情シスが作るべきサービス継続計画(BCP)の現場チェックリスト

ワンポイント画像

導入:クラウドやバックアップが整っていても、現場手順と証跡がなければBCPは動かない

正午、販売サイトが落ちた。クラウドは冗長化、バックアップもある──だが「誰がコンソールを開いて何を確認し、どのように証跡を残すか」が決まっておらず、問い合わせとエスカレーションが遅れ、請求処理が翌日まで止まった。これはよくある現場の失敗パターンであり、本稿はその「初動の迷走」を防ぐための実務テンプレを狙う。

結論を先に示す。本記事で得られるものは次の3点だ:1) 2時間で作れる暫定サービスカタログ(会議で即承認できる記入例)、2) 障害受信テンプレと画面確認の最短順(チケットに貼れる記入例付き)、3) 帳票チェック/バックアップ復旧/ベンダー障害の現場オペレーションと証跡フォーマット。目的は「通すための作業」ではなく、現場で即使えて記憶に残る運用ルールを作ることだ。

誤解を壊す:クラウドとバックアップがあればBCPは完了か?

要点:いいえ。クラウドやバックアップは前提でしかない。実際に可用性を左右するのは「現場が短時間で復旧判断を下せるか」と「その判断を裏付ける証跡があるか」である。

具体的失敗例(短いタイムライン):

  • 12:00 サポートに障害報告。
  • 12:05 運用:「クラウドは冗長化済み」と口頭確認→誰が何を確認するか未定。
  • 12:30 権限者が不在、問い合わせテンプレがなく承認保留。作業が翌日まで先延ばし。

実務で持ち帰るべき初手(優先度順):

  • SLA確認観点リスト(保証範囲/地域障害の扱い/人的ミスの除外有無/エスカレーション窓口)。
  • バックアップ確認観点(保存場所・世代ID・最終検証日・リストア手順の責任者)。
  • 証跡ルール(スクショ命名規則・保存先・チケット紐付け・最初に保存するログ種類)。

判断軸(ここで明確にする):

  • 業務インパクト:1時間あたりの売上損失、法務上の停止リスク、顧客への即時影響。
  • 復旧作業量:必要な担当人数×時間(例:1人×30分=30人時)。
  • 実行可能性:現場に必要権限があるか、外部ベンダー依存度はどの程度か。

だから現場ではどう線を引くか:SLAやバックアップの有無は確認観点リストで精査し、「誰が何をどのログまで保存するか」を先に決めておけ。これがなければバックアップもSLAも初動で役に立たない。

優先度決定の実務:2時間で作る暫定サービスカタログと優先順位付け

要点:完璧を目指さず、主要サービス上位3件について暫定RTO/RPOと最小復旧作業を2時間で決める。これだけで初動のブレを大幅に減らせる。

30〜60分の会議テンプレ(実行フロー):

  • 参加者:業務担当(売上/顧客窓口)1名、運用リーダー1名、契約SPOC(法務/調達)1名。議事録係を決める。
  • 判断順:1) 業務インパクト(売上・法務・顧客影響)→2) 現場想定の復旧工数(人×時間)→3) 実行可能性(権限・外部依存)。
  • 出力:暫定サービスカタログ(1ページ/サービス)を作成してチャットで承認を回す。

暫定RTOの目安(会議で使える分類例):

  • 即時(RTO ≤ 1時間):注文受付や決済など売上直結。対応はワークアラウンド即起動。
  • 高(1〜4時間):顧客対応業務や法務対応に影響する系。
  • 中(4〜24時間):業務は止まるが翌営業日対応で致命的ではない系。

会議で回す記入例(そのまま使える):

サービス名:販売サイト
依存:顧客DB(RDS)、決済プロバイダX、CDN
暫定RTO/RPO:RTO=1時間、RPO=15分
優先度理由:注文受付停止は即時売上損失(業務担当同意)
最小復旧作業:運用A(コンソール確認10分)→DBロールバック30分(DB担当)→ベンダーエスカレーション20分
承認:CFO(チャット承認 2026-03-24T10:12)

判断軸(数値例を会議で決めること):

  • 業務影響閾値:例)1時間あたり売上損失 ≥ 10万円なら即時対応(即時RTO)。
  • 復旧工数の上限:例)人時が合計で8人時以下で復旧可能ならオンコールで実行。
  • 外部依存の許容度:ベンダー対応が不可欠で、SLA応答が24時間超える見込みなら代替運用を検討。

だから現場ではどう線を引くか:会議で決めた暫定RTO/RPOを「承認済みの判断基準」として固定し、現場はその時間を基準にエスカレーションを開始する。差し戻しは議事録で理由を明記すること。

