会社情報
採用情報
お問い合わせ
Article

インシデント対応の記録と改善サイクル

高田晃太郎
インシデント対応の記録と改善サイクル

DORAの年次レポートでは、いわゆるエリート組織の復旧時間は1時間未満に集中し、変更失敗率も0~15%に収まる傾向が示されています¹。公開データから読み取れるのは、ツールの多さではなく、測定可能な記録と継続的な学習ループが共通項であるという点です²。SRE(Site Reliability Engineering)の実践でも、事実に基づくポストモーテム(事後検証)とエラー予算(SLOから逆算した許容不達の枠)の運用が、回復力の高いシステムを下支えしています²³。各社の公開事例を読み解くと、単発の「反省会」ではなく、記録→分析→改善→検証のサイクルを回し切る組織ほど、計画外停止の短縮やコミュニケーションの平準化につながる傾向があります⁴。

本稿では、インシデント(障害)対応の記録をどの粒度で、どこに、どう残すと「復旧時間短縮」や「検知遅延削減」といった成果指標に変換できるのかを、実装と運用の視点から整理します。専門用語は必要最小限に留めつつ、SREで用いられるMTTR(復旧時間)、MTTD(検知遅延)、MTTA(一次対応時間)、エラー予算、変更失敗率などを、現場で説明可能なかたちに言い換えます。結論から言えば、記録の一貫性がない限り、改善サイクルは回らず、成果数値も積み上がりません。逆に言うと、観測と記録を標準化できれば、復旧時間の中央値短縮や検知遅延の削減といった効果を、経営に対して明瞭に示せます。

記録の質が復旧速度を決める:何をどの粒度で残すか

インシデント対応の速度は、現場の勘や英雄的努力では長続きしません。持続的に短縮するには、事実ベースの記録を分単位で揃え、後から機械的に集計できるかが鍵になります。公開事例や実務知見では、復旧フェーズを時系列と状態遷移で捉え、検知、宣言、エスカレーション、緩和、復旧、クローズといったマイルストーンを明示すると、過去事例の再利用度が高まり、似た障害での初動が早くなることが示唆されています⁴⁵。ここで重要なのは、叙述的な長文に埋もれない構造化データを併置する設計です⁵。

標準スキーマで揃える:時系列・影響・判断の三点固定

実運用では、自由記述の報告書に加えて、機械可読なスキーマを用意します。最低限、発生から復旧までのタイムライン、ユーザー影響の定量、主要な判断の根拠を同じ型で残します。次のようなJSONスキーマを用いると、後段の集計やダッシュボード作成が容易になります。

{
  "incident_id": "INC-2025-08-0012",
  "service": "checkout-api",
  "severity": "SEV-2",
  "timestamps": {
    "occurred_at": "2025-08-29T10:00:00Z",
    "detected_at": "2025-08-29T10:04:12Z",
    "declared_at": "2025-08-29T10:06:30Z",
    "mitigated_at": "2025-08-29T10:22:05Z",
    "resolved_at": "2025-08-29T10:41:50Z"
  },
  "impact": {
    "users_affected": 18234,
    "error_rate_peak": 0.37,
    "revenue_loss_estimate_jpy": 1240000
  },
  "root_cause_hypothesis": "deploy-misconfig",
  "contributing_factors": ["insufficient-rollout-guard", "alert-threshold-too-high"],
  "actions": [
    {"type": "mitigation", "at": "2025-08-29T10:15:44Z", "desc": "roll back to v1.42.3"},
    {"type": "followup", "owner": "plat-team", "due": "2025-09-05", "desc": "add preflight config validation"}
  ]
}

この型をJiraやGitHub Issuesのカスタムフィールドに対応づけるか、BigQueryなどのデータレイクへ収集できるようにします。自由記述は意思決定の背景を補足し、数値は後から一括集計するという分担を明確にしておくと、レビュー時に議論が迷子になりにくくなります。

単一の事実源を持つ:宣言からクローズまでの流れを自動化する

記録の散逸は分析を不可能にします。単一の事実源として、インシデントチケットを起点に据え、チャット、ページャー、監視、デプロイの各イベントを双方向にひも付けます。たとえばSlackのチャンネル命名規則を定め、宣言と同時にチケットを自動生成するだけで、関係者の合流と履歴の回収が同時に進みます⁵。

