Webサイトの保守は「直したら終わり」ではなく、止まる前に気づき、止まったら早く戻し、再発を減らす活動です。経営者・情報システム責任者の意思決定で重要なのは、作業の細部よりも「どの水準を、どの体制で守るか」です。ここが曖昧だと、障害が起きた瞬間に判断が遅れ、結果として復旧も遅れます。
本記事では、監視体制とSLA、稼働率を軸に、保守運用を比較・設計するための考え方を整理します。
なぜ保守で監視体制とSLAが重視されるのか(稼働率の位置づけ)
稼働率は「結果」、監視体制は「原因」
監視体制=異常を検知し、復旧まで回すための人・手順・ツールの組み合わせです。
SLA=サービス提供者が守るサービス水準を、指標と条件で取り決める合意(契約条件)です。
稼働率=一定期間にサービスが利用可能だった時間の割合です。
稼働率は最終結果なので、同じ稼働率でも「どれだけ早く気づけたか」「どれだけ早く戻せたか」で事業影響は大きく変わります。例えば、問い合わせフォームの不具合はサイトが表示されていても発生します。監視が「トップページが開くか」だけだと、機会損失は静かに積み上がり、社内で発見されるのは数日後ということも起こりえます。経営目線では、稼働率の数字より「検知の速さ」と「復旧の速さ」をつくる体制設計が優先です。
個人情報を扱うサイトでの影響は二層になる
顧客情報や応募情報を扱うサイトは、障害の損失に加えて、情報管理の観点でのダメージも重なります。表示停止だけなら機会損失が中心ですが、改ざんや不正アクセスが絡むと、影響範囲の調査、暫定遮断、関係者連絡、再発防止までが一連の業務になります。ここで初動が遅れると、被害拡大だけでなく「説明責任を果たせない」状態になりやすいのが現実です。監視体制は、障害だけでなくセキュリティ事案の早期発見にも直結します。
SLAは“安心”の言い換えではない
SLAは「いつ」「何を」「どこまで」面倒を見るかを言語化する道具です。稼働率だけを見て契約すると、次のようなズレが起きます。
- 連絡がつくのは営業時間内のみで、夜間・休日は翌営業日対応だった
- 監視はしているが、通知だけで復旧作業は別料金だった
- サードパーティ(自社と保守ベンダー以外の外部サービス)の障害は対象外で、切り分け支援も薄かった
つまり、SLAは“ゼロ停止”の約束ではなく、リスクをコントロール可能な形に落とし込むための合意です。まずは自社にとって致命的な停止点(フォーム、決済、応募導線など)を特定し、そこを守る体制と条件を組み立てるのが近道です。
監視体制の基本設計(監視対象・通知・一次切り分け)
監視対象は「止まる点」と「盗られる点」に分ける
監視は大きく「可用性」と「安全性」に分けて設計します。可用性=使いたいときにサービスを使える状態を保つ性質です。ここを混ぜると、緊急度が違うアラートが同じ箱に入り、対応優先度が崩れます。
死活監視=サイトが指定間隔で応答しているかを確認する監視です。
ログ監視=サーバーやアプリのログ(記録)を解析し、異常の兆候を検知する監視です。
改ざん検知=ページやファイルの不正な変更を検出する仕組みです。
例えば「サイトが開かない」は死活監視で拾いやすい一方、「フォームが送れない」「特定ページだけ崩れる」「不正なリダイレクトが起きる」は別の観点が必要です。個人情報を扱う場合は、管理画面への不審なログイン、権限変更、未知のファイル生成など、事案の前兆を拾える設計が重要です。
通知設計で“形骸化”が決まる
監視ツールを入れても、通知が多すぎると人は見なくなります。逆に絞りすぎると手遅れになります。現実的には、次の3段階で通知を設計すると運用が回ります。
- 緊急:事業影響が出ている(表示停止、フォーム停止、改ざんの疑い)
- 重要:放置すると影響が出る(容量逼迫、証明書期限が近い、エラー増加)
- 参考:傾向を見る(軽微な警告、アクセス急増など)
通知は「誰に」「どの時間帯に」「どの手段で」届くかまでがセットです。特に夜間・休日に通知が鳴る設計なら、受け手と一次対応の範囲を決め、対応できない場合の代替(外部の一次受け)まで用意しないと、通知は騒音になります。
