インシデント管理フローの構築方法|検知から解決まで7ステップ実践ガイド
2026/3/7
この記事の著者
代表取締役社長CEO
金築 敬晃
DevOps / SRE / インフラ運用チーム向け
検知から解決まで ── 7ステップ実践ガイド
インシデント管理フローとは何か
インシデント管理フローとは、ITサービスにおける予期せぬ中断や品質低下を迅速に検知し、記録・分類・対応・解決するまでの一連のプロセスを体系化したものです。適切に設計されたフローがあれば、混乱を最小限に抑え、ビジネスへの影響を劇的に減らせます。
PagerDutyの2024年調査によると、インシデント管理プロセスを体系化している組織は、そうでない組織と比較してMTTR(平均復旧時間)が約60%短いと報告されています。
現代の企業では、Datadog・CloudWatch・Prometheus等の監視ツール、Jira Service Management・ServiceNow等のチケット管理、Elasticsearch・Splunk等のログ基盤など、複数システムに運用データが散在しています。これらを統合できていないことが、インシデント対応の遅延と重複作業の主因です。
インシデントマネジメントフローの全体像
効果的なインシデントマネジメントフローは、以下の7ステップで構成されます。各ステップの目的と、よく使われるツールを整理します。
# | ステップ | 目的 | 主要ツール例 |
|---|---|---|---|
1 | 検知 | 問題の早期発見・アラート発報 | Datadog, Prometheus, CloudWatch, New Relic |
2 | インシデント起票 | インシデント対応を開始し、情報を集約する場所を用意 | Notion, Jira Service Management, ServiceNow, Zendesk |
3 | 分類 | カテゴリ・影響範囲・緊急度の判定 | チケットシステムの分類機能, タグ付け |
4 | 優先順位付け | リソース配分の最適化 | 優先順位マトリックス, SLOポリシー |
5 | 対応 | サービス復旧・暫定対応 | PagerDuty, Opsgenie, Slack, Runbook |
6 | 解決 | 恒久対応・ユーザー告知 | 変更管理ツール, CI/CDパイプライン |
7 | クローズ | 記録完了・ポストモーテム・トレンド分析 | Confluence, Notion, BIツール (Grafana等) |
ITIL準拠のプロセス設計
ITILでは、インシデントを「ITサービスの計画外の中断、またはITサービスの品質低下」と定義しています。この定義に基づき、インシデントとサービスリクエストを明確に区別することが重要です。
判別の目安:「今すぐ対応しなければサービスに影響がある」→ インシデント、「計画的に処理できる通常の依頼」→ サービスリクエスト
フロー設計の3原則
明確な役割分担:誰が、いつ、何をするか、どのタイミングでエスカレーションするかを明文化する
標準化された手順:同一タイプのインシデントには同一のRunbookを適用し、対応品質のばらつきを防ぐ
継続的な改善:ポストモーテムの結果をプロセスに反映し、対応能力を向上させる
ステップ1:インシデントの検知
検知の遅れはビジネスへの影響を直接的に拡大させます。理想は、ユーザーが問題に気づく前にシステムが自動検知する体制です。
自動監視の設計ポイント
監視対象は大きく3層に分けて設計します。インフラ層(CPU、メモリ、ディスク、ネットワーク)、アプリケーション層(レスポンスタイム、エラーレート、スループット)、ビジネス層(注文数、決済成功率、ログイン数)です。
実践例:ECサイトでは「決済成功率が直近5分で95%を下回ったら P1アラート」のようにビジネスメトリクスで閾値を設定すると、技術メトリクスでは見逃す障害を早期検知できます。
アラート疲れへの対策
アラートが多すぎると重要な通知を見逃す「オオカミ少年問題」が発生します。対策として、アラートの重複排除、関連アラートのグルーピング、段階的な通知(Warning → Critical)、ノイズとなるアラートの定期的な棚卸しが有効です。PagerDutyやOpsgenieのインテリジェントグルーピング機能を活用すると、ノイズを大幅に削減できます。
ユーザー報告の受付体制
自動監視では捕捉できない問題もあります。セルフサービスポータル、Slackボット、メール、電話など複数チャネルを用意し、報告の敷居を下げましょう。報告受付時にはインシデントIDを即時発行し、ユーザーが進捗を追跡できるようにします。
ステップ2:インシデントの記録
正確な記録は、対応の効率化・トレンド分析・再発防止策の立案に不可欠です。記録が不十分だと同じ問題が繰り返され、組織の学習機会を失います。
記録すべき情報と記入例
以下の項目を標準フォーマットで記録します。フリーテキストだけでなく選択式項目を活用し、データの一貫性を確保します。
記録項目 | 記載内容 | 記入例 |
