ITシステムを適切に運用するためには、インシデント管理が重要です。
しかし、インシデントの意味は、現場や観点によって違う使われ方をされているケースが珍しくなく、またインシデントと混同されがちな言葉として「障害」があります。
インシデントと障害の意味を正しく理解することで、トラブル発生時の対応もスムーズになるでしょう。
本記事では、ITシステム運用におけるインシデントの定義を解説します。障害との違いやインシデント管理の対応フローも紹介しますので、ぜひご覧ください。
「インシデント」とは?
「インシデント(Incident)」とは、本来は「出来事」「事件」を意味する英単語です。一般的には「重大な事故が発生しかねない一歩手前の状況」といった意味合いで使われています。IT分野でもほとんど同じ使われ方をしていますが、現場や観点によって、以下のように細かなニュアンスが異なります。
- 情報セキュリティ上のインシデント:情報セキュリティの脅威になりかねない事象。「セキュリティインシデント」ともいう
- ITシステム運用/ITサービスマネジメント上のインシデント:ユーザーがサービスを正常に利用できない状態
どちらも対応せずに放置してしまうと、重大な事故につながる恐れがあります。インシデント管理を行う際は、現場や観点により、ニュアンスの違いがあることを理解しましょう。
システム運用の関連記事をご用意しております。ぜひ、ご参考ください。
▼システム運用とは? 保守との違い、重要視される理由について解説
ITシステム運用分野におけるインシデントの例
ITシステム運用分野のインシデントである「ユーザーがサービスを正常に利用できない状態」とは、具体的には以下のような状態を指します。
- PCやアプリケーションを起動できない
- ITシステムにログインできない
- メールの送受信ができない
- 画面がフリーズしたまま復帰しない
- PCがプリンターを認識せず印刷できない
- ITシステムの「ライセンス切れ」のエラーが出る
こうした状況は、ユーザーの業務を阻害し、組織の生産性低下にもつながりかねません。ITシステムを運用する際は、インシデントを素早く把握し解決することが重要です。
「ISO/IEC 27001」におけるインシデントの定義
ISO(国際標準化機構)と IEC(国際電気標準会議)は、組織向けの情報セキュリティマネジメントシステムの国際規格として「ISO/IEC 27001」を策定しています。
ISO/IEC 27001では、インシデントの意味を「情報セキュリティ上の想定外の出来事であり、事業運営や情報セキュリティの脅威となりうるもの」と明確に定義しています。
ISO/IEC 27001におけるインシデントは、情報セキュリティに強くフォーカスしているといえるでしょう。なお、セキュリティインシデントの具体例としては「マルウェア感染」「端末の紛失」といった状況が該当します。
また、ISO/IEC 27001の関連規格として「ISO/IEC 27002」があります。
ISO/IEC 27002は、ISO/IEC 27001を補完する内容で、セキュリティインシデントの詳しい対応例が記載されています。ISO/IEC 27001やISO/IEC 27002を実際に閲覧したい方は、一般財団法人日本規格協会の公式サイトから最新改訂版を購入してみてはいかがでしょうか。
一般財団法人日本規格協会「ISO/IEC 27001:2022」販売ページ
一般財団法人日本規格協会「ISO/IEC 27002:2022」販売ページ
インシデントと障害の違い
インシデントは「障害」と同じ意味で使われがちですが、厳密には異なります。
インシデントは「状態」を表すのに対し、障害はインシデントを引き起こした「原因のひとつ」に過ぎません。つまり、障害の他、機器の物理的な損傷や人的ミスがインシデントの原因になるケースもあるわけです。
「インシデント=障害」と誤解していると、固定観念にとらわれてインシデントの原因究明が遅れたり、見落としてしまったりするかもしれません。
また、インシデント対応とは、ユーザーがサービスを正常に使える状態に戻すまでの一連の作業を指します。インシデントの原因に障害が含まれている場合は、復旧作業だけでなく、障害の原因を追究する必要があります。
ITシステム運用分野における障害の例
そもそも障害とは、機器やソフトウェア、ネットワークなどに不具合が生じ、本来の動作をしなくなった状態のことをいい、原因である不具合そのものを意味する場合もあります。
ITシステム運用における障害として、以下の例が挙げられます。
- サーバーの処理性能を超えてシステムが停止する
- プログラムのミスによりデッドロックが生じる
- ハードウェアの故障による機能停止
