、長期的な改善を目指すプロセス

さらに違いを整理します。

項目

インシデント管理(Incident Management)

障害管理(Problem Management)

タイミング

インシデント発生時

インシデント後、または必要に応じ随時

目的

サービスの迅速な復旧

インシデントの根本原因を特定し、再発防止策を講じる

 対象

サービス中断や品質低下(インシデント)

繰り返し発生する問題や、根本的な原因が明確でないインシデント

ゴール

サービスを正常状態に戻す

根本原因の特定と恒久的な修正の実施

プロセス

  • インシデントの検知・記録
  • 優先順位の設定
  • 一時的な解決策の提供
  • サービスの復旧
  • 解決後のチケットクローズ
  • 問題の記録と優先順位の決定
  • 根本原因分析(RCA:Root Cause Analysis)
  • 修正計画の策定と実行
  • 再発防止策の適用

対象例

  • サーバーのダウン
  • ネットワーク接続の切断
  • アプリケーションの応答停止
  • 繰り返し発生するサーバーダウン
  • 特定の時間帯に頻発するネットワーク遅延
  • ソフトウェアのバグによるインシデント

ポイント

根本原因の追求よりも迅速な復旧が優先される。一時的な回避策を講じて、サービスを利用可能な状態に戻すことに主眼

再発防止と長期的な改善が重視される。サービスの復旧よりも原因究明と恒久的な対応が目的

インシデント管理の対応フロー

インシデントが発生した際に備え、事前に対応フローを決めておくことが大切です。一般的なインシデント管理の対応フローは、次の5つの手順で進めます。

  1. インシデントの把握
  2. インシデントのカテゴリー分け
  3. 一時対応による問題解決
  4. エスカレーションによる高度な解決
  5. インシデントの記録と管理

次項より、それぞれのポイントを説明します。

1.インシデントの把握

インシデント把握は、インシデント管理の第一歩であり、迅速かつ正確に対応するために欠かせません。インシデントの把握は、ユーザーからの報告やシステムの監視ツールを通じて異常を検知することが一般的です。初動対応のスピードがその後のインシデント対応の効果を大きく左右するため、迅速な情報収集と正確な判断が求められます。

  • 基本情報の明確化:「何が」「いつ」「どこで」「どのように」起こったのかを把握する
  • 影響範囲と影響度の評価:システムの停止時間やユーザーへの影響度、データの損失リスクを考慮する
  • 優先対応の判断:ビジネスへの影響を最小限に抑えるための対応の必要性を判断する
  • 関連ログデータの確認:発生時の状況を記録し、根本原因を特定する
  • 予防策の講じるための基礎データ活用:今後のインシデント予防に役立てる

2.インシデントのカテゴリー分け

インシデントのカテゴリー分けの目的は、発生したインシデントの種類や影響範囲を明確にし、優先順位をつけて処理するための基盤を作ることです。
カテゴリー設定には、企業や組織の業務内容やITシステムの特性を考慮します。一般的
なカテゴリーには、システム停止、データ漏洩、ネットワーク障害、セキュリティ侵害などがあり、インシデントの性質に応じてさらに細分化されることもあります。

そして、インシデントの影響度や緊急度に基づいてサブカテゴリーを設定します。影響度は、インシデントがビジネス活動に与える影響の大きさを示し、緊急度は問題解決までに必要な時間やリソースを示します。インシデントの種類、想定の影響範囲、緊急度、対応方法と工数、インシデント担当者といった項目から、対応・処理する優先順位を決定します。これは、リソースを効率的に配分し、最も重要なインシデントを迅速に対応する助けになります。

また、カテゴリー分けは報告や分析の際にも重要です。カテゴリー分けにより、過去のインシデントからの教訓の活用を効率化し、素早く再発防止策を講じられるでしょう。これは、インシデント管理プロセス全体の改善を促進し、組織のセキュリティレベルと安定性を高めます。

3.一時対応による問題解決

インシデントの種別によっては、被害の拡大を防ぐための即時的な措置、一時対応(ファーストヘルプライン)で解決できるケースがあります。例えば、システムの一部を一時的にオフラインにする、ネットワークアクセスを制限する、あるいは影響を受けたサービスを他のリソースに切り替えるなどの一次対応です。これらの一時的な対応は、根本的な問題解決を行うための時間を稼ぐことを目的としています。
該当するケース
は、FAQや過去の対応事例など、すでに対応手順のガイドラインが定められているインシデントです。ガイドラインに従って対応することで、インシデントが発生した直後に迅速かつ効果的に状況を安定化、影響を最小限に抑えられるでしょう。
なお、一時対応で解決する際は、インシデントの報告を受けた担当者がそのまま対処するケースが多いようです。