|---|---|---|
インシデントID | 自動採番される一意の識別子 | INC-2025-001234 |
発生日時 | 障害発生またはアラート発報の日時 | 2025-06-15 14:32:05 JST |
検知方法 | 自動監視 / ユーザー報告 / 内部発見 | Datadog アラート (CPU > 90%) |
影響サービス | 障害が発生しているサービス名 | 決済API (payment-service) |
症状 | ユーザーまたはシステムが観測した事象 | 決済処理のレスポンスタイムが10秒超 |
影響範囲 | 個人 / 部門 / 全社 | 全社(全ECサイト利用者) |
優先度 | P1〜P5(マトリックスに基づく) | P1 - 即時対応 |
担当者 | 現在の対応責任者 | SREチーム 田中(L2エスカレーション済) |
チケットシステムの自動化
Jira Service ManagementやServiceNowでは、監視ツールからのアラートを自動的にチケット化できます。Datadog → PagerDuty → Jira のような連携パイプラインを構築すると、検知から記録までの時間をほぼゼロにできます。さらに、特定キーワードによる自動分類も設定可能です。
記録の品質管理
週次でチケットをサンプルレビューし、記載漏れや曖昧な記述をフィードバックする仕組みを導入しましょう。チケットクローズ時に必須項目が未入力の場合はクローズをブロックする設定も効果的です。
ステップ3:インシデントの分類
適切な分類は、効率的な対応の基盤です。カテゴリ分類により、適切な担当者への自動割り当て、類似インシデントのパターン分析、ナレッジベースの体系的な構築が可能になります。
カテゴリ分類の設計例
組織のITインフラに合わせた2〜3階層のカテゴリを設計します。階層が深すぎると分類が煩雑になるため、3階層以内に抑えるのが実用的です。
カテゴリ | サブカテゴリ例 | 典型的なインシデント例 |
|---|---|---|
ネットワーク | LAN / WAN / VPN / DNS / CDN | DNS解決失敗、VPN接続タイムアウト |
アプリケーション | Web / API / バッチ / マイクロサービス | APIレスポンス5xx増加、デプロイ後の機能障害 |
インフラ | サーバー / ストレージ / クラウド / コンテナ | EC2インスタンス停止、ディスク容量枯渇 |
データベース | RDS / NoSQL / キャッシュ / レプリケーション | レプリケーション遅延、コネクションプール枯渇 |
セキュリティ | 認証 / 不正アクセス / データ漏洩 / DDoS | 不正ログイン試行急増、証明書期限切れ |
影響範囲と緊急度の評価
影響範囲は「個人」「部門」「全社」の3レベル、緊急度は「高(業務停止)」「中(主要機能に障害)」「低(軽微な不具合)」で判定します。この2軸を組み合わせて、次のステップで優先順位を決定します。
判定の具体例:決済システム全停止 → 影響範囲「全社」× 緊急度「高」→ P1。社内WikiのUI崩れ → 影響範囲「個人」× 緊急度「低」→ P5。
ステップ4:優先順位付け
すべてのインシデントに同時対応することは不可能です。ビジネスへの影響が大きいものから対応するため、優先順位マトリックスとSLO(対応完了目標時間:Service Level of Objective)を組み合わせて判断基準を統一します。
優先順位マトリックス
影響範囲と緊急度の2軸で優先度を決定します。各優先度にはSLO(初動対応時間/解決目標時間)を紐づけます。
影響 \ 緊急 | 高 | 中 | 低 |
|---|---|---|---|
全社 | P1 - 即時対応 | P2 - 即時対応 | P3 - 優先対応 |
部門 | P2 - 即時対応 | P3 - 優先対応 | P4 - 通常対応 |
個人 | P3 - 優先対応 | P4 - 通常対応 | P5 - 計画対応 |
SLO設計の実践ポイント
SLOは「達成可能だが適度な緊張感のある水準」に設定します。過度に厳しいSLOはチームを疲弊させ、形骸化します。まずは現状のMTTRを計測し、その80%程度を目標に設定するアプローチが現実的です。また、SLOの対象時間(営業時間 or 24/7)も明確にしましょう。
動的な優先順位の見直し
インシデントの状況は変化します。当初P3と判定した障害が、実は広範囲に波及していることが判明するケースは少なくありません。未解決インシデントを30分〜1時間ごとにレビューし、優先度の妥当性を再評価するプロセスを組み込みましょう。
ステップ5:インシデントへの対応
対応の目標は、できるだけ早くサービスを正常な状態に戻すことです。根本原因の究明よりも、まず暫定対応でサービスを復旧させ、その後に恒久対策を検討するのが基本アプローチです。
初動対応のタイムライン例
P1インシデントの初動(目安):
0〜5分 アラート確認・War Room(Slackチャンネル等)開設