障害発生直後の現場ランブック:問い合わせ対応・画面確認・証跡ルール

要点:初動はテンプレ化された「受電→一次切り分け→証跡取得→共有→エスカレーション」の手順を守れば、判断遅延と証跡の散逸を防げる。

受信テンプレ(そのままチケット化して使える記入例):

受信者:鈴木
受信時刻:2026-03-24T12:03
サービス:販売サイト
現象:トップページ 502エラー(全ユーザ)
影響範囲:注文処理中断
初期対応:運用Aがコンソール確認中(次報12:20予定)
添付:トップ画面スクショ(20260324_1203_販売サイト_トップ_Suzuki.png)

画面確認の最短順(最短で状況把握→証跡確保):

  1. エンドユーザ側現象:トップ画面のスクショ(全端末/ブラウザの例)。
  2. 運用コンソールのステータス/アラート:スクショ+状況CSV出力。
  3. アプリ/DBのエラーログ:該当時間帯をテキスト出力(ログ切り出し)。
  4. 直近トランザクション抜粋:CSVダウンロード(影響範囲確認用)。
  5. 依存サービスのステータスページ:スクショ+公式障害情報へのリンク保存。

証跡ルール(必須で短く):

  • 命名規則:YYYYMMDD_HHMM_サービス_画面_担当(例:20260324_1203_販売サイト_トップ_Suzuki.png)。
  • 保存先:/BCP/Incidents/YYYYMMDD/ チケット番号を必ず紐付ける。
  • 共有:専用チャンネル(例:#incident-YYYYMMDD-販売サイト)に最初の時刻でログを貼る。

判断軸(現場で使える具体基準):

  • 証跡優先度:まずスクショ→次に操作ログ→最後に詳細解析ログ(解析は別タスク)。
  • 保全時間:最初の10分で証跡を確保し、30分以内に一次切り分けを完了する目標。
  • エスカレーション条件:暫定RTOの50%経過で自動的に次段階の承認を要求。

短い運用ルール:だから現場ではどう線を引くか:詳細解析を始めるより先に「必ず証跡を保存する」ことを最優先にし、解析は証跡保存後に行え。

帳票(PDF)とバックアップ復旧、ベンダー障害の現場オペレーション

要点:帳票は目視チェック+サンプル照合、バックアップ復旧は段階的な検証と証跡保存、ベンダー障害は契約要点と代替運用の即時確認をルール化する。

帳票(PDF)チェックの具体手順(短いチェックリスト):

  • 目視必須項目:ヘッダ(会社名・請求先)、合計金額、顧客ID、日付、ページ数を確認。
  • サンプル照合:直近正常出力3件と障害出力3件を比較し差分をチケット化。
  • 改ざん指標の確認:出力日時・タイムスタンプ・電子署名の有無を記録。

バックアップ復旧の段階(証跡を残すポイント明示):

  1. 試験環境でのリストアと整合性チェック(検証ログを保存)。
  2. ステージングで業務側によるサンプル照合→承認記録を保存。
  3. 本番リストア時は復旧ログ(時刻・対象世代ID・実施者)と整合性チェック結果を添付して完了させる。

ベンダー障害の短い実例(現場感を出す):

  • 事例A(支払ゲートウェイ障害) 13:10 受信→13:15 受信テンプレ通りスクショ保存→13:25 決済ベンダーへ呼出(テンプレ送付)→13:40 一時的に銀行振込案内で受注継続。結果:売上の機会損失を最小化。
  • 事例B(クラウドリージョン障害) 02:05 自動アラート→02:10 運用が暫定RTOに基づき別地域へのフェイルオーバー手順を起動(事前承認済み)。結果:ダウンタイム短縮。

ベンダー確認と代替運用のチェックリスト:

  • 契約チェック:SLA対象範囲、エスカレーション窓口、復旧保証の前提条件。
  • 呼出テンプレ(送る内容):サービス名・障害発生日・影響範囲・添付ログリンク。
  • 代替運用:紙運用・CSVエクスポートの即時起動手順と顧客向け暫定文案を準備。

判断軸(何をもってリストアに進むか):

  • 業務影響閾値:例)請求処理で法令期限を超える恐れがある場合は最優先で復旧。
  • 整合性しきい値:サンプル照合で許容差が0件なら本番リストアOK、差分がある場合はステージングで再検証。
  • 代替運用起動条件:ベンダー応答遅延が暫定RTOの50%を超えたら代替運用を起動。

