第5章:インシデント運用(Severity/役割/タイムライン)
この章で学ぶこと
- Severity(影響度)で対応の優先順位を決める
- 役割(IC等)を明確にし、意思決定を速くする
- タイムライン運用で状況を共有する
成果物(または判断基準)
本文
運用が不十分だと、技術対応が適切でも復旧が遅延する。役割と共有頻度をあらかじめ定める。
注: IC は調査に入り過ぎず、意思決定と調整(優先順位/共有/エスカレーション)に専念する。
最小の役割
- IC(指揮): 優先順位と判断
- 調査担当: 原因候補の検証
- 連絡担当: 関係者への共有
- 記録係: タイムライン、判断理由、実施内容の記録
Severity は“誰にどの程度影響しているか”を軸に判断する。 Severity(P0/P1/P2/P3)の最小定義は、付録のチェックリスト集を参照。 判断に迷う場合は、付録のこれはインシデントか?を使い、暫定 Severity で扱う。
Severityの分類例(最小)
| 事象(例) | 影響(例) | 暫定Severity(例) | 初動(例) |
|---|---|---|---|
| ログイン不可 | ほぼ全ユーザー | P0 | 直ちに対応、関係者招集、更新頻度を上げる |
| 決済 API の 5xx 増加 | 一部顧客、失敗率 6% | P1 | 優先対応、迂回策/ロールバック判断、状況共有を固定 |
| 管理画面の不具合 | 運用担当のみ、回避策あり | P2 | 予定化、恒久対策の計画 |
| 表示崩れ | 影響が軽微 | P3 | バックログ化して定期見直し |
タイムラインの最小テンプレ(抜粋)
| 時刻(タイムゾーン付き推奨) | 事象 | 判断 | 実施 | 結果 |
|---|---|---|---|---|
| 2026-02-24T10:12:00+09:00 | 検知 |
NIST SP 800-61r2 との対応(概要)
NIST の代表的なプロセス(Preparation / Detection & Analysis / Containment, Eradication & Recovery / Post-Incident Activity)と、本書の章・テンプレの対応を示す。
| NISTフェーズ(要約) | 本書の対応 | 主に使うテンプレ |
|---|---|---|
| Preparation(事前準備) | (本書の範囲外)体制整備/訓練/ツール整備など(付録は補助) | (必要に応じて)チェックリスト集、テンプレ整備 |
| Detection & Analysis(検知/分析) | 第1〜4章(調査の型)、第5章(Severity/役割)、第6章(連絡/エスカレーション) | インシデント記録、タイムライン、状況共有 |
| Containment, Eradication & Recovery(封じ込め/駆除/復旧) | 第4章(安全な検証)、第7章(復旧/ロールバック判断) | 状況共有、エスカレーション、タイムライン |
| Post-Incident Activity(再発防止) | 第8章(ポストモーテム) | ポストモーテム |
具体例(場当たり→再現性)
悪い例(場当たり)
全員が同時に調査し、連絡がない
誰が判断するか不明
タイムラインがない
良い例(再現性)
IC を置き、調査/連絡を分担
Severity: 影響 8%(例)→高(復旧優先)
タイムラインを更新し、関係者に 15 分ごと共有
チェックリスト
- IC等の役割が決まっている
- Severityが説明できる
- タイムラインが更新されている
まとめ
- Severity により優先度と共有頻度(更新サイクル)を決める
- IC/調査/連絡など最小役割を割り当て、意思決定経路を固定する
- インシデント記録とタイムラインを一次情報として運用する
次章への接続
- 次章: 第6章