5〜15分 影響範囲特定・ステータスページ更新
15〜30分 暫定回避策の実施・ユーザーへの第一報送信
エスカレーションの設計
すべてのインシデントをL1で解決できるわけではありません。段階的なエスカレーションルートを明確に定義します。
レベル | 担当 | 対応範囲 | エスカレーション条件 |
|---|---|---|---|
L1 | サービスデスク | 既知の問題、Runbook対応可能な障害 | 15分以内に解決見込みなし |
L2 | 専門技術チーム | アプリ/インフラ固有の障害調査・対応 | 30分以内に原因特定できない、または複数システムに波及 |
L3 | アーキテクト/ベンダー | 設計レベルの問題、ベンダー製品の障害 | L2で対応不可、またはベンダーパッチが必要 |
管理層 | CTO/VP of Eng | ビジネス判断、リソース追加投入の承認 | P1が1時間未解決、または顧客影響が拡大 |
コミュニケーション戦略
長時間インシデントでは、進展がなくても定期的な状況報告が不可欠です。P1では15〜30分ごと、P2では1時間ごとを目安に、ユーザー・経営層・関連チームに現在の状況と復旧見込みを共有します。Statuspage等のステータスページツールを活用すると、個別の問い合わせ対応を大幅に削減できます。
ナレッジベースとRunbookの活用
過去の類似インシデントの対応記録は貴重な資産です。ConfluenceやNotionにRunbook(対応手順書)を整備し、症状→原因→解決策の形式で検索可能にしておきます。Runbookの存在により、L1での初回解決率(FCR)を大幅に向上できます。
ステップ6:インシデントの解決
サービスが復旧しても、まだ完了ではありません。「解決」を確定する前に、確認ステップを踏む必要があります。
解決の確認プロセス
ユーザー報告のインシデントは報告者に直接確認します。自動監視で検知したインシデントは、監視メトリクスが正常値に復帰し、一定期間(例:24時間)再発しないことを確認します。Datadogのモニター機能で自動判定する設定も有効です。
暫定対応と恒久対応の切り分け
暫定対応(サーバー再起動、キャッシュクリア等)でインシデントを解決した場合、恒久対応は問題管理プロセスに引き継ぎます。チケットに「暫定対応済・恒久対応未了」のステータスを設定し、根本原因対策が漏れないようにします。
解決時間の記録と分析
検知→記録→対応開始→解決の各タイムスタンプを正確に記録します。このデータをカテゴリ別・チーム別に集計することで、ボトルネックが可視化されます。例えば、データベース関連のインシデントでMTTRが長い場合、DBAの増員やDB固有のRunbook充実を検討できます。
ステップ7:インシデントのクローズ
クローズは組織の学習と改善のための重要なプロセスです。
クローズ前チェックリスト
問題が完全に解決され、ユーザー確認が取れているか
チケットの全項目(原因、対応内容、タイムライン)が記録されているか
ナレッジベース / Runbookが更新されているか
暫定対応の場合、問題管理プロセスに引き継がれているか
P1/P2の場合、ポストモーテムがスケジュールされているか
ポストモーテムの進め方
P1・P2インシデントは、解決後48時間以内にポストモーテムを実施します。目的は責任追及ではなく、組織としての学習です。Blameless(非難のない)文化を前提に、タイムラインの振り返り、検知・対応プロセスの課題抽出、具体的な改善アクションの特定を行います。
ポストモーテムのアウトプット例:「アラート閾値の見直し(担当:SREチーム、期限:1週間以内)」「Runbook追加(担当:L2チーム、期限:2週間以内)」── 改善策は必ず担当者と期限を明記します。
トレンド分析による予防
月次でクローズ済みインシデントを集計し、カテゴリ別発生件数、時間帯別分布、繰り返し発生するシステムの特定を行います。GrafanaやTableau等のBIツールでダッシュボードを構築すると、傾向の変化をリアルタイムに把握できます。
ツールとテクノロジーの活用
手作業だけでは複雑化するITインフラのインシデントマネジメントは成り立ちません。プロセスの自動化、情報の一元管理、迅速な意思決定のために適切なツール選定が重要です。
ツール選定の評価軸
既存の監視・チケット・ログ管理ツールとの統合性が最重要です。データが散在するとインシデントの全体像を把握できません。加えて、使いやすさ、カスタマイズ性、モバイル対応、ベンダーサポート体制を評価します。
自動化で削減できる工数
自動化の対象と効果の例を整理します。アラートの自動チケット化(検知→記録の工数をゼロに)、キーワードベースの自動分類・自動割り当て(分類の工数を削減)、SLOタイマーによる自動エスカレーション(エスカレーション漏れの防止)、Runbook自動実行(定型対応の所要時間を短縮)です。自動化は段階的に導入し、各ステップの効果を検証しながら進めましょう。
運用データの統合がカギ