{
  "slack_channel": "#inc-2025-08-29-checkout-api-sev2",
  "webhook": "https://hooks.slack.com/...",
  "incident_ticket": "INC-2025-08-0012",
  "automation": "slack:/incident declare -s SEV-2 -svc checkout-api"
}

宣言時に検知ソース、SLO(Service Level Objective: サービス目標値)の対象、暫定の影響推定を最低限入力するルールにしておくと、集計時の欠損が減ります。以降、緩和やロールバックのイベントはデプロイ基盤から自動で付記し、人的入力は判断理由と次のアクションに集中させます。

データ駆動で回す改善サイクル:定義、集計、検証

改善は測定から始まります。同じ言葉を同じ定義で使い切れる状態を作ると、初めて年次・四半期での変化が読めます。MTTD(検知遅延)は障害発生から検知まで、MTTA(一次対応時間)は検知から宣言または担当者アサインまで、MTTR(復旧時間)は宣言から恒久対処またはユーザー影響の解消までと定義します。定義の差異はわずかでも大きなブレを生むため、組織で明文化し、チケットのタイムスタンプに強制整合させます⁶⁵⁷。

計算を自動化する:SQLで継続的に再計測する

メトリクスは手計算に頼らないでください。データレイクに取り込んだスキーマから、月次の中央値と四分位、サービス別の傾向をSQLで算出します。次のクエリは、MTTD、MTTA、MTTRを分単位で計算し、サービスごとの四半期中央値を得る例です。

WITH base AS (
  SELECT
    incident_id,
    service,
    TIMESTAMP_DIFF(timestamps.detected_at, timestamps.occurred_at, MINUTE) AS mttd_min,
    TIMESTAMP_DIFF(timestamps.declared_at, timestamps.detected_at, MINUTE) AS mtta_min,
    TIMESTAMP_DIFF(timestamps.resolved_at, timestamps.declared_at, MINUTE) AS mttr_min,
    EXTRACT(QUARTER FROM timestamps.declared_at) AS q,
    EXTRACT(YEAR FROM timestamps.declared_at) AS y
  FROM `ops.incidents`
  WHERE severity IN ('SEV-1','SEV-2')
)
SELECT
  y, q, service,
  APPROX_QUANTILES(mttd_min, 100)[OFFSET(50)] AS mttd_p50,
  APPROX_QUANTILES(mtta_min, 100)[OFFSET(50)] AS mtta_p50,
  APPROX_QUANTILES(mttr_min, 100)[OFFSET(50)] AS mttr_p50
FROM base
GROUP BY y, q, service
ORDER BY y DESC, q DESC;

四半期で中央値を追うと、突発的な大規模障害に引きずられにくく、持続的な改善の有無が見えます。加えて、成果数値として経営が理解しやすい「ユーザー影響分の短縮分数」と「回復したエラー予算」を併記すると、現場の努力が数字で保護されます³。

エラー予算で価値を翻訳する:SLOとの接続

インシデントはSLOの文脈で語ると経営判断に接続します。エラー予算の消費は、期間内の許容ダウンタイムを何分使ったかという表現に翻訳でき、改善の効果を「予算回復分」として示せます³。

WITH slo AS (
  SELECT service, target_availability AS target FROM `ops.slo_targets`
),
inc AS (
  SELECT service,
         SUM(TIMESTAMP_DIFF(timestamps.resolved_at, timestamps.declared_at, SECOND)) AS incident_downtime_sec,
         TIMESTAMP_TRUNC(timestamps.declared_at, MONTH) AS m
  FROM `ops.incidents`
  WHERE severity IN ('SEV-1','SEV-2')
  GROUP BY service, m
)
SELECT i.m, i.service,
       s.target,
       30*24*60*60*(1 - s.target) AS monthly_budget_sec,
       i.incident_downtime_sec,
       GREATEST(0, 30*24*60*60*(1 - s.target) - i.incident_downtime_sec) AS budget_remaining_sec
FROM inc i JOIN slo s USING(service)
ORDER BY i.m DESC;