一次切り分けとエスカレーションを文章化する
一次切り分け=原因を特定しきる前に、影響範囲と緊急度を判断して初動を決める作業です。
エスカレーション=担当範囲を超える事象を、上位者や専門担当へ引き上げる手順です。
インシデント=サービス提供に影響する障害やセキュリティ事案などの出来事です。
IP=通信相手を識別する番号です。
一次切り分けの目的は「復旧を早める判断」と「被害を広げない判断」を同時に行うことです。例えば改ざんの疑いがある場合、復旧より先に遮断・保全(ログ確保)を優先する判断が必要になります。逆に単純な表示停止なら、復旧手順を定型化してスピードを上げたほうが合理的です。
| 監視対象 | 検知例 | 初動アクション | 担当(社内/外部) |
|---|---|---|---|
| サイト表示(死活) | 応答なし | 障害切り分け→復旧手順実行 | 外部一次→社内判断 |
| フォーム送信 | 送信エラー増加 | 影響範囲確認→一時停止/代替導線 | 社内主導+外部対応 |
| SSL/ドメイン期限 | 期限接近アラート | 更新手配→適用確認 | 外部対応(窓口は社内) |
| 不審ログイン | 失敗連続/国外IP | 遮断→パスワード変更→ログ保全 | 外部一次+社内承認 |
| 改ざん兆候 | ファイル差分検出 | 公開停止検討→保全→復旧計画 | 社内判断+外部復旧 |
監視体制は「対象」「通知」「初動」「引き上げ」が噛み合って初めて機能します。
SLAと稼働率の読み方(指標の定義と落とし穴)
SLAは「何を、どの条件で、どのスピードで対応するか」を契約上の言葉にする枠組みです。稼働率はその一部で、数字だけ追うと“守られる範囲”が抜け落ちます。経営側は、停止時の損失を減らす条件になっているかを確認するのが要点です。
稼働率は“許容できる停止時間”に変換する
稼働率は割合なので、期間が決まらないと意味が変わります。1年を365日で計算すると総時間は8,760時間です。
- 99.9%:停止枠は0.1% → 8,760×0.001=8.76時間(約8時間45分)
- 99.99%:停止枠は0.01% → 8,760×0.0001=0.876時間(約52分)
「99.9%」は高く見えても、年間では“数時間の停止を許容する”水準です。自社にとって致命的な機能(応募フォーム、問い合わせ、予約など)が、どれくらい止まると損失が大きいかを前提に数字を選びます。
落とし穴は「定義」と「除外条件」
稼働率を契約で扱う場合、次が曖昧だと解釈が分かれます。
- “停止”の定義:全停止のみか、フォーム等の部分停止も含むか
- 計測方法:どこから監視し、何分の不達で停止扱いにするか
- 除外条件:計画メンテ、第三者サービス障害などを除外するか
除外するなら、代わりに「切り分け支援は含む」など、運用面で損失を減らす条件をセットにしておくのが現実的です。
稼働率より効くのは“検知”と“復旧”の指標
MTTD=異常を検知するまでに要した時間の平均です。
MTTR=障害発生から復旧までに要した時間の平均です。
稼働率が同じでも、MTTDが短いほど被害は小さく、MTTRが短いほど事業の止まり方は軽くなります。「夜間に止まったら翌朝まで放置」なのか「夜間も一次受けで復旧が進む」のかは、ここに表れます。
| 指標 | 定義(1文) | 確認ポイント | 注意点 |
|---|---|---|---|
| 稼働率 | 一定期間に利用可能だった時間の割合 | 期間/停止定義/除外条件が明文化されているか | 部分障害が除外だと体感とズレる |
| 応答時間 | 一次対応を開始するまでの時間 | 夜間休日も対象か、連絡手段は固定か | 通知のみで作業開始しない条件に注意 |
| MTTD | 異常検知までの平均時間 | フォーム等の重要機能が監視に入るか | 範囲が狭いと数字だけ良くなる |
