を14日間無料で試してみる
を14日間700以上ものツールと連携。システム障害を自動的に検出・診断するだけでなく、適切な障害対応メンバーをアサインし、デジタル業務全体の修復ワークフローを自動化します。
2つのDORAを知ってる?
〜インシデント対応と関係深い2つの重要単語解説!〜
「DORA」という言葉を聞くと、多くの方が「DevOps Research and Assessment」を思い浮かべるのではないでしょうか。この言葉は、各単語の頭文字をとって「DORA」と呼ばれ、ソフトウェア開発や運用プロセスの評価・改善に焦点を当てた研究チームを指します。DevOpsを導入して強化する際には、この研究チームが定義した指標である、DORAメトリクスを参照することが一般的です。
一方で、2025年初頭にEUで施行するデジタル規制「デジタル・オペレーショナル・レジリエンス・アクト(Digital Operational Resilience Act)」も通称「DORA」と呼ばれ、近年注目を集めています。この規制はEUの金融サービスに適用され、金融業界の企業・団体のデジタルトランスフォーメーションと改革を後押ししています。
本記事では、この2つの異なるDORAがどのように関連しているか、そしてPagerDutyがどのような役割を果たしているかについて解説します。
目次
1つめのDORA「DORAメトリクス」とは
まずは1つめのDORAとして、ソフトウェア開発や運用プロセスの評価・改善に焦点を当てた研究チーム(DevOps Research and Assessment)が定義した指標「DORAメトリクス」について解説します。
DORAメトリクスとは、DevOpsの実践におけるソフトウェア開発・運用のパフォーマンスを測定するための、4つの指標を指します。
4つの指標については以下の通りです。
- デプロイ頻度:新機能や修正を開発してから、実際にサーバーへ適用する頻度
デプロイが頻繁に行なわれるほど、新しい機能や修正が迅速に顧客へ届けられ、市場の変化に素早く対応できます。 - リードタイム:開発した機能を顧客に提供するまでの時間を測定
リードタイムが短いほど、変更が素早く適用され、開発の効率が良いことを意味します。 - 平均修復時間(MTTR):インシデントや障害が発生した際の、問題を解決するまでの平均時間
MTTRが短いと、問題発生時に素早く対処できることを示します。つまり、システムやサービスの信頼性が高いということです。 - 変更失敗頻度:新機能や修正を導入した際の失敗率を測定
低い失敗率はデプロイの品質の高さと、リスク管理下で新しい変更をスムーズに導入できる環境を示します。
上記の重要なメトリクスを理解することで、改善できる要素が明確になります。
DORAメトリクスは開発から運用に至るまでのプロセス全体の透明性を高めるため、問題がどこで発生しているか、どの部分が改善を必要としているかを正確に把握できます。
DORAメトリクスが重要となるケース
次にDORAメトリクスが重要となるケースは、以下のような場合です。
- 開発プロセスの効率性を評価・改善したいとき
DORAメトリクスを基準に、開発チームが作業プロセスを見直し、効率的な開発サイクルを目指します。
デプロイの頻度やリードタイムの測定により、改善が必要な部分を具体的に把握できます。 - ソフトウェアの品質を向上させたいとき
ソフトウェアの品質を保つために、システム変更による失敗率やサービスの復旧時間などの指標を参考にします。
そして、リリースの品質を継続的にチェックし、問題が発生した際の対応策を考えます。 - DevOpsの導入または強化を図りたいとき
企業がDevOpsの導入や強化をする際には、DORAメトリクスを活用して導入状況や効果を測定できます。
具体的な数値を用いて、開発と運用の協調を促進し、組織全体のパフォーマンスを向上させます。 - 競争力のある市場で迅速に対応したいとき
競争の激しい市場では、絶えず変化する消費者のニーズに迅速に対応する能力が企業の成功に大きく影響します。
DORAメトリクスのデプロイ頻度やリードタイムを用いて、新しい機能やアップデートをどれだけ早く市場に投入できるかを測定し、開発プロセスの迅速性と効率性を可視化します。
DORAメトリクスや関連調査結果について詳細に解説する「DORAの年次レポート」に目を通すと、PagerDutyが企業のデジタル成熟度を向上する上で、重要な役割を果たすことが理解することが可能です。そして、デリバリー速度と運用効率の両立に欠かせない要素が従業員の幸福度と健全な職場カルチャーです。
