インシデント対応で「判断が止まらない」ようにする——事前に決めておく3つのこと
この記事が想定する読者:インシデント対応で「誰が何を決めるか」が曖昧で、事故時に判断が止まりがちな担当者。
判断を誤るとどうなるか:事故が起きてから初動担当や止める基準を探すと、議論で時間が消え、初動が遅れ記録も残らない。先に「誰が初動を取るか」「どこで止めるか」「何を記録するか」の3つを言葉にしておくと失敗しにくい。
事故が起きたあとで「誰が何を決めるか」を探していると、判断が止まる
情報漏洩や障害が起きたとき、何をすべきかは多くの場合、あとから調べられます。
止まるのは、誰が何を決めるかが決まっていないときです。
「インシデント対応マニュアルを作れ」と言われても、何を書けばいいか迷う——その原因の多くは、判断の置きどころが揃っていないことです。
この記事では、事前に決めておく3つのことを、First byte の「前提設計」「運用の軸」とつなげて整理します。
なぜ「判断が止まる」か
事故が起きると、
- 「誰に連絡すればいいか」が分からない
- 「サービスを止めていいか」をその場で議論し始める
- 「何を記録すべきか」が曖昧で、あとから振り返れない
といった状態になりがちです。
いずれも、事前に決めていれば、実行に集中できることです。
First byte では、判断を渡すために「前提を揃える」ことを重視します。
インシデント対応では、「誰が・どこで・何を」を、事故が起きる前に言葉にしておくことが、判断が止まらない前提になります。
事前に決めておく3つ
1. 誰が初動を取るか(担当と連絡経路)
「最初に動く人」と「そこにどう連絡するか」を決めておきます。
- 発見者が誰に連絡するか(1人でも、窓口1つにしてもよい)
- その人が不在のとき、代わりは誰か
- 連絡手段(メール・チャット・電話)と、読まれたかどうかをどう確認するか
「とりあえずみんなに連絡」では、誰が判断するかが曖昧になります。
初動担当を1人(または窓口1つ)に決め、連絡経路を書いておくと、「誰が動くか」で止まらなくなります。
2. どこで止めるか(遮断・公開停止の基準)
「どこまでいったら、サービスを止める・止めないを判断するか」を決めておきます。
- 疑わしい段階で止めるか、確実に異常だと分かってからか
- 止める判断をする人と、実行する人を分けるか
- 「止めていい」と言える条件(例:〇〇が確認されたら、担当者が止めてよい)
「様子を見よう」が続くと、被害が広がることがあります。
逆に「とにかく止める」だけだと、止めたあとの判断がまた止まります。
「どこで止めるか」の基準を1行で書いておくと、初動の人が判断しやすくなります。
3. 何を記録するか(時刻・判断・根拠)
「事故のあとで振り返るとき、何が分かればよいか」を決めておきます。
- いつ・誰が・何に気づいたか
- いつ・誰が・何を判断したか(止めた・止めない・連絡した など)
- その判断の根拠(何を見て決めたか)
記録が残らないと、同じ判断を次も再現できないし、なぜそうしたかの説明もできません。
「何を記録するか」を事前にリストにしておくと、落ち着かないときでも抜けが減ります。
これは、セキュリティを入口・手続き・運用の3軸で切ったときの運用の軸——「記録・検知・改善が回っているか」——にそのまま対応します。
インシデント対応の記録は、運用を回すための材料です。
失敗像:何も決めていないとどうなるか
First byte では、判断を扱うとき失敗像も一緒に置きます。
- 「誰が初動か」を決めていない
→ 発見後に「誰に言えばいい?」となり、初動が遅れる。取引先や顧客への連絡も遅れる。
- 「どこで止めるか」を決めていない
→ 「止めていいか」の議論が長引き、被害が広がる。あるいは止めたあと「誰が復旧を決めるか」も曖昧になる。
- 「何を記録するか」を決めていない
→ あとから「なぜあの判断をしたか」が説明できず、同じ失敗を繰り返す。規制対応や報告でも困る。
逆に、3つを事前に言葉にしておくと、
- 初動の人が「自分が動く」と分かる
- 止める判断の基準があるので、議論で止まりにくい
- 記録が残るので、振り返りと改善の材料になる
「マニュアルが分厚いのに動けない」より、薄くても「誰が・どこで・何を」が書いてあるほうが、判断は止まりません。
1単位の判断に切る
「インシデント対応を整える」を一塊で考えないようにします。
- 今期、1つ決めるなら、例えば「初動担当と連絡経路を1ページに書く」だけでもよい
- その次に「止める基準を1行で書く」
- その次に「記録する項目を5つに絞る」
1つずつ期限と担当を置ける大きさに切ると、判断可能になります。
セキュリティを「判断の切り口」で整理するで扱った「1単位の判断」と同じ考え方です。判断の土台として押さえておくこと
- 事前に3つを決める:誰が初動を取るか(担当・連絡経路)、どこで止めるか(遮断・公開停止の基準)、何を記録するか(時刻・判断・根拠)。
- 手順の前に「誰が・どこで・何を」を書く:マニュアルは手順の羅列になりがち。判断の置きどころを揃えたうえで手順を書くと止まりにくい。
- 1単位ずつ増やす:今期は「初動担当と連絡経路を1ページに」だけでもよい。次に止める基準、記録項目と段階的に揃える。
次の一手:セキュリティを判断の切り口で整理する/技術者向け:判断の単位を揃える/前提設計の基礎
次に読む(学習パス)
- セキュリティを判断の軸で整理する(読み方・記事一覧):セキュリティ関連の記事・ツールの入口
- セキュリティを「判断の切り口」で整理する:入口・手続き・運用の3軸と運用の「記録」
- 専門用語ゼロでわかる:Webの安全は「カギ」じゃなく「手続き」で決まる:3つの穴と手続きの考え方
- 技術者向け:セキュリティは「実装」の前に「判断の単位」を揃える:ログ・権限・復旧の単位
- 前提設計:成果を出す前に、判断を壊さない"土台"を作る:判断の順番を揃える
- セキュリティ棚卸し&優先順位:運用を含む優先順位の棚卸し