| MTTR | 復旧までの平均時間 | 切り分け→復旧の担当分界が明確か | 外部要因で伸びる扱いを要確認 |
| RTO/RPO | 復旧時間/復旧時点の目標 | 重要機能ごとに目標が置かれているか | 手順・権限が無いと達成できない |
SLAは「稼働率を上げる」よりも、「止まったときに損失を最小化する合意」になっているかで評価します。次に、その合意を実現する復旧設計を押さえます。
復旧設計の要点(バックアップ設計と復旧支援)
バックアップ設計は「復旧できる状態を維持する設計」です。個人情報を扱うサイトでは、復旧の遅れが説明・調査の負担増につながるため、技術だけでなく手順と判断まで含めて設計します。
バックアップ対象を“サイト一式”で定義する
データベース=投稿、設定、フォーム送信内容などを保存する仕組みです。
サイトはファイルとデータベース、設定で成り立つため、どれか一つ欠けると復旧が止まります。最低限、次を対象に入れておくのが基本です。
- ファイル(テーマ、画像、追加機能など)
- データベース
- 周辺設定(DNS、SSL更新情報、管理アカウントの安全な保管)
RTO・RPOは重要機能から逆算する
RTO=目標復旧時間です。
RPO=目標復旧時点です。
重要機能ほど短いRTO・厳しいRPOが求められます。逆に重要度が低い部分まで同じ水準にすると、費用だけが増えやすいので、機能ごとに優先順位を付けます。
復旧の速さは「手順」と「復元テスト」で決まる
バックアップがあっても、手順が無い、権限が足りない、復元を試したことがない、という理由で復旧が遅れることがあります。復旧支援では、手順書、復元テスト、フォーム停止時の代替導線までセットにしておくと、実運用で効きます。改ざんが疑われる場合は、復旧より先に遮断やログ保全が必要になることがあるため、障害と事案で初動を分ける前提も置きます。
更新管理の要点(脆弱性対応と変更管理)
脆弱性=攻撃に悪用される可能性があるソフトウェアの弱点です。
パッチ=脆弱性や不具合を修正する更新プログラムです。
変更管理=更新や設定変更を記録し、影響を評価して実施する運用です。
更新管理は、セキュリティと安定稼働の両方に直結します。更新を遅らせるとリスクが上がり、更新を急ぎすぎると不具合で止まるため、運用でバランスさせます。
変更管理で最低限残すのは、変更内容、実施日時、担当、影響範囲、戻し方です。これがあると障害時の切り分けや引き継ぎが滑らかになります。
定期更新と緊急更新を分け、例外ルールを決める
- 定期更新:計画的に実施し、影響を確認してから反映
- 緊急更新:危険度が高い脆弱性など、優先して適用
“緊急”の判断が毎回ぶれると、社内承認が遅れて適用が滞留しがちです。条件を事前に決め、連絡・判断・実施の流れを短縮します。
検証環境とロールバックをセットにする
ステージング環境=本番に近い状態で検証するための環境です。
ロールバック=更新前の状態に戻す手順です。
更新の速度と安全性を両立するには、検証の場と、戻す手順を用意しておくことが現実的です。
ここまでで、SLAと稼働率を読む視点、復旧と更新の設計要点を整理しました。
体制設計(社内/外部の役割分担と運用フロー)
従業員10〜500名規模では、運用が特定メンバーに集まりやすく、退職・異動で手順が途切れるリスクが出やすいです。そこで「誰がやるか」より先に「どの判断を社内に残し、どの作業を外部へ渡すか」を決めます。
情シス=社内の情報システムを担う部門(または担当者)です。
一次受け=最初に連絡を受け、影響と緊急度を整理する担当です。
RACI=業務ごとの役割を、実行(R)・最終責任(A)・相談(C)・共有(I)で整理する考え方です。
体制を組むときは、最低でも次の分界を固定します。
- 社内(経営/情シス):停止基準、公開停止の判断、対外説明の方針、優先度決定
- 外部の一次受け:監視アラート受領、一次切り分け、暫定復旧、状況報告
- 外部の専門対応(必要時):アプリ改修、サーバー調整、セキュリティ調査
