RPOの概念

少し背景の説明を交えると、RPOが組織、特にサイバー領域においていかに重要かが明らかになります。仮にデータベースなどのサイバー構造が犯罪者の攻撃対象となった場合、当然その直後にサービス停止（例えばDDOS攻撃の場合）やデータの喪失といった影響が生じます。組織は、データ喪失の災害時、まず問題箇所を解消し、必要なデータのバックアップ処理を始める必要がありますが、部分的なデータ喪失の場合はこれが困難になることがあります。

さらに、被害の範囲が不明確な状態ではデータの重複が発生する恐れがあります。そこでRPOが役立ちます。RPOは攻撃が発生した正確な時刻と、復旧すべきデータ量を明らかにし、失われたデータが時間軸に沿って正確に復元されるよう補助します。

データの重要性と適切なデータベース構造の必要性はもはや周知の事実です。技術やサイバーの進化とともに、データは力となります。こうした背景から、特にサイバー分野においては、すべての組織が災害対策の一環としてRPOを設定することが求められます。例えば、次のようなケースが考えられます；

データ喪失 – 犯罪者によるサイバー攻撃、又は組織側のデータベースシステムの故障が原因となる可能性があります。

• データ喪失 – 犯罪者によるサイバー攻撃、又は組織側のデータベースシステムの故障が原因となる可能性があります。
• ランサムウェア – データベースが攻撃され、ユーザーがデータにアクセスできなくなるケース。特に、個人情報の参照としてデータベースを利用している場合は深刻です。
• 長時間の停電 – 特にデータがデータベースに保存されていない場合に発生します。
• ユーザーの操作ミス
• データ破損 – データ喪失同様、企業のデータベースへの攻撃やシステムの不具合が原因となります。データ破損はデータの利用を不可能にするため、バックアップ処理が必要です。

RPOは、次の項目を判断するために用いられます；

• 災害後に喪失するデータの量
• 災害発生時に実施するバックアップの頻度
• 各災害の具体的な時間枠

RPOの仕組み

RPOの基本的な考え方は単純です。すなわち、データ喪失の具体的な時間枠を定め、バックアップ前にデータが保持できる時間の基準を設定します。その時間が経過するとシステムが自動でバックアップし、その期間内に失われたデータはRPO発動時に復元されます。

サイバーセキュリティの他の側面と同様、この時間枠は管理者があらかじめ設定したものです。技術的には、自動復旧前に許容されるデータ喪失の時間が、企業の許容損失時間と呼ばれます。

企業の許容損失時間は、組織ごとに大きく異なります。次の要因が影響を及ぼします；

1. 企業規模 – 企業の大きさはデータベースのサイズに影響し、これがRPO設定にとって非常に重要です。データ量が大きい場合、復旧時間を短縮する必要が出てくるかもしれません。

2. データベースの大きさ – 業務内容によっては、常に大規模なデータベースを運用する企業もあります。例えば、Facebookのような企業はMcDonald'sよりも多くのユーザーデータを扱うため、許容損失時間に大きな影響を与えます。

3. 含まれるデータの性質 – データベースのセキュリティ対策やデータ損失防止策は、保持するデータの性質により組織ごとに異なります。たとえば、CIAのような高度な機密情報を扱う機関は、飲食店などよりも厳格なRPO設定が求められます。

つまり、適切なバックアップ頻度を設定することでRPOが機能し、一定期間経過後に自動バックアップが実施されます。セキュリティ管理者は、使用しているデータ保存ソフトに合わせてこの設定を行うことが一般的です。

簡単に言えば、Microsoft Wordの自動保存・自動復元機能を思い浮かべてください。最新のWordでは、初回保存後に自動で文書が保存され、万が一の停電時にも最後の保存状態から復元できます。さらに、自動復元パネルがアプリの左側に表示されます。

文書はMicrosoftが設定した時間間隔で自動保存され、この時間を管理する機能それ自体がRPOです。すなわち、「最後に保存された文書」、保存された各バージョンの自動復元、そして継続性の確保がRPOの本質です。