監視ツール、チケットシステム、ログ基盤、変更管理ツールなど、異なるシステムのデータを統合することで、インシデントの傾向分析・根本原因の特定・再発防止策の立案を一気通貫で行えるようになります。特にDevOps・SREチームにとって、データの統合はMTTR短縮とシステム安定性向上の最大のレバレッジポイントです。
組織体制とチーム編成
どんなに優れたプロセスやツールがあっても、適切な組織体制がなければ機能しません。
役割と責任の定義
サービスデスク(L1:受付・初期対応)、専門技術チーム(L2:障害調査・対応)、アーキテクト/ベンダー(L3:設計レベルの対応)、インシデントマネージャー(全体調整・コミュニケーション)、問題管理チーム(根本原因分析・恒久対策)の各役割の責任範囲を明文化し、RACIマトリックスで可視化します。
オンコール体制の設計
24/7サービスでは、オンコールローテーション、エスカレーションルート、緊急連絡先を明確に定義します。PagerDutyやOpsgenieのスケジュール機能を活用し、担当者の負担を均等に分散させましょう。連続オンコールは最大でも1週間とし、十分な休息と適切な補償を提供することが持続可能な体制の条件です。
スキル開発とシミュレーション訓練
四半期ごとにGame Day(障害シミュレーション訓練)を実施し、実際のP1対応フローを演習します。Netflix発祥のChaos Engineeringの考え方を取り入れ、意図的に障害を注入してシステムと組織の耐性をテストするアプローチも効果的です。
測定と継続的改善
測定できないものは改善できません。適切なKPIを設定し、定期的にレビューすることで組織のインシデント対応能力を継続的に向上させます。
主要KPIの定義と目標値
KPI | 定義 | 測定方法 | 改善目安 |
|---|---|---|---|
MTTD | 検知までの平均時間 | アラート発報時刻 - 障害発生時刻 | 5分以内(自動監視) |
MTTA | 確認までの平均時間 | 担当者応答時刻 - アラート発報時刻 | P1: 15分以内 |
MTTR | 解決までの平均時間 | 解決時刻 - インシデント記録時刻 | P1: 4時間以内 |
SLO達成率 | SLO内解決の割合 | SLO内解決件数 / 全件数 × 100 | 95%以上 |
再発率 | 同一原因の再発割合 | 再発件数 / 全件数 × 100 | 5%以下 |
FCR | 初回解決率 | エスカレーション不要件数 / 全件数 × 100 | 70%以上 |
ベンチマーキング
DORA(DevOps Research and Assessment)の4つの指標(デプロイ頻度、変更リードタイム、変更失敗率、MTTR)を活用し、業界水準との比較を行います。ただし、組織規模やインフラの複雑さが異なるため、単純な数値比較ではなく、自組織の改善トレンドを重視しましょう。
PDCAサイクルの実践
月次でKPIをレビューし、改善アクションを立案(Plan)→ 実行(Do)→ 効果測定(Check)→ 次の改善へ反映(Act)のサイクルを回します。改善アクションは「Runbook追加3件」「アラート閾値見直し2件」のように具体的かつ計測可能な形で設定し、進捗を追跡します。
まとめ:効果的なインシデントマネジメントフローの実現に向けて
インシデントマネジメントフローの構築は一度で完成するものではありません。検知→記録→分類→優先順位付け→対応→解決→クローズの7ステップを確実に実行し、ポストモーテムとトレンド分析の結果をプロセスに反映し続けることが重要です。
特に現代の複雑なITインフラでは、散在する運用データの統合が最大の課題です。監視・チケット・ログ・変更管理のデータを横断的に分析できる基盤があれば、MTTRの短縮、再発率の低減、チームの負荷軽減を同時に実現できます。
インシデントマネジメントは単なる問題対応ではなく、組織の学習と成長の機会です。各インシデントから得られた知見を蓄積し、予防策を実施することで、より安定したITサービスを提供できるようになります。
散在する運用データを統合し、インシデント対応を劇的に効率化しませんか?
インシデントレイクは、監視ツール・チケットシステム・ログ基盤からのデータを統合するインシデント・インテリジェンスレイヤーです。本記事で紹介した「運用データの統合」を実現し、検知から解決までの意思決定を加速します。MTTRの短縮、アラートノイズの削減、トレンド分析の自動化に課題を感じている方は、ぜひインシデントレイクをご検討ください。
サービスサイト
この記事の著者
代表取締役社長CEO
金築 敬晃
熊本大学卒業後、新卒で株式会社マネーフォワードに入社。ベトナム拠点への出向を含め、海外を含む開発現場でマネジメントや開発に従事。2022年に株式会社プレイドに入社し、Platform Engineeringを担当。大規模分散データシステムの開発に携わる。2024年に株式会社SIGQを設立。現在は経営の傍ら、筑波大学大学院においてデータベースの研究に従事。
この記事をシェア
お役立ち記事一覧
