Complex Incidents
やがて、あなたにも多くのリソースに影響が広がるインシデント(あるいは同時多発インシデント)に関わるときが訪れるでしょう。そのような場合に備えて、関係者を効果的なコントロール範囲に置くことが大切です。このページでは、そのようなインシデントをマネジメントする方法を紹介します。
複雑なインシデントの特定#
複雑なインシデントにおいては、おそらく同時に複数の問題が発生しているか、既存のインシデントがエスカレートして他のサービスへ影響が波及した状況が発生しているでしょう。このようなインシデントをできるだけ早く特定し、混乱と疲弊を防ぐことが重要です。以下に、インシデントコマンダーが複雑なインシデントを特定する際に意識するであろう重要な点をいくつか挙げます:
-
複数のチームが関わっているか。
- 彼らの大半が複数の問題に現在進行形で取り組んでいるか?
-
複数の症状が見られるが、互いに明確な関係性がなさそうであるか。
-
何人かのSMEのグループが全員同じ分析に取り組んでいるか。
-
インシデント会議が「混み合っている」か。ある種これは曖昧な指標ですが、あまりに多くの対応者が会議に参加していると、たいていの人たちが感じるものです。
サブチーム#
複雑なインシデントの発生を特定したら、インシデントコマンダーは個々の問題に取り組むサブチームを編成します。私たちは3つのサブチームを事前定義しており、インシデントコマンダーはAlpha、Bravo、Charlieのいずれかのチームへあなたをアサインするでしょう。各チームは、いつでも使える自分たちのSlackルームとカンファレンス通話ブリッジを持っています。
チーム名
私たちはチームにアルファベット順の名称を用いています。「Redチーム」「Blueチーム」のような名称を用いなかったのは、セキュリティインシデント対応においてこれらを使った別の定義があり、混同を防ぎたかったためです。
| Alphaチーム | #team-alpha | +1.555.123.4567 |
| Bravoチーム | #team-bravo | +1.555.123.4568 |
| Charlieチーム | #team-charlie | +1.555.123.4569 |
これらの3チームは、必ずしも常に同時にアクティブである必要はありません。インシデントによっては、1チームだけで十分であったり、あるいは3チームよりももっと多くのチームが必要なケースもあります。チームリーダーが選出され、インシデントコマンダーによって特定のチームにアサインされます。
ロール構造#
私たちのインシデント対応のロール構造において、サブチームの位置付けはどのようになるのでしょうか? チームリーダーは、実質的に通常のロール構造におけるSMEに置き換わり、SMEはチームリーダーに報告するようになります。これにより、インシデントコマンダーとチームリーダーは効果的なコントロール範囲を維持することができます。
サブチームの編成#
-
インシデントコマンダーは、自分へ報告することになる各チームのリーダーをアサインします。他のすべてのチームメンバーは、チームリーダーに報告することになります。
- チームリーダーをアサインするときは、インシデントコマンダーはチームネームも指定します。(Alpha、Bravo、Charlieなど)
- チームリーダーはインシデントコマンダーとして育成されている必要はありませんが、ある程度のリーダーシップ経験が求められます
-
各チームは遂行すべき特定のタスクを与えられ、個人の対応者と同様に時間枠が与えられます。
チームをどのように分けるかはインシデントコマンダーの裁量に委ねられます。たとえば以下のような構造が考えられるでしょう:
- 1グループにつき1つの問題全体に取り組めるような、機能横断的なグループ構成。
- 大きな問題に内在する個別の要素に対して注力できるような、SMEのグループ。
- 普段と同じロールに基づくチーム。
サブチームの切り替え#
自分には他のサブチームがふさわしいと思った場合、現在のチームリーダーに相談しましょう。インシデントコマンダーや、あなたが行きたいチームのリーダーへ相談するのは避けてください。インシデント発生中である以上、定められたエスカレーションパスに従わなければなりません。