運用フローは「検知→一次切り分け→暫定対応→恒久対応→再発防止」を一枚の手順にし、連絡先と判断者を明確にします。これだけで夜間・休日の“止まったまま”が減ります。
リスク整理(個人情報を扱うサイトでの想定事故と初動)
DDoS=大量の通信を送り付けてサービスを使いにくくする攻撃です。
クレデンシャルスタッフィング=漏えいしたID・パスワードの組み合わせを使い回して不正ログインを狙う手口です。
証跡保全=後から原因調査できるようにログや状態を確保して保存することです。
想定すべきリスクは「障害」と「事案」で初動が変わります。障害は復旧優先、事案は被害拡大防止と証跡保全を優先します。個人情報を扱う場合、初動でやることを決めておくと判断が速くなります。
- 影響範囲の把握:どの機能が止まり、どの情報に触れた可能性があるか
- 暫定措置:公開停止/管理画面遮断/パスワード変更など
- 証跡保全:ログ取得、変更履歴の確保、復旧前の状態保存
- 連絡:社内意思決定者への報告、外部ベンダーの招集、必要なら専門家への連携
「どの時点でサイトを止めるか」「誰が最終判断するか」をSLAと運用手順に含めると、迷いが減ります。
費用の考え方(見積項目・比較軸・契約で固定すべき範囲)
保守費用は“監視の範囲”と“対応できる時間帯”と“復旧支援の深さ”で変わります。金額だけで比較すると、監視はしているが復旧は別、更新は対象外、という分解が見えません。見積は「月次の固定」と「発生時の追加」を分け、条件をSLAで固定するのが安全です。
| 項目 | 含まれやすい作業 | 費用が動く要因 | 契約で明確化する点 |
|---|---|---|---|
| 監視 | 死活・機能・期限監視、通知 | 監視対象数、監視頻度 | 対象範囲と通知先 |
| 一次対応 | 切り分け、暫定復旧、報告 | 対応時間帯、連絡手段 | 応答開始の条件 |
| 更新管理 | 定期更新、緊急パッチ | 検証有無、承認フロー | 緊急時の例外 |
| バックアップ/復旧 | 取得設計、復元支援 | 保持期間、復元テスト | RTO/RPOの目標 |
特に「夜間・休日の一次受け」「復旧作業の範囲」「第三者サービス障害時の切り分け支援」は、費用差が出やすいポイントです。稼働率の数字と一緒に、対応条件を並べて比較します。
成果・KPI設計(稼働率以外の評価とレポーティング)
KPI=目標達成の度合いを測るための指標です。
稼働率だけだと改善が打てません。月次レポートでは、次のKPIを並べると意思決定がしやすくなります。
- MTTD/MTTR:検知と復旧のスピード
- 重要機能の成功率:フォーム送信など“売上・問い合わせ・採用”に直結する箇所
- 更新滞留:未適用更新の件数と滞留期間
- 再発率:同種障害が繰り返された回数
数字が悪い月は「監視対象の追加」「通知の整理」「手順の改善」「更新ルールの見直し」など、次の打ち手に落とし込みます。
ベンダー選定と契約チェック(SLA条項・運用要件の確認)
選定時は、SLAの文面より「運用が回る設計になっているか」を確認します。
- 役割分担:社内の最終判断と外部の一次受けが分かれているか
- 連絡経路:夜間休日の連絡手段、エスカレーションの条件が明文化されているか
- 権限管理:管理画面・サーバー権限の発行/回収手順があるか
- 退出設計:引き継ぎ資料(構成図、手順、アカウント)の範囲が決まっているか
契約は“期待”を入れる場所ではなく、“判断を速くする材料”を固定する場所です。
まとめ
サイト保守の品質は、監視体制(検知→一次対応→復旧)と、SLA(範囲と条件)の整合で決まります。稼働率の数字は結果なので、重要機能の停止をどれだけ早く見つけ、どれだけ早く戻せるかを軸に体制と契約を組み立てることが、経営として合理的です。
保守は「作業」ではなく「目的から逆算して問題を減らす運用」です。成果(売上・問い合わせ・採用)に直結する導線を守るために、監視・復旧・更新管理を一体で設計したい場合は、要件整理から相談できる相手を確保するのが近道になります。