だから現場ではどう線を引くか:帳票は見た目正常だけで判断せず、業務影響が大きければ必ずサンプル照合→記録→承認を経てから復旧に進め。

小さく試す/運用化:ドライラン、承認、改善サイクルと見送る条件

要点:最初は主要3サービスで暫定計画を作り、テーブルトップ→小規模ドライラン→改善サイクルを回す。見送る条件は数値で明確にして承認を得よ。

実務ステップ(短期で回せるスプリント):

  • Step1(2時間):主要サービス3つを選定、暫定RTO/RPOと最小復旧作業を文書化。
  • Step2(1ヶ月以内):テーブルトップ→1〜2名で60〜120分の小規模ドライランを実施(ランブック検証)。
  • Step3:ドライランの問題をチケット化し、改善を反映→再承認で運用開始。

見送る条件の具体例(会議で決める値の候補):

  • 業務影響閾値:例)想定損失が1日あたり50万円未満かつ復旧コストが見合わない場合は見送る。ただし見送る旨と再検討頻度(例:半年毎)を明記する。
  • 人的コスト:必要な常駐リソースが過大で代替手段が妥当な場合は暫定運用(CSVエクスポート等)を承認して見送る。
  • 外部依存度:外部で代替手段が現実的でないなら、契約改善計画をセットにして見送る。

判断軸(運用化の合否を決める):

  • 実行可能性:現場の平均オペレーターが60〜90分で遂行可能か。
  • 費用対効果:想定損失÷復旧コストの割合が合理的か。
  • 再検討頻度:見送った項目は最低半年ごとに再評価する。

だから現場ではどう線を引くか:まず小さく始めて証跡を蓄積し、数値(損失額・必要人時)で見送る/継続を決めよ。感覚で判断せず、会議で決めた閾値を参照すること。

よくある質問(FAQ)

Q1:障害発生時、最初にどの画面を確認すればいいですか?(具体順序)

A:最短で状況把握→証跡確保の順で。順序は以下を厳守する:

  1. エンドユーザ側の現象(トップ画面スクショ)
  2. 運用コンソールのステータス/アラート(スクショ+CSV出力)
  3. アプリ/DBのエラーログ(該当時間帯のテキスト抽出)
  4. トランザクション抜粋(CSV)
  5. 依存サービスのステータスページ(スクショ+リンク)

各ファイルは命名規則に従って保存し、チケットに紐付けること。これだけで初動10分で一次判断が可能になるはずだ。

Q2:PDFや請求書の整合性チェックは自動化と目視、どちらを優先すべきですか?

A:短期は「目視+サンプル自動照合」を優先する。まずランブックで目視チェック項目(必須欄)を明記し、その直後に自動照合スクリプトでサンプルを走らせる。自動化は並行投資だが、初期は目視で合否基準を明文化しておくこと。

Q3:クラウドプロバイダの障害で自社でできる最低限の切替手順(フェイルオーバー前の確認項目)は何ですか?

A:最低確認項目をテンプレ化しておく:1) 契約書上のSLAとエスカレーション窓口を確認、2) 障害範囲をスクショ/ログで保存、3) フェイルオーバー前に関係部署の短時間承認を取得、4) 代替処理(紙運用/CSV出力)を即時起動できる体制を確認する。フェイルオーバーは事前に定めた閾値(例:RTOの50%経過で自動承認)を参照して実行する運用にしよう。

まとめ

導入判断(短い答え):

  • クラウドやバックアップがあるだけでは不十分。BCPの鍵は「現場で即使える手順と証跡ルール」。まずSLAとバックアップの確認観点リストを作り、同時にランブックの初動手順を暫定化して承認を回収せよ。

小さく始める順番(実行ステップ):

  • ステップ1(2時間で完了):主要サービス3つを選定し、暫定RTO/RPOと最小復旧作業を文書化する(暫定サービスカタログ)。
  • ステップ2(1週間以内):ランブック1件(受信テンプレ、画面確認順、スクショ命名規則、保存先)を作り承認を得る。
  • ステップ3(1ヶ月以内):テーブルトップ→小規模ドライランを実施し、結果をチケット化して改善を反映する。

見送る条件(事前定義の例):

  • 業務影響が微小で復旧コストが効果を上回る場合は見送る(見送る旨と再検討頻度を明記)。
  • 外部依存が大きく代替手段が現実的でない場合は代替運用と契約改善計画をセットにして見送る。
  • 見送る判断は「業務インパクト(金額・法務リスク)」と「実行可能性(人時・権限)」で評価し、関係部署の承認を得る(議事録必須)。

最後に一言:少なくとも現場では「誰が何をいつ記録するか」を先に決めるだけで、SLAやバックアップの価値は初動で活きる。まず主要サービス3つを選び、受信テンプレと画面確認順を1件作って会議で承認を取ることを強く推奨する。

コメント

タイトルとURLをコピーしました