こうした障害の原因は、リソース不足、人的ミス、自然災害、事故、サイバー攻撃、経年劣化など多岐にわたります。
インシデント管理の対応フロー
インシデントが発生した際に備え、事前に対応フローを決めておくことが大切です。一般的なインシデント管理の対応フローは、次の5つの手順で進めます。
- インシデントの把握
- インシデントのカテゴリー分け
- 一時対応による解決
- エスカレーションによる高度な解決
- インシデントの記録と管理
次項より、それぞれのポイントを説明します。
1.インシデントの把握
基本的に、ユーザーからの問い合わせやシステムのアラートによる検出によって、インシデントが発覚します。把握したインシデントの内容は記録し、ユーザーからの詳しい状況説明も記載しましょう。
2.インシデントのカテゴリー分け
インシデントの内容に沿って、インシデントを適切なカテゴリーに分類します。
過去のインシデント事例を参照し、類似するカテゴリーに分けましょう。その後、インシデント対応の優先度も決めます。インシデントの種類、想定の影響範囲、緊急度、対応方法と工数、インシデント担当者といった項目から、対応・処理する優先順位を決定します。
3.一時対応による解決
インシデントの種別によっては、一時対応(ファーストヘルプライン)で解決できるケースがあります。そのケースが該当するのは、FAQや過去の対応事例など、すでに対応手順のガイドラインが定められているインシデントです。ガイドラインに従って対応することで、迅速でスムーズな解決が可能となるでしょう。
なお、一時対応で解決する際は、インシデントの報告を受けた担当者がそのまま対処するケースが多いようです。
4.エスカレーションによる高度な解決
一時対応で解決できない事案であれば、エスカレーションによる高度な解決が必要です。
エスカレーションとは、上位の担当者や責任者に対応を依頼したり、指示を仰いだりする対応を意味します。ITシステムの専門知識を持つ担当者につなぎ、より詳細な調査・対応を任せます。
5.インシデントの記録と管理
インシデント解決後は、顧客や関係者に報告します。また、発生したインシデントの事例を詳しく記録しましょう。
インシデント発生から解決までの期間や工数、インシデントの原因と解決方法、対応者、実際の影響範囲など、できる限り詳細な情報を記載します。今後のインシデント対応に活用するためにも、インシデントの記録はいつでも検索・参照できるように管理することをおすすめします。
関連記事をご用意しておりますので、こちらも併せてご参考ください。
▼障害対応フローはどうすべき? システム障害対処に必要な業務やスキルを解説
▼適切なインシデント管理とは? 問題点や解決策を解説
インシデント管理の課題解決にテクバンのソリューションを活用ください
頻繁なインシデント対応は、情報システム担当者の大きな負担となることでしょう。ユーザーからの問い合わせ対応に追われ、本来注力すべき業務に着手できず一日が終わってしまう・・・という方もいるのではないでしょうか。
「インシデント管理の課題を解決したい」「インシデント対応の負担を減らしたい」とお考えの方は、ぜひテクバンの「Techvan Remote Center」をご活用ください。
Techvan Remote Centerとは、お客様のサーバー、及びネットワークを、テクバンのITエンジニアが24時間365日体制で監視・運用するサービスです。リモートによるシステム監視を実施し、異常があれば専門スタッフが即座に対処いたします。トラブル発生前に対応することで、お客様の業務停滞を未然に防ぐことが可能です。
サーバーやネットワークの監視・運用業務をテクバンが一任するため、情報システム部門の負担が格段に減り、本来の業務に集中していただける環境を実現します。
また、「夜間や休日のみ対応」「ユーザーからの問い合わせ対応のみ代行」など、お客様のニーズに沿った柔軟なプランのご提供も可能です。さらに、オンプレミスやネットワークから、AWSなど20社以上のクラウドサービスまで様々な環境に対応しております。
日々のインシデント対応やITシステム運用にお悩みのお客様は、ぜひお気軽にテクバンへご相談ください。
インシデントと障害の違いを正しく理解した上で、適切な管理対応を
ITシステム運用分野におけるインシデントと障害の違い、対応フローなどをご説明しました。
インシデントを起こす原因には、障害だけでなく人的ミスや機器の物理的な損傷も含まれ、100%インシデントを防ぐことはとても困難なことです。そのためにも、インシデントと障害の双方を正しい意味でしっかりと理解した上で対応フローを定めることが、適切なインシデント管理を実現させます。
お客様のインシデント管理に本記事がお役に立てれば、幸いです。