インシデントコマンダーの役割：職務とベストプラクティス

ある日突然、大規模停電、サイバー攻撃、あるいは自然災害など、深刻なインシデントが企業を襲ったとしたら、どうすればよいでしょうか？被害を最小限に抑え、できるだけ早く通常業務に戻らなければなりません。 

しかし、こうしたインシデントを収束させる方法がわからない場合は、どうしたらよいでしょう？

この役割を担うのがインシデントコマンダーです。

彼らは、重大なインシデントへの対応を主導する訓練を受けた専門家です。状況を素早く評価し、対応策を調整し、緊迫した状況でも重大な決断を下すためのスキルと経験を備えています。

インシデントコマンダーとは？ 

インシデントコマンダー(IC)は、インシデント対応に関するすべてを管理する責任者です。状況の把握から、事態を収めるための対応策の決定まで、その職責は多岐にわたります。

重大なインシデントが発生すると、インシデントコマンダーは次のように対応します。

1. インシデント対応の目標を決定する。
2. 問題に対処するための指揮計画を作る。
3. 状況を注視しながら、必要に応じて調整する。

当初の計画であるプランAが失敗することもあります。調査の最中に予期しなかった事態が発生することも見越して、ICは常にバックアッププランも用意しておきます。これは2次的なプランとして異なるシナリオを想定したもので、状況に応じて組織がどのように対応するかを定めています。 

ICは非公式なかたちで、組織内にいる各分野のエキスパート(SME)と連携することもあります。SMEは各分野の専門家であり、問題の根本原因を特定するための知識や経験を持っています。そこでICは彼らの意見に耳を傾け、より大局的な観点から状況を把握するのです。

正式なかたちとしては、ICはインシデントコマンドシステムを活用して対応します。

インシデントコマンドシステムとは？

インシデントコマンドシステム(ICS)とは、切迫したインシデントに対応するための標準化されたアプローチのことです。これによって、関係機関や担当者がスムーズに協力して共通の目標を達成するための、一連の指示(コマンド)が得られます。

インシデントコマンドシステムの5つのチーム

インシデントコマンドシステムには、5つの重要なチームが関与します。

1. コマンド：コマンドチームは、インシデントの指揮を執るチームです。ここでICは目標を定め、優先事項を決定し、対応計画を作り上げます。また、対応に必要なすべてのリソースを迅速かつ効果的に利用できるようにするのもICの仕事です。
2. オペレーションズ：オペレーションズチームのスタッフは、リソースを管理し、担当者と調整を行い、対応作業を目標や優先事項に適合させます。
3. 計画：計画チームは、インシデントの情報を収集および分析し、必要なリソースを見積もり、ICが設定した目標を達成するための戦略を立案します。 
4. ロジスティクス：ロジスティクスチームは、インシデントに対応するための装置、備品、施設といったリソースを調達して各チームに提供します。
5. 財務/管理：インシデント対応に関する資金と事務を管理するチームです。チームメンバーは経費を管理し、契約や合意を処理し、インシデントに関係するすべての文書を管理します。

(Splunkソリューションがインシデント管理プロセス全体をどのように支援するのか、こちらをご覧ください)

チームがインシデントコマンダーを必要とする理由 

サイバー攻撃と無縁の組織はありません。また、攻撃が発生するタイミングを事前に知ることもできません。攻撃発生時に頼りになるのが、インシデントコマンダーです。インシデント対応の指揮を執り、リスクを評価し、対応作業を調整する専門家です。

インシデントコマンダーがいなければ、インシデント対応チームは連携が取れず、完了した作業を別の担当者が始めてしまったり、重大な情報が抜け落ちてしまったりするでしょう。

しかしICがいれば、コマンドチームをスムーズに連携させ、重複した作業を一本化したり、全員の意識を合わせたりできます。彼らは状況を分析した後、対応済みの作業と次に取り組むべき仕事を整理していきます。

対応策を調整するため、ICはそれぞれの作業の進捗状況を把握します。

インシデントコマンダーの職務と責任

インシデントコマンダーは、インシデントへの対応を調整し、危機を乗り切るという重要な任務を担っています。危機的状況に対処するために必要な職務と責任をすべて見ていきましょう。

インシデントへの備えと連絡

ICの中心的な責任は、インシデントに関わるすべての情報を集めて、チームメンバーに伝えることです。そこで求められるのが、卓越したコミュニケーションスキルです。

効果的なコミュニケーションができれば、必要なときに、必要な情報をメンバーに伝達できます。解決が困難なインシデントもあります。そのため、チームメンバーのトレーニングも実施しておく必要があります。

インシデントチームのトレーニングの際は、基本的なアクションプランを必ず伝える必要があります。インシデントはいつ発生するかわかりません。そのため、ICが個別の対応策を見つけて実施できるようになるまでは、チームが基本的なアクションプランを進めておくというのが理想的です。 

評価の実施 

インシデントを評価することは、インシデントの原因を理解するという点において重要なステップです。評価の際にICは、インシデントの発生原因と組織の弱点をテストおよび特定するために、さまざまな側面を詳しく調査します。

インシデント評価が完了したら、インシデントを解決するための重大な決定を下します。この段階で、ICはインシデント対応プロセスに取り組み始めます。 

インシデントコマンダーが下す重要な決定事項として、以下のものがあります。

• インシデント収束に向けて、チームで取り組むべきこと。
• インシデントへの対処方法。
• プロセス全体で避けるべきこと。
• 誰がどの段階でプロセスに関与するのか。