ここで得られる残余秒数の増加を、改善アイテムの実装前後で比較します。例えばアラートのしきい値調整とカナリアリリース(安全に段階的展開する手法)導入後に、SEV-2(重大度高)インシデントの月次MTTR中央値が42分から27分へ縮んだなら、成果数値として「月間で予算残が8,400秒増加」といった報告ができます³。

原因分類とタグ設計:学習可能な言語を持つ

学習の再現性は分類体系に依存します。GoogleのSREが推奨する非難のないポストモーテムでも、人的要因を結論にしないために、失敗のモードやコントロールの不足といった構造的な因子語彙を整えています²。自由記述だけでは同じ失敗が紛れてしまうため、因子タグを制御語彙として定義し、レビューで必ずどれかを選ぶ運用にします。

制御語彙の例:変更、検知、回復の三系統

語彙はシンプルでよく、変更管理、監視検知、回復戦略の三系統に分けると分析が進みます。次のようなYAMLは、選択肢を見える化するための例です。現場の文脈に合わせて適宜増減させてください。

cause_taxonomy:
  change:
    - inadequate-preprod-parity
    - unsafe-rollout-missing-canary
    - config-drift
  detection:
    - threshold-too-high
    - no-slo-based-alert
    - noisy-alert-fatigue
  recovery:
    - rollback-script-broken
    - missing-runbook
    - slow-dependency-failover

このタグを先のスキーマのcontributing_factorsに入れ、四半期ごとに頻度と影響を掛け合わせて優先順位を付けます。タグの粒度は議論の単位です。粗すぎれば具体策に落ちず、細かすぎればデータが疎になります。レビューを重ね、分析で使える粒度に収斂させることが重要です。

組織で回す:レビュー、アクション、可視化

記録と集計が揃ったら、改善サイクルを組織のリズムに編み込みます。週次の運用レビューでは、前週のSEV-1/2の事案を事実の時系列に沿って短時間で振り返り、因子タグの妥当性とフォローアップの準備状況を確認します。月次では、サービスごとのMTTR中央値とエラー予算の消費を確認し、優先度上位の因子に対してテコ入れを決めます。四半期では、投資対効果の観点から、検知系の強化やリリース戦略の見直しといった組織的な改善を議論します。

レビューの型を固定する:時間と議論を守る

議論は人ではなく仕組みに向けます。テンプレートを用意し、対象、影響、時系列、判断、学び、アクションの順で締めます。説明が長くなりがちな部分には、チャートやタイムラインを差し込みます。例えばGrafanaの画像やデプロイログの抜粋を貼り、説明は最小限に留め、判断の根拠はURLで辿れるようにします。テンプレートの先頭には、SLOと成果数値の暫定値を置き、意思決定者が短時間で要点に到達できるようにします。ナレッジとしては、ポストモーテムのテンプレートSLOとエラー予算の設計オンコール運用の健全性の各ガイドを束ね、運用開始時に参照を促します。

ダッシュボードで継続監視する:四象限で語る

意思決定の速度を上げるには、メトリクスを四象限のスコアボードに配置すると有効です。左上に月次のMTTR中央値、右上に検知遅延の中央値、左下に変更失敗率、右下にエラー予算残を置き、全てサービス別にドリルダウン可能にします。次のクエリは、デプロイと障害の紐付けから変更失敗率を推定する例です¹。

WITH deploys AS (
  SELECT deploy_id, service, version, deployed_at FROM `ops.deploys`
),
links AS (
  SELECT incident_id, deploy_id FROM `ops.incident_deploy_link`
),
monthly AS (
  SELECT d.service,
         TIMESTAMP_TRUNC(d.deployed_at, MONTH) AS m,
         COUNT(*) AS total_deploys,
         COUNTIF(l.deploy_id IS NOT NULL) AS failed_by_incident
  FROM deploys d
  LEFT JOIN links l USING(deploy_id)
  GROUP BY service, m
)
SELECT m, service,
       SAFE_DIVIDE(failed_by_incident, total_deploys) AS change_failure_rate
FROM monthly
ORDER BY m DESC;

