IT用語集 2023/11/16

RPOとは？わかりやすく10分で解説

Q: RPOは全システムで同じにすべきですか？

すべきではありません。

コラム

はじめに

RPOとは？

RPOとは、Recovery Point Objectiveの略で、障害や災害が発生したときに「どの時点までのデータを復旧できれば業務を再開できるか」を示す目標値です。言い換えると、許容できるデータ損失（データロス）の上限を「時間」で表したものです。

例えば、障害が14:00に発生し、RPOを4時間に設定している場合、復旧できるデータは「10:00時点まで」を目指します。RPOは、事業継続計画（BCP）や災害復旧（DR）を設計するうえで、バックアップ頻度・復旧方式・投資判断を左右する基本指標になります。

RPOの目的

RPOを定める目的は、障害時に「どの程度のデータ損失なら業務として受け止められるか」を明確にし、復旧戦略を具体化することです。RPOが決まると、バックアップの頻度、保存先、レプリケーション有無、復旧手順、運用体制などが現実的に設計できるようになります。

また、RPOは潜在的なビジネスリスクを見える形にする指標でもあります。データロスが発生したときの影響は「困る」では終わりません。再入力作業、取引・会計上の整合性、顧客対応、監査・法令対応など、影響の連鎖が起きます。RPOを決めることは、この連鎖をどこまで許容するかの意思決定でもあります。

RPOの利用シーン

RPOが効いてくる代表例は、災害や障害による復旧です。例えば、地震や水害でデータセンターが停止した場合、RPOが2時間であれば、復旧できるデータは原則として「障害発生の2時間前まで」を目指します。

同様に、サーバー障害やランサムウェア感染などでシステム全体が停止した場合も、RPOは復旧の起点になります。復旧にどれだけ時間がかかるか（RTO）とは別に、「どこまでのデータが戻れば、業務として成立するか」を合意しておくことが重要です。

RPOを設定する際の基準

RPOは「短いほど良い」わけではありません。短くすればするほど、バックアップの高頻度化やレプリケーションなどが必要になり、コストや運用負荷が上がります。逆に長すぎると、障害時の再入力・再処理が増え、業務が止まる期間が伸びる可能性があります。

そのため、一般には次の観点で設定します。

業務の重要度（止まると何が起きるか）
データの性質（再現可能か、失うと致命的か）
発生頻度（更新頻度、取引量、ピーク時間帯）
コスト・運用負荷（人・手順・監視・保管）
技術的制約（現行システムの構成、ネットワーク帯域など）

RPOの重要性

IT障害がビジネスに与える影響

IT障害が起きると、業務が滞り生産性が落ちます。顧客向けサービスなら、売上機会の損失や信頼低下につながります。さらに、障害対応に現場の工数が吸われ、通常業務が止まりやすくなります。現代の企業ではITが事業の基盤であるため、この影響は軽視できません。

RPOの設定がビジネス継続に及ぼす影響

RPOは、業務再開に必要なデータの「最低ライン」を示します。RPOを設定することで、障害時にどこまでデータを戻すかが明確になり、復旧手順や担当範囲、判断基準がぶれにくくなります。

逆に、RPOが曖昧なままだと、障害時に「どこまで戻すか」の議論が発生し、復旧の意思決定が遅れやすくなります。RPOは平時の指標であると同時に、非常時の迷いを減らすための合意事項でもあります。

データバックアップとの関係性

RPOはバックアップ設計と直結します。基本的には、バックアップ間隔がそのままRPOの上限になりやすいためです（厳密には復旧方式や障害点により変わります）。

たとえば、1日1回のバックアップなら、最悪で24時間分のデータロスが起こり得ます。RPOを4時間にしたいなら、少なくとも4時間以内の間隔でバックアップが取れる設計が必要になります。RPOは「願望」ではなく、実現可能な運用として設計する必要があります。

