RTO(アールティーオー)とは | 意味や読み方など丁寧でわかりやすい用語解説

RTOとは、Recovery Time Objectiveの略で、日本語では「目標復旧時間」と訳される。これは、システムが停止するような障害が発生した際、事業が許容できる最大の停止時間を指す指標だ。つまり、障害発生から、システムやサービスが正常な状態に復旧するまでの目標時間を事前に定めておくことを意味する。RTOは、企業が事業を継続していく上で不可欠な要素であり、特にシステムに依存する現代社会において、ビジネスへの影響を最小限に抑えるための重要な計画指標となる。

詳細に移ると、RTOは単にシステムが「起動した」状態を指すわけではない。重要なのは、そのシステムが提供するビジネス機能が「正常に再開できる」状態までを指す点だ。例えば、オンラインストアであれば、顧客が商品を見て注文できる状態、銀行システムであれば、顧客が取引を行える状態、といった具体的な業務プロセスが滞りなく実行できるレベルまで復旧することを意味する。この「復旧」の定義は、システムの特性やそれが担う業務の重要性によって細かく定められる必要がある。

RTOを設定するプロセスは、事業継続計画（BCP）や災害復旧計画（DRP）の中核をなす。まず、ビジネスインパクト分析（BIA）を実施し、システムが停止した場合にどのような業務上の損失が発生するかを評価する。例えば、1時間の停止でどれだけの売上機会損失が発生するか、企業の信用にどれだけの影響が出るかなどを具体的に算出する。この分析結果に基づいて、各システムや業務プロセスにとって最適なRTOを決定するのだ。基幹システムや決済システムなど、停止が許されないシステムではRTOを数分から数時間と非常に短く設定する必要がある一方、情報公開サイトのように緊急性の低いシステムでは、RTOを数日と長く設定できる場合もある。

設定されたRTOを達成するためには、適切な技術的戦略が不可欠となる。例えば、システムの停止時間を短縮するには、データのバックアップと迅速なリストア計画が基本となる。さらに、サーバーやネットワーク機器、ストレージなどのコンポーネントを多重化（冗長化）し、一部に障害が発生してもシステム全体が停止しないようにする冗長構成を採用することが一般的だ。データベースのレプリケーション（複製）技術を用いることで、本番環境のデータがリアルタイムまたはほぼリアルタイムで別の場所に複製され、障害発生時には複製先のデータベースに切り替えることで復旧時間を大幅に短縮できる。

より短いRTOが求められる場合は、アクティブ-スタンバイ構成やアクティブ-アクティブ構成といったクラスタリング技術や、自動フェイルオーバー機能を備えたシステムが導入される。これにより、障害を検知した際に自動的に予備のシステムに切り替わり、人間が介入することなく復旧プロセスが開始されるため、RTOを数分、場合によっては数秒まで短縮することが可能となる。また、地理的に離れた場所に災害対策サイト（DRサイト）を構築し、大規模災害時にも事業継続を可能にする対策も、RTO達成のための重要な戦略の一つだ。

しかし、これらの技術を導入するには相応のコストがかかるため、RTOの設定はコストとリスクのバランスを考慮して行われる必要がある。短いRTOは高い復旧能力を意味するが、それに伴う初期投資や運用コストも高くなる傾向がある。そのため、企業は自社の予算と、各業務が許容できるダウンタイムのバランスを見極めてRTOを設定しなければならない。

設定したRTOが実際に達成可能かどうかは、定期的なテストを通じて検証することが極めて重要だ。実際に障害を想定した復旧訓練を行うことで、計画の不備やボトルネックを発見し、改善することができる。テストせずにRTOを設定するだけでは、いざという時に機能しない「絵に描いた餅」になりかねない。

RTOと密接に関連するもう一つの指標に、RPO（Recovery Point Objective：目標復旧地点）がある。RPOは、システム障害が発生した際に、どの時点までのデータが失われることを許容できるかを示す指標だ。RRTOが「時間」に関する目標であるのに対し、RPOは「データ」に関する目標と言える。たとえば、RPOが1時間であれば、最大で1時間分のデータ損失は許容するという意味になる。RTOとRPOは常にセットで考慮され、両者をバランス良く設定することで、システムの障害発生時に事業への影響を最小限に抑えるための包括的な計画が策定される。短いRTOと短いRPOは、一般的に高度なシステム構成と高い運用コストを要求するが、それによって得られる事業継続性は企業の競争力に直結する重要な要素となるのだ。