この四象限が毎月改善していれば、現場の努力は自然と成果数値に転写されます。もし一部が悪化しているなら、因子タグの頻度表を見るだけで、対策の当たりを付けられます。

成果数値を経営に翻訳する:ROIの見積もりと約束

経営に報告する際は、技術的な指標を事業インパクトに翻訳します。収益連動サービスであれば、平均売上/分とユーザー影響の分数から、粗いが方向性の合うコスト推定が作れます。B2BでSLAペナルティがあるなら、消費したエラー予算と契約条件から、未然に回避できた違約見込みを示せます。SaaSのトライアルコンバージョンが重視されるなら、障害窓に新規ユーザーが遭遇した確率を推定し、コンバージョン低下分の影響を添えても良いでしょう。

説明はシンプルに、例えば「SEV-2のMTTR中央値を四半期で15分短縮できた結果、月次でエラー予算の残が8,400秒増え、ピーク時間帯の影響分が約20%減少した」という言い回しにまとめます。さらに、次の四半期で「検知遅延を5分短縮し、変更失敗率を3ポイント下げる」という約束を置き、対策アイテムの工数と期待効果を見積もいます。対策に投資する根拠を、DORAメトリクスと組織の履歴から同時に示せば、意思決定は早まります⁷。

実例の縮図:チェックアウト系の縮減ストーリー

一般的な縮図として、ECのチェックアウトAPIを想定します。ロールバックの自動化とプリフライト検証の強化により、SEV-2のMTTR中央値が42分から27分に縮むとします。副作用として、ユーザー影響のピーク率が0.37から0.18へ半減するケースも考えられます。因子タグでは、config-driftとunsafe-rolloutが繰り返し上位を占めていたため、まずカナリアと自動比較を入れ、差分が閾値を超えた場合は自動でブロックするようにします。レビューの席では、学びをテンプレートに沿って共有し、次の四半期は検知の高速化に焦点を移すといった合意形成が可能です。結果として、同種の障害は発生頻度が減少し、発生しても影響時間が短くなります。これは成果数値として、経営に無理なく説明できる形にまとまります。

まとめ:記録が回路になったとき、改善は加速する

インシデント対応は、緊急時の立ち回りだけで優劣が決まるものではありません。事実に基づく記録を標準スキーマで残し、単一の事実源に統合し、定義済みのメトリクスで継続的に再計測することで、改善サイクルは初めて回ります。そこにタグ設計とレビューの型が加わると、学習は組織の言語として定着します。最後に、SLOとエラー予算で価値へ翻訳し、四半期ごとに成果数値を更新し続ければ、現場の努力は事業の前進として認識されます。

あなたの組織では、どの時点から記録が欠けていますか。検知、宣言、復旧、いずれかの刻みを今日から明確にし、次のインシデントでスキーマに沿って残すところから始めてください。ひとつの事実が積み重なるとき、改善は勢いを増します。そしてその勢いは、次の四半期の会議で、確かな数字としてあなたの味方になります。

参考文献

  1. Google Cloud. DORA State of DevOps Report. https://cloud.google.com/resources/state-of-devops?hl=en
  2. Google SRE Book. Postmortem culture. https://sre.google/sre-book/postmortem-culture/
  3. Google Cloud Blog. Understanding error budget overspend. https://cloud.google.com/blog/products/gcp/understanding-error-budget-overspend-cre-life-lessons
  4. New Relic. Incident postmortems in SRE practices. https://newrelic.com/jp/blog/best-practices/incident-postmortems-in-sre-practices
  5. Atlassian. Common incident management metrics (MTTA/MTTR etc.). https://www.atlassian.com/incident-management/kpis/common-metrics
  6. TechTarget. Mean time to detect (MTTD) definition. https://www.techtarget.com/searchitoperations/definition/mean-time-to-detect-MTTD
  7. AWS Blog. Balance deployment speed and stability with DORA metrics. https://aws.amazon.com/jp/blogs/news/balance-deployment-speed-and-stability-with-dora-metrics/