目標復旧時点

目標復旧時点（RPO）は、インシデント発生後に許容できる最大のデータ損失量を時間で測る指標です。「どの時点のデータまで復旧させるか」を定義します。例えばRPOが1時間の場合、最大1時間分のデータ損失を許容することを意味します。この概念は事業継続マネジメントシステムの国際規格であるISO 22301:2019の中核であり、事業影響度分析（BIA）を通じて復旧目標を決定することが要求されます。RPOはBIAの重要な成果物であり、バックアップの頻度や種類を決定するデータ保護戦略の基礎となります。データ損失量に焦点を当てる点で、サービス停止時間に焦点を当てる目標復旧時間（RTO）とは区別されます。

企業リスク管理におけるRPOの実務応用は、体系的なアプローチで行われます。ステップ1は、ISO 22301の指針に基づき「事業影響度分析（BIA）」を実施し、重要な事業プロセスとデータ損失の影響を評価します。ステップ2は、BIAの結果に基づき「階層的なRPO設定」を行います。例えば、基幹取引システムのRPOはゼロに近い値を、社内人事システムのRPOは24時間に設定します。ステップ3は、設定したRPOを達成するための「技術導入とテスト」です。適切な技術を選択し、定期的な災害復旧訓練でRPO内にデータを復旧できることを検証します。台湾のある大手製造業は、このアプローチにより生産管理システムのRPOを15分に設定し、生産ライン停止のリスクを大幅に低減しました。

台湾企業がRPOを導入する際の主な課題は3つあります。第1に「コスト制約」です。ゼロに近いRPOの実現には高価な技術が必要で、特に中小企業には負担が大きいです。第2に「部門間の認識の齟齬」で、事業部門の期待とIT部門の能力にギャップが生じがちです。第3に「サプライヤー依存」で、クラウドベンダーのSLAが自社の要求を満たさないリスクがあります。対策として、システムの重要度に応じた階層的アプローチでコストを最適化します。定期的なワークショップで共通認識を醸成し、ベンダーとのSLAを再交渉することが重要です。優先事項として、まず全社的なBIAを完了させるべきです。

積穗科研は台湾企業のRecovery Point Objectivesに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact