災害復旧戦略スコアカード：複数の資産に対するKPIの計算 - BSC Designer

災害復旧戦略は、障害発生後に重要なシステムとインフラを復旧することに焦点を当てています。本記事では、特定のシステムや資産が災害復旧にどれだけ準備ができているかを測定し、個々の資産からのデータを集約することで全体的な災害復旧準備状況を計算する方法を探ります。

BSC Designerによる災害復旧戦略の実施のための3ステップ

ITのための災害復旧を超えて

年間平均4.2回のデータ関連の中断¹が発生しており、IT災害復旧を拡大し、全体的なGRC機能と整合させるという増加傾向が見られます。

同時に、特に極端な天候条件などの破壊的なイベントの増加により、組織は基本的なビジネス継続性を超えて、インフラ復旧、施設復旧、業務復旧などのより広い範囲²を考慮するように駆り立てられます。

戦略と機能的スコアカードが整合した戦略実施アプローチに基づき、このより広い範囲にIT災害復旧スコアカードの原則を適応し、会社全体の戦略に統合することを可能にします。

ステップ 1. ビジネス影響とリスク分析

災害復旧スコアカードの設計を、特定の分析と計画ステップで開始します³：

ビジネス影響分析で重要な資産を特定する
リスク分析で不確実性がビジネスに与える潜在的な影響を特定する
シナリオプランニングで特定されたリスクが重要な資産にどのように影響するかを探る

関与するシステムと利害関係者の複雑さに応じて、分析プロセスを機能的スコアカードを使用して形式化することができます。例えば：

ビジネス継続性スコアカードで資産マッピングとインシデント追跡を行う。
中央リスク登録でリスクの特定と分析を行う。
シナリオスコアカードで早期警告指標を分析し、対応戦略を計画する。

ステップ2. 復旧ポイントと復旧時間目標を設定する

このステップでは、次のことを設定します：

復旧ポイント目標（許容できる損失、例えば許容できるデータ損失）、および
復旧時間目標（許容できる運用停止時間）。

スコアカードの計算のために、特定のシステムまたは資産の指標をまず定義し、それらを全体的なコンプライアンススコアに結合します。

特定のシステムにおけるディザスタリカバリーのKPI

ITにおけるディザスタリカバリーに焦点を当てる際、組織は信頼性、復旧時間、復旧ポイントなどの指標を追跡して、戦略を評価し強化することがあります。

信頼性指標

平均故障間隔 (MTBF): 修理可能なシステムの故障間の時間。
平均故障時間 (MTTF): 修理不可能なシステムの故障間の時間、例えばシステムの総寿命。

復旧時間の指標

平均復旧時間 (MTTR)
復旧時間目標 (RTO): 中断後に許容される最大のダウンタイムまたは目標とするMTTR。

平均復旧時間 (MTTR) の指標の例で、復旧時間目標 (RTO) がその目標です。

平均復旧時間 (MTTR) の指標の例で、復旧時間目標 (RTO) がその目標です。出典: 災害復旧スコアカードテンプレート.

リカバリーポイントメトリクス

実際のバックアップ頻度
リカバリーポイント目標 (RPO): 許容可能な最大データ損失時間またはバックアップ頻度の目標。

パフォーマンスの計算: 線形対二進法

災害復旧指標のパフォーマンスを計算するための2つの一般的なアプローチがあります:

線形最適化関数
二進最適化関数

例えば、我々のテンプレートにおける信頼性指標は線形最適化関数として設定されています。これは、指標の値がベースラインから目標に向かって増加するにつれて、パフォーマンスが徐々に向上することを意味します。

例

顧客関係管理（CRM）システムのMTBFは10,000時間を目標としており、実際の値は8,000時間です。

平均故障間隔（MTBF）は線形パフォーマンス関数を使用して計算されます。

平均故障間隔（MTBF）は線形パフォーマンス関数を使用して計算されます。出典: Disaster Recovery Scorecard Template.

線形関数を使用すると、パフォーマンスは80%（= 8,000 / 10,000）として計算されます。
バイナリ関数を使用すると、目標の10,000時間に達していないため、パフォーマンスは0%です。

バイナリパフォーマンス関数は平均復旧時間（MTTR）メトリックに使用されます。

バイナリパフォーマンス関数は平均復旧時間（MTTR）メトリックに使用されます。出典: Disaster Recovery Scorecard Template.

バイナリパフォーマンス関数はMTTRによく使用されます：

MTTRがRTO以下であれば、パフォーマンスは100%です。
MTTRがRTOを超えると、パフォーマンスは0%です。

個別の指標としての復旧時間目標

MTTRには現在の値と目標値があります。目標値は現在の「復旧時間目標 (RTO)」指標に対応しています。

RTO指標を削除してMTTRに直接目標を設定することも可能ですが、コンプライアンスや報告の要件により、それらを別々に追跡することが求められることがよくあります。したがって、RTOは個別の指標として維持されています。

リスクの定義

災害復旧戦略の策定は、ビジネス影響とリスク分析から始まります。いくつかのリスクは中央のリスク登録簿に記録され、より具体的なリスクは個別の資産に対する災害復旧スコアカードにリンクすることができます。

資産のリスク定義の例。

資産のリスク定義の例。出典: 災害復旧スコアカードテンプレート.