RPOと業績の関係

システム停止やデータ損失は、直接的な損失（復旧費用、対応工数、損害賠償）だけでなく、間接的な損失（機会損失、信用低下、取引停止）にもつながります。RPOを適切に設定し、達成できる対策を選ぶことは、損失の上限をコントロールする経営判断と言えます。

RPOとRTO

BCPやDRを設計するうえで、RPOと並んで重要なのがRTO（Recovery Time Objective）です。RPOが「どこまで戻すか」なら、RTOは「いつまでに戻すか」です。両者はセットで考える必要があります。

RTOとは

RTO（Recovery Time Objective）は、障害でシステムやサービスが停止した際に、どのくらいの時間内に復旧させるべきかを示す目標値です。たとえば、RTOが2時間なら、「2時間以内に業務再開できる状態」を目指します。

ただしRTOは目標であり、技術的制約やコスト、人員体制によって現実の復旧時間は左右されます。だからこそ、平時に訓練・検証を行い、実効性を高めることが重要です。

RPOとRTOの違い

RPOとRTOの違いは次の通りです。

RPO：許容できるデータ損失（どこまでのデータを戻すか）
RTO：許容できる停止時間（いつまでに復旧させるか）

例えば、RPOが4時間でもRTOが24時間なら、「データは4時間前まで戻せるが、復旧自体は1日かかる」設計になり得ます。逆にRTOが1時間でもRPOが24時間なら、「すぐ復旧できても、データは前日までしか戻せない」可能性があります。業務の成立条件に合わせて、両者を揃えることが重要です。

RPOとRTOのバランスの取り方

RPOもRTOも短いほど理想的に見えますが、短縮するほど費用や運用負荷が増えます。現実的には、システムごとに次の順で整理すると決めやすくなります。

止まると困る業務・止められない業務を切り分ける
失うと困るデータ（再作成できないデータ）を明確にする
現実に回せる運用（人・手順・監視）を前提に落とし込む
不足する部分は投資で埋めるか、業務側で許容範囲を再調整する

RTOがビジネスに及ぼす影響

停止時間がそのまま損失に結びつく業種・サービスでは、RTOは経営指標になり得ます。RTOを短くするには、冗長化、ホットスタンバイ、復旧自動化などが必要になり、投資と運用の見直しが伴います。目標を「短く置きすぎる」と、実現できずに期待値だけが上がり、結果として信頼を損ねることもあります。到達できる現実値としてのRTO設計が重要です。

RPO設定の手法

RPO設定は、単に「何時間」と決める作業ではありません。業務とデータの重要度を整理し、復旧可能な仕組みに落とし込むプロセスです。

ビジネス影響分析（BIA）

ビジネス影響分析（BIA）は、「どの業務が止まると、どれだけ影響が出るか」を洗い出す工程です。RPOに直結するのは、重要業務と重要データの特定です。たとえば、取引データ・会計データ・顧客対応履歴などは、失うと復元が難しく、影響が大きくなりやすい領域です。

リスク評価とリスク管理

想定すべき脅威（自然災害、サイバー攻撃、人的ミス、機器故障など）を整理し、発生したときの影響範囲を評価します。ここで重要なのは、「どの障害で、どの復旧手段が無効になるか」を考えることです。例えば、同一拠点内のバックアップしかない場合、拠点障害では使えない可能性があります。

データバックアップの計画

バックアップ計画では、次の点を具体化します。

どのデータを保護対象にするか
どの頻度で取得するか（＝RPOの実現性）
どこに保管するか（同一拠点／別拠点／クラウドなど）
誰が復旧するか、復旧手順は何か
復旧テストをどう回すか

なお、フルバックアップを頻繁に行うと、処理負荷やネットワーク負荷が大きくなり、業務影響が出ることがあります。逆に、フルバックアップの頻度が低すぎるとデータロスが増えます。差分・増分バックアップ、スナップショット、ジャーナリング、レプリケーションなどを組み合わせ、RPOと運用負荷のバランスを取るのが基本です。