従業員の燃え尽き症候群に関する詳細なレポートを読むと、繰り返し頻度の高い作業を行なうスタッフがこの状態に陥りやすいことがわかります。PagerDutyのAIOpsおよび自動化機能は、インシデント管理に特化して開発されており、MTTRの改善とトイルの削減に貢献します。この機能により、重要なインシデントを迅速に検出し、適切なスタッフにオンコール対応を割り当てられるでしょう。
つまり、インシデント対応、修復、繰り返される作業といったタスクを最大限自動化することで、チームの効率が向上します。
業務を公平に分配し、技術チームの対応時間を削減すると、メンバーは本来のデリバリーや運用、修復といった業務に集中できるでしょう。その結果、メンバーの士気と職場カルチャーが改善されるかもしれません。PagerDuty Operations Cloudの利用により、競合他社との明確な差別化が実現できるでしょう。
2つめのDORA「デジタル・オペレーショナル・レジリエンス・アクト(Digital Operational Resilience Act)」とは
2つめの「DORA」である「デジタル・オペレーショナル・レジリエンス・アクト(Digital Operational Resilience Act)」は、EUで提案された新しい規制で、金融サービス業界のデジタルレジリエンスの強化を目的としています。
この規制により、金融機関とサービスプロバイダは、サイバー攻撃・システム障害・データ損失といったリスクが発生した際に影響を最小限に抑え、迅速に通常業務に復帰するための対策が求められます。
近年、サイバーセキュリティの脅威や技術的障害、データ侵害が増加しているため、金融機関だけでなくそのサービスプロバイダーを含めた全体的なレジリエンスの強化が不可欠です。
具体的には、以下のような対応が求められます。
- ICTリスク管理
情報通信技術(ICT)に関連するリスクを特定し、それに対応するプロセスです。
サイバー攻撃のリスクを減らすために、強固なファイアウォールや最新のウイルス対策ソフトウェアを導入し、スタッフに対する定期的なセキュリティ研修を行ないます。
これらの措置を講じることで、不正アクセスやデータ漏洩などのリスクを軽減できるでしょう。 - ICTインシデント管理
情報通信技術(ICT)関連の問題発生に備えて事前に対応計画を準備し、インシデント発生時に迅速な対応ができるよう体制を整えます。
例えば、サーバーがダウンした場合には、速やかにバックアップシステムに切り替える措置が挙げられます。
また、インシデントの詳細を記録し、今後の対策のための教訓とすることが重要です。 - デジタル・オペレーショナル・レジリエンスの検証
企業がサイバー攻撃などのデジタルリスクに、どれだけ耐性を持っているかどうかの検証です。
例えば、模擬的なサイバー攻撃を実施して防御システムの弱点を発見し、それを改善します。
このような模擬訓練を実施することで、実際の攻撃があった際には、システムが安定して機能するでしょう。 - サードパーティ管理
外部の業者やサービスプロバイダーとの契約内容、連携方法を把握し、適切に管理することで安全性・信頼性を確保します。
例えば、データ処理を外部企業に委託する場合には、その企業のセキュリティ基準やコンプライアンスが、自社の基準に合致しているかを確認します。 - 情報共有
セキュリティなどに関連する情報を組織内外で共有し、全体のセキュリティレベルの向上を図ります。その際に共有する情報には、セキュリティの最新情報や対策方法、効果があった防御策の事例などが含まれます。
また、他の企業が経験したインシデントの詳細な共有により、同様の攻撃から組織を守るための対策を講じることが可能です。
デジタル・オペレーショナル・レジリエンス・アクト(Digital Operational Resilience Act)の必要性
金融業界に従事する方や金融業界に顧客を持つ方は、EUのデジタル・オペレーショナル・レジリエンス・アクトについて、すでに耳にされているかと思います。また、イギリスでは、Financial Conduct Authority(FCA)ポリシー声明PS21/3およびPrudential Regulation Authority(PRA)ポリシー声明PS6/21が2023年と2022年にそれぞれ施行されています。
これを受けて金融サービス企業は、デジタルトランスフォーメーションによる自社のリスクについて詳細な調査が必要になります。つまり、金融サービス企業はオペレーショナル・レジリエンスを強化し、金融部門全体のレジリエンスを改善する一方で、消費者保護と市場の一体性の維持を実現することを求められるでしょう。英国金融行為規制機構(FCA)は、オペレーショナル・レジリエンスを「企業、金融市場仲介者(FMIs)、金融部門全体が持つべき運用障害に関する防止、順応、対応、復旧、学習などの能力」と定義しています。