重要なのは、影響またはリスク分析の結果と特定のビジネスシステムの復旧指標との明確な接続を確保することです。例えば、ウェブサーバーの資産については、「脆弱性の悪用」や「DDoS攻撃」のリスクがローカルに定義されました。

災害復旧戦略の継続的な監視

災害復旧の指標は時間とともに進化します：

リスクモデルの更新に基づいて目標が調整される場合があります。
実績は過去のパフォーマンスデータで更新されます。

重要な考慮事項には以下が含まれます：

指標の更新や修正の頻度。
データがない期間の処理、例としてデータを継承するか明示的に入力されたデータのみを表示するか。

テンプレートからの同期による実装

災害復旧の指標と管理の実装を容易にするために、テンプレートからの同期機能を使用することを考慮してください：

資産を評価するための指標のテンプレートセットを作成します。
テンプレートから同期されるレプリカを作成します。

同期機能についてさらに学びましょう。

全体的なコンプライアンス計算

全体的な準備状態を評価するために、個々の資産のパフォーマンスを組み合わせます。必要に応じて、各資産の相対的な重要性を反映するために重みを適用することができます。

あるいは、クリティカルパスアプローチを使用して全体的なコンプライアンスを計算し、重要なシステムのパフォーマンスに焦点を当てることもできます。

例えば、私たちのテンプレートでは:

RPOコンプライアンス（クリティカルパス）には、24時間と12時間のリカバリーポイント目標（RPO）を持つ資産が含まれます。全体的なRPOはこれらの値の最小値、すなわち12時間です。
たとえば、「在庫管理のRPO」など、1つの資産でもRPOを満たさない場合、全体のRPOは達成されません。

リカバリー時間およびリカバリーポイントのメトリクス用の総スコアカードは、コンプライアンススコアカードおよび他のGRC関連の機能的スコアカードのデータソースとして使用できます。

災害復旧準備ダッシュボード

災害復旧スコアカードの主要な指標は、リスク図と改善施策とともにダッシュボードで視覚化できます。

An example of a disaster recovery dashboard.

An example of a disaster recovery dashboard. 出典: Disaster Recovery Scorecard Template.

戦略マップは特定のシステムとその集約されたパフォーマンスを明確に示し、包括的な概要を提供します。

An example of a disaster recovery map.

An example of a disaster recovery map. 出典: Disaster Recovery Scorecard Template.

ステップ3. 災害復旧のための内部統制の確立

災害復旧メトリクスの定義（ステップ2）により、組織は許容できる損失と復旧レベルを確立し、混乱イベントに対する準備状態を定量化できます。しかし、これらのメトリクスには、具体的な緊急計画、責任の割り当て⁴、または検証とテスト手順は含まれていません。これに対処するために、適切な内部統制を設計する必要があります。

以前の記事では、内部統制の設定に関する一般的なアプローチと、ビジネス継続性の領域での実際の適用について説明しました。

災害復旧の文脈では、ほとんどの

ステークホルダーと担当者

主要なステークホルダーを巻き込むことは、災害復旧戦略の成功にとって重要です ⁵。実践的なレベルでは、災害復旧の指標と施策に担当者を割り当てることで説明責任を強化できます。

セッション: 'BSC Designer for Disaster Recovery Scorecard' はBSC Designerの継続的な学習プログラムの一部として提供されており、オンラインおよび現地でのワークショップとして利用可能です。詳細はこちら....

結論

IT災害復旧スコアカードは、パフォーマンス測定のさまざまなアプローチを組み合わせています。

特定の資産やシステムを定量化する際には、以下に依存します。

平均故障間隔 (MTBF) と 平均故障時間 (MTTF) を使用して信頼性を推定します。
復旧時間目標 (RTO) は、平均復旧時間 (MTTR) の目標を設定します。
復旧ポイント目標 (RPO) は、バックアップ頻度 の目標を設定します。

これらの指標のパフォーマンスは通常、バイナリ関数として計算され、実際の値が復旧目標に達するまではパフォーマンスは0％です。

個々の資産やシステムの復旧指標は（たとえば、クリティカルパスアプローチを使用して）結合し、全体的な準備またはコンプライアンススコアを計算することができます。

Disaster Recoveryテンプレートを使用してください

BSC Designerは、組織が複雑な戦略を実施するのを支援します:

プラットフォームで無料プランにサインアップしてください。
新規 > 新しいスコアカード > その他のテンプレートで、 Disaster Recoveryテンプレートを開始点として使用してください。
利害関係者と戦略的野心を包括的な戦略に整合させるために、戦略展開システムに従ってください。

今日から始めて、BSC Designerがどのように戦略実施を簡素化できるかをご覧ください！

IDC, 災害復旧とサイバー復旧の現状, 2024–2025: AIを考慮に入れる, 2024, IDC ↩
災害復旧フレームワークガイド, 2020, 世界銀行グループ ↩
Design Your Organization to Withstand Future Disasters, M. Reeves, K. Whitaker, Harvard Business Review, 2022. ↩
都市のための災害回復力スコアカード, UNDRR, 2024. ↩
都市のための災害レジリエンス・スコアカード, UNDRR, 2024. ↩

Alexis Savkín

Alexis Savkinは、BSC Designerのシニア戦略コンサルタント兼CEOであり、戦略アーキテクチャ＆実行プラットフォームの専門家です。彼は応用数学と情報技術のバックグラウンドを持ち、この分野で20年以上の経験を有しています。Alexisは「戦略実行システム」の著者です。彼は戦略およびパフォーマンス測定に関する100本以上の記事を発表しており、業界イベントで定期的に講演し、その業績は頻繁に学術研究で引用されています。