4.エスカレーションによる高度な問題解決

通常の対応では解決が難しい複雑な問題や、特別な専門知識が必要とされる場合に、迅速に適切なレベルの専門家や管理者に問題を引き継ぐことで、解決のスピードと質を向上させます。エスカレーションのプロセスは、あらかじめ定義された手順に従って行われ、適切なタイミングと方法で実施します。
具体的なエスカレーションには技術的エスカレーションと管理的エスカレーションがあります。技術的エスカレーションでは、専門技術を持つチームに問題が引き継がれ、一方の管理的エスカレーションは、より高いレベルの管理職に問題を引き継ぎ、組織全体で問題解決を図ります。

5.インシデントの記録と管理

インシデント管理において、インシデントの記録と管理は極めて重要なステップです。まず、発生したインシデントを詳細に記録することで、問題の性質や範囲を正確に把握します。このため、迅速かつ適切な対応策を講じるための基盤が形成されます。記録には、発生日時、影響を受けたシステムやサービス、影響の範囲、関与したチームメンバー、対応の経過と結果などの詳細を含めることが不可欠です。

次に、インシデントの記録は、組織全体の透明性を確保し、将来の予防策や改善策を策定するための重要なデータソースとなります。過去のインシデントデータを分析することで、再発防止のための傾向やパターンを特定し、リスク管理体制を構築することができます。これは、コンプライアンスの観点からも不可欠で、規制要件や内部方針に従った適切な文書管理を維持するために役立ちます。

そして記録された情報は、インシデント対応後の振り返りや報告書作成にも利用されます。これにより、チームは対応の効率性や効果性を評価し、今後の改善点を特定することができます。定期的なレビューと分析を通じて、組織のインシデント管理能力を継続的に向上させることが重要です。インシデントの記録と管理は、単なる対応の一環ではなく、組織のリスクマネジメント戦略全体を支える基盤となります。

障害対応やインシデント管理について詳しく解説した記事もご用意しておりますので、こちらもぜひご参考になさってください。
▼障害対応フローはどうすべき? システム障害対処に必要な業務やスキルを解説
▼適切なインシデント管理とは? 問題点や解決策を解説

インシデント管理の課題解決はテクバンへ

頻繁なインシデント対応は、情報システム担当者の大きな負担となることでしょう。ユーザーからの問い合わせ対応に追われ、本来注力すべき業務に着手できず一日が終わってしまうお悩みの方もいるのではないでしょうか。

「インシデント管理の課題を解決したい」「インシデント対応の負担を減らしたい」とお考えの方は、ぜひテクバンの「Techvan Remote Center」をご活用ください。
Techvan Remote Centerとは、お客様のサーバー、及びネットワークを、テクバンのITエンジニアが24時間365日体制で監視・運用するサービスです。
リモートによるシステム監視を実施し、異常があれば専門スタッフが即座に対処いたします。トラブル発生前に対応することで、お客様の業務停滞を未然に防ぐことが可能です。
サーバーやネットワークの監視・運用業務をテクバンが一任するため、情報システム部門の負担が格段に減り、本来の業務に集中していただける環境を実現します。
また、「夜間や休日のみ対応」「ユーザーからの問い合わせ対応のみ代行」など、お客様のニーズに沿った柔軟なプランのご提供も可能です。
テクバンの専門家が提供する包括的なインシデント管理サービスは、企業のセキュリティと信頼性を高め、ビジネスの成長を支える重要な基盤となります。

さらにテクバンでは、オンプレミスやネットワークから、Microsoft Azure、Oracle Cloud、AWS(Amazon Web Services)をはじめ多くのクラウドサービスの導入支援やセキュリティ環境の構築サポート、情報システム部門支援などを行っております。
日々のインシデント対応やITシステム運用にお悩みや課題をお持ちの方は、ぜひテクバンにご相談ください。

インシデントと障害の違いを正しく理解した上で、適切な管理対応を

インシデントと障害の違いを正しく理解し、それぞれに適した管理対応を行うことは、企業の情報セキュリティや運用の安定性を確保する上で重要です。
適切な管理対応を行うためには、まずインシデントの発生を即座に認識し、影響範囲を評価することが重要です。その後、迅速に問題を記録し、関係者への情報共有を行うことで、影響を最小限に抑えることができます。
また、インシデント対応のプロセスを標準化し、関係者全員がその手順を理解していることも不可欠です。これによって、インシデント発生時に慌てることなく、スムーズな対応が可能となります。さらに、潜在的なリスクを早期に発見し、未然に防ぐことができるでしょう。
こうした取り組みが企業の競争力を高め、顧客との信頼関係を強化することにつながるのです。
インシデントと障害の違いを理解し、適切な管理対応を通じて、さらなる事業成長を実現していきましょう。

関連サービス
テクバン情シス支援

インフラ運用保守/監視/障害対応

企業を支えるITインフラの提案・構築から運用まで、まとめて支えるテクバンのサービス

詳しくはこちら

お気軽に
ご相談ください