インシデントとは? ITシステム運用におけるインシデント管理のポイント

インシデント(incident)という言葉はさまざまな業界で使われますが、IT分野においては利用者がITシステムを正常に利用できない状態を指します。インシデントが発生すると業務の中断や生産性の低下につながる恐れがあるため、ビジネスに悪影響を及ぼしかねません。管理者はインシデントについて正しく理解し、適切に対応する必要があります。本記事ではインシデントの意味や事例、インシデント管理と問題管理について解説します。

ITにおけるインシデントとは

インシデントとは、「出来事」や「事件」といった意味を持つ英単語で、もう一歩で重大な事故や事件につながりかねない状況や異変などを指します。より重大な事態を引き起こす可能性があるために、迅速な対処や、調査して根本的な解決をする必要がある事象ともいえます。また、事故のうち被害や損失が軽微なものもインシデントと分類することもあります。

ITの分野においてはさらに、情報セキュリティ上のインシデントと、ITサービスマネジメントにおけるインシデントに分けられます。

情報セキュリティのインシデント

情報セキュリティの分野では、情報システムの運用においてセキュリティ上の脅威となりうる事象をセキュリティインシデントといいます。もしくは略して単にインシデントということもあります。

組織の利用するシステムや保有する情報の機密性・完全性・可用性を損なう恐れのある事象であれば、発生要因が偶発的であったか、仕組まれた意図的なものであったかは問いません。具体的には以下のような事例が挙げられます。

  • 社用PCの入った鞄を外出先に置き忘れて紛失する
  • 重要データを添付したメールを誤った宛先に送信する
  • 送信元を偽ったなりすましメールに記載してあるURLをクリックする
  • DoS/DDoS攻撃を受けてWebサイトにアクセスできなくなる
  • ブルートフォース攻撃や辞書攻撃でパスワードを破られてアカウントを乗っ取られる

ITサービスマネジメントのインシデント

ITサービスマネジメント/システム運用におけるインシデントは、利用者がITシステムを利用する上で本来できるはずの業務や行為ができない状態や事象のことを指します。

システムの不具合・障害やハードウェアの故障、人為的なミスなど、要因は問わずITサービスの利用ができなくなっている状態です。具体的には以下のような事例が挙げられます。

  • 業務システムがフリーズして操作ができない
  • PCの電源を入れてもディスプレイが表示されない
  • VPNがつながらず、社外から社内ネットワークにアクセスできない
  • 誤って重要なデータを削除してしまった
  • Webサイトにアクセスが集中し、応答が遅くつながらない
  • メールサーバーに障害が発生し、メールの送受信ができない

インシデントと障害との違い

インシデントは障害と混同されることも多いですが、インシデント=障害ではありません。インシデントはあくまで「ITサービスを利用できない状態」を指し、障害はそのインシデントを引き起こす要因の一つであると言えます。

つまりシステムの障害によってインシデントが発生した場合、システムを復旧させるだけではインシデントに対応したとは言えず、利用者が業務を再開できる状態まで環境を整えることが利用者の望むインシデント対応です。

インシデント管理とは

インシデント管理とは、発生したインシデントを速やかに解消して正常に利用できるようにするためのサポート体制のことです。事故やトラブルによって中断されたサービスを速やかに復旧し、サービスの品質を維持することが目的とされます。

機器・システムの障害からの復旧はもちろん、Webサービスのレスポンスが遅い、パスワードを忘れてしまった、などのケースを解決することもインシデント管理に含まれます。利用者の立場に立ったインシデント管理を心がけることで、利用者のフラストレーションを解消し、より良いITサービスの提供とスムーズな業務遂行に役立ちます。

インシデント管理の手順

  1. インシデントの検出
    ユーザからの問い合わせやシステムのアラートからインシデントの発生を検出し、確認します。
  1. インシデントの受付と記録
    発生したインシデントやユーザからの問い合わせを記録します。

  2. インシデントの分類
    影響範囲や緊急度に応じてインシデントを分類し、対応の優先順位を検討します。ナレッジベースで過去の対応履歴なども参照し、インシデントの種類、想定される影響範囲、対応方法や難易度、解決までの見込み時間、担当者などを決定します。この時点で担当者では対応が難しいと判断した場合、エスカレーションを行います。
  1. 一次対応による解決
    過去に対応事例のある既知のインシデントや、手順が決まっており対応が容易なインシデントは受け付けた担当者が問題を解決します。
  1. エスカレーションによる解決
    一次対応では解決できない内容の場合、より専門性を持つ担当者や管理者へエスカレーションし、協力を仰いで対応します。
  1. インシデントの記録
    対応が完了し問題が解決したら、内容を記録します。インシデントの原因と影響、講じた対応の手順、要した時間とリソースなどをナレッジベースに蓄積します。
  1. インシデントの報告と終了
    経過観察や利用者のフォローなども完了し、業務が再開されたら対応を終了します。必要があれば関係者への報告も行います。

インシデント管理と問題管理

インシデントを解消してもその根本的な原因が解決していなければ、同じインシデントが繰り返し発生してしまう可能性が高いでしょう。インシデントの再発を防ぐために、問題を突き止めて解決に取り組むことが「問題管理」です。

具体的な例

インシデント:業務システムがフリーズして操作できなくなってしまった
インシデントの解消:一度ログアウトしてからやり直すことで解消
問題の発見:調査の結果、業務のピーク時にシステムが高負荷になっていることが判明
問題の解決:システムが稼働しているサーバーにメモリを追加し、スペックを増強
問題の予防:サーバーリソースの逼迫に気がつけるよう監視とアラートの仕組みを導入

このように、インシデントへの対応は、業務への悪影響を抑えるためにまずは迅速な復旧が優先されますが、それだけでは根本的な問題解決とならない場合も多いです。インシデント管理を行い、インシデントの対応履歴を蓄積していくことで対応の迅速化と問題の発見につなげられます。発見した問題を解決し、予防策を講じることで、システムの品質を向上させ安定したシステム運用を実現できるでしょう。

まとめ

IT分野におけるインシデントは、情報セキュリティのインシデントと、ITサービスマネジメント/システム運用のインシデントに分類できます。システム運用におけるインシデントとは、利用者がITシステムを利用する上で本来できるはずの業務が遂行できない状態を指します。インシデントは利用者の生産性を下げるだけでなく、より重大な事態を引き起こす可能性もあります。迅速な対処ができるようインシデント管理の体制を整えるだけでなく、調査して根本的な解決に取り組むことも重要です。