‍

‍

RTOとRPOの関係

リアルタイム目標（RTO）はしばしばRPOと混同されますが、理論的にも運用上も明確に区別されます。しかし、両者には共通してサイバー災害の管理という目的があります。ここでは、両者の類似点や相違点、そしてデータベースセキュリティにおける関係性を考察します。

まず「リアルタイム目標」とは、システム停止から重大な影響が現れるまでの時間枠、すなわち安全の猶予期間を示すものです。データベースの停止と復旧完了までの時間差を測定します。

両者の共通点は、いずれもサイバー災害の管理に関連している点です。しかし、目的や運用方法には大きな違いがあります。以下に、RPOとRTOの基本的な違いを示します；

• RPOは、復旧すべきデータ量を測定し、確実な復元を目的とします。時間も基準として測定します。
• RTOは、危険発生までの実際の時間を測定する点で異なります。
• RPOは過去の一定時点に焦点を当て、適切な判断を支援します。
• RTOは将来に向け、システムが停止するまでの時間を記録します。
• いずれも固定値ではなく、データ漏洩の規模や攻撃者の巧妙さ、システム障害の度合いなどに左右されます。

最後に、災害対策においては、時間の測定、対応、バックアップのすべてがRTOの枠内で実施される必要があります。どちらも重要な要素であり、堅牢なデータベースやネットワークセキュリティを維持する組織の事業計画に組み込むべきです。

事業向けRPOの選定基準の例

RPOとその重要性について理解できたところで、事業規模や性質に応じたさまざまな基準も知っておくと良いでしょう。前述のように、複数の要因が適切なRPO設定に影響します。以下に、その例を示します；

0〜1時間

RPOは時間単位で測定されます。断続的なデータの監視と守りが必要な事業であれば、この基準が最適です。データ量が多く、変数が多い場合、金融機関（例えば銀行）や、病院、大学などでも採用されます。

1〜4時間

この基準は、上記の機関よりも感度が低い組織向けです。組織内の一部、例えばログ、従業員の勤務記録、顧客情報、食料品店の売上リストなど、特定のセクションで利用されます。

4〜12時間

このRPOは、比較的余裕のあるデータ量を扱う事業向けです。場合によっては、全体のデータ収集に要する時間がこの範囲に当てはまることもあります。例として、メールリスト、マーケティング記録、売上ログなどが挙げられます。

13〜24時間

このカテゴリのRPOは、上記よりも感度が低く、最大24時間のバックアップに耐えられる場合に用いられます。例えば、人事部門や購買記録などが該当します。

上記はあくまで一例であり、データの感度や状況の評価は管理者の裁量に委ねられます。たとえば、人事部門が1〜4時間を最適と判断する場合もあります。まずは、事業又はそのセクションでのデータ損失の範囲を把握し、上記の基準から適切なRPOを選択してください。

また、企業の財政状況や管理者の専門知識といった外部要因も、RPO設定に影響を与えます。基準にかかわらず、システムのデモクラッシュを実施してRTOやRPOの有効性を検証することが重要です。これにより問題点が明確になり、サイバー攻撃やシステム不具合時の次の対策が立てやすくなります。

‍

RPO（復旧ポイント）の計算方法

前述の通り、組織ごとにRPOは異なり、いくつかの要因によって決まります。ここでは、組織の立場からデータベースセキュリティに適したRPO設定の意味を考え、RPOを計算する方法について詳しく説明します。

1. 事業で保持すべき各種データセットのリストを作成する – まず、業務内で記録すべき全てのデータ種類を洗い出します。事業内容によっては作成が難しい場合もありますが、データアナリストや解析ツールを活用すれば負担が軽減され、優先度の高いデータ種類が明確になります。
2. これらのデータ種類についてリスク分析を実施する – 作成したリストを元に、セキュリティ侵害やシステム不具合発生時に大きな損失となる重要なデータを特定します。例えば、金融機関なら財務記録、通信事業なら顧客の個人情報や取引履歴など、事業継続に不可欠なデータを十分に検討してください。
3. 次に時間の要素を考える – 前項の情報を基に、これらのデータを失った場合、事業がどれだけ持ちこたえられるかを検討します。優先リストのデータが失われた場合、復旧に必要な時間はどれほどか、業務停止に直結するのか、数秒で済むのかを慎重に判断してください。
4. 以上でRPOの設定が可能となる – 前述の問いにより、理想的なRPO（およびRTO）の値が見えてくるはずです。算出したRPOをデータベースや復旧システムと連携させれば、突然のデータ漏洩時の対応もこれまでほど心配する必要がなくなります。応答時間は、データ損失が許されない事業では数秒から、一般の場合は最大24時間と幅があります。上記の検討を経て、目安となる時間を決定しRPOとして設定してください。