当然ながら金融サービス企業は、すでにこれらの対策の準備を始めています。
オペレーショナル・レジリエンスの実現が、ビジネス価値の継続的提供の実現や、市場での優位性および信頼の確立につながるためです。レジリエンス・有用性・信頼性は、企業収益に大きく影響するでしょう。
また、システムに障害が発生した際には、どのサービスが利用者に「重大な損害」を与えうるかを特定する必要があります。銀行サービスの利用者がモバイルアプリを通じて預金残高を確認できる機能や、証券会社の顧客が市場の動向に基づいて取引を行なうサービスがその例です。金融サービス企業は、重要なサービスを定期的にチェックし、環境や市場に大きな変化があった場合には再度評価する必要があります。
そして、企業が次にやるべきことは、提供しているサービスがどれだけのトラブルに耐えられ、どれくらいの時間で元通りにできるかという、インパクト耐性の調査です。インパクト耐性は少なくとも年に1回、実際にテストする必要があります。また、問題が発生した際に迅速にサービスを復旧する手順の決定も必要です。具体的には、問題の性質・範囲・持続時間・重大性を報告するインシデント管理プロセスが挙げられます。
こうして、金融サービス企業はデジタルリスクがもたらすビジネス障害に備えます。そして、リスク管理の枠組みを作成する際は、リスクへどのように対応し、設定された時間内にどうサービスを復旧させるかを定め、リスク耐性を明確化しなくてはいけません。EU加盟国では2025年1月17日からDORAが、イギリスでは2025年3月31日から新たな条例が、それぞれ施行されます。金融市場はグローバルに連携しており、EUやイギリスの法律・規制が世界中の金融市場に影響を及ぼす可能性があります。
日本の金融サービスやその顧客も国際的な取引を行なっているため、これらの規制変更を理解し、適切に対応しなくてはいけません。たとえ日本の会社であっても、EUにオフィスを持つ金融機関や、EUの金融機関にサービスを提供しているプロバイダーは対象となり、2025年初頭までに準拠する必要があります。
そして、金融サービス企業のオペレーショナル・レジリエンスの枠組みと対応策において、重要な役割を果たすのがPagerDutyです。
オペレーショナル・レジリエンスを備えたPagerDuty Operations Cloudは、あらゆる金融サービス企業にとって、リスクを認知・対応し、サービスを復旧させるための強力なツールになります。
PagerDuty Service Graphのアナリティクスとレポート機能は、インシデント対応中にとったアクションを時系列に整理して、レポートを作成する上で役立ちます。さらに、AIOpsと自動化は、サービス停止のリスクを回避し、その影響を最小限に抑えつつ、サービス復旧時間を短縮するために欠かせない機能です。
まとめ:2つのDORAを理解してPagerDutyを有効活用しよう
「DORA」と聞くと、開発プロセスの評価と改善に焦点を当てた「DevOps Research and Assessment」を思い浮かべるかもしれませんが、金融業界では「Digital Operational Resilience Act」、つまりデジタル・オペレーショナル・レジリエンス・アクトのことを指すケースもあります。2つの異なるDORAは、それぞれに大切な役割を持っているため、ITエンジニアはこれらの違いを理解することが必要です。
PagerDutyはインシデント発生時に迅速な対応を支援するツールです。そして、DevOpsの環境では開発サイクルをスムーズに進行させ、金融サービスにおいては規制の要件に沿った迅速なインシデント対応を可能にします。
特に、インシデントの自動化と通知システムは、重要なシステムやネットワークを守るために必須のツールです。PagerDutyを使いこなして、信頼性の高いIT環境を構築できれば、企業や顧客に大きなメリットを提供できるでしょう。
参考記事:
- Strengthen Your DORA Metrics with PagerDuty
- DevOps Research and Assessment DORA
- EU DORA
- FCA PS21/3, Building Operational Resilience
この記事が気になったら
PageDuty公式アカウントをフォロー
この記事の著者
関連ブログ記事
人気記事
検索
タグ目次
