複雑なインシデント

多くのリソースにまたがった、インシデント(または同時多発的な複数インシデント)に出くわす時が来るでしょう。 このような場合には、全員が効果的に管理範囲を守ることが重要です。 このページでは、このようなインシデントにどう対処するかを説明します。

複雑なインシデントを特定する#

おそらく、同時に複数の問題が発生するか、すでに発生したインシデントが連鎖的に他のサービスに影響を与えることがあるでしょう。 混乱や疲れ果てる事がないように、これらの種類のインシデントを特定するのは重要です。 ここでは複雑なインシデントの特定に役立つ、インシデントコマンダーが注意すべきいくつかの点を紹介します。

  1. 複数のチームが関係していますか?

    • それらのチームは複数の問題を調査していますか?
  2. 複数の症状があり、明らかな相関関係がなさそうですか?

  3. SMEのグループが同じ分析に取り組んでいます。

  4. インシデントの通話が「混雑」しています。これは曖昧な指標ですが、通話に参加している人が多いとそう感じるでしょう。

サブチーム#

複雑なインシデントが発生していると判明した場合、インシデントコマンダーはそれぞれ独立した問題に対応する、サブチームを作るべきです。 私たちにはインシデントコマンダーが割り当てる、3つのサブチーム、Alpha、Bravo、Charlieが予め用意されています。 各チームはそれぞれのSlackルームとWeb会議室が設定されており、いつでもそれを利用できる状況です。

チーム名

私たちはチーム名に無線用のアルファベットを用いました。 「Red Team」「Blue Team」という名前はセキュリティインシデント対応で別の意味を持つため採用しません。 混乱を避けるためです。

Alpha Team #team-alpha +1.555.123.4567
Bravo Team #team-bravo +1.555.123.4568
Charlie Team #team-charlie +1.555.123.4569

3つのサブチーム全てが同時に活動する必要あ張りません。 インシデントに応じて、1チームだけでも良いですし、必要ならば3チームを超えても構いません。 インシデントコマンダーによってチームリーダーが選ばれてそれぞれのチームに割り当てられます。

役割構造#

サブチームは私たちのインシデント対応の役割構造に、どう適合するのでしょうか? 通常は、内容領域専門家がチームリーダーとなり、それぞれの内容領域専門家のメンバーはチームリーダーに報告します。 この構造は、インシデントコマンダーとチームリーダーが、それぞれの管理範囲を維持できます。

Incident Response Structure for Complex Incidents

サブチームを作る#

  1. インシデントコマンダーは、直接報告してもらうチームリーダーを割り当てます。他のチームメンバーからの報告は、チームメンバーを経由します。

    • チームリーダーを割り当てるとき、インシデントコマンダーはどのチームに属するかを指定します。
    • チームリーダーにはインシデントコマンダーとしてのトレーニングは必要ありませんが、リーダー経験があると望ましいです
  2. それぞれのチームには特定のタスクが割り当てられ、通常のインシデント対応と同じようにタイムボックスが設けられます。

チームをどのように分割するかは、インシデントコマンダーの裁量に委ねられます。 可能性のある構成は以下のとおりです。

  • それぞれのグループが問題全体を対応する、機能横断型グループ
  • 大きな問題の特定の1要素に焦点を当てた、内容領域専門家のグループ
  • 通常の日々の役割に基づくチーム

サブチームの切り替え#

もし他のサブチームの方が適していると感じた場合には、今のチームリーダーに相談してください。 インシデントコマンダーや参加したいチームリーダーに話を持ち込まないでください。 インシデントは現在も進行中で、引き続きエスカレーションパスに従う必要があります。