‍

なぜRPOが貴社にとって必要か

この議論の趣旨を繰り返しますと、RPOはどの組織においても災害対策・管理の非常に重要な要素です。

これまでに、なぜRPOが貴社に必要か、その理由がいくつか理解されたかと思います。ここでは、データベースセキュリティに適切なRPOが組み込まれることの重要性についてさらに詳しく説明します。

1. RPOは事業の流れと直結している – どの事業においても何らかの形でデータは保持されています。事業が成長すると保存すべきデータ量は増大し、容易にデータにアクセスできることがサービスや経営判断の質に影響します。例えば、飲食業では新メニュー導入時の売上データが市場の反応を示し、企業が長年にわたって保存すべきデータの損失は事業存続に重大な影響を与えます。適切なRPOがあれば、技術的な不具合にかかわらずデータの喪失を防げます。
2. RPOはスピード、時間、正確性、そして堅牢性を意味します – 手動による慌てたバックアップでは人為的ミスでファイルが漏れる恐れがあります。一人で作業する場合でも、また複数人で担当していても、誤解やミスが大規模なデータ喪失に繋がる可能性があります。自動化されたRPOは、人手と時間を大幅に節約します。

つまり、自動設定されたRPOは人力による復旧よりも短い時間でデータを回復することが可能です。同時に、データ損失への対応に多くの人員を回さずに済むため、主要な業務に専念できるようになります。自動化により、システムはバックアップと復旧を迅速に完了し、人力で行うよりも効果的にデータを守ることができます。

RPO基準の選択がもたらす影響

これまでにも述べた通り、RPOは時間で測定され、その設定値は復旧前に失われるデータ量に直結します。すなわち；

• 低いRPOは、ほとんどまたは全くデータが失われないことを意味します。
• 高いRPOは、自動復旧が始まる前に大きなデータ損失が発生することを意味します。

要するに、RPOの時間幅が狭いほど、失われるデータ量は少なくなります。

概要と結論

RPOは、すべての事業において災害対策、特にデータ損失防止のために非常に有効な手段です。ここでこれまでの内容を簡単に振り返ります；

• RPOは、災害の規模と、データベースが復旧するために必要な時間の尺度です。
• 停電、ランサムウェア、データ攻撃、データ破損、ユーザーのミスなど、さまざまな災害やシステム障害においてRPOは重要です。
• RPOにより、データ量、バックアップ頻度、災害時の時間枠などが決定されます。
• RTOは、バックアップが行われない場合にシステムが機能停止に陥るまでの時間枠を示し、RPOとは異なります。
• RTOとRPOは、データの性質、量、予算などにより組織ごとに異なる値となります。
• RPOの算出は、関係者による一連の手続きと判断が必要です。
• データベースを運用するすべての組織において、RPOは欠かせない要素です。同一組織内で全てのデータが同じRPOで運用される必要はなく、部分ごとに異なる場合もあります。
• RPOの時間幅が狭いほど、復旧前のデータ損失量は少なくなります。

最後に、データベース管理とサイバーセキュリティは進化を続けています。サイバー犯罪者は技術の高度化によりますます巧妙になっており、データ災害は予測が困難です。警告なしに発生する場合もあるため、組織は適切なRPOの設定だけでなく、継続的な最適化が必要です。コンピューティングの未来はデータにあり、グローバルな影響力もデータに基づいています。今日、世界はデータの収集、管理、制御に注目しており、データ革命の中で存在感を維持するためには、データの保全に一層の注意を払うことが当然です。したがって、RPO、RTO、その他の災害対策要素は、組織の予算において重要な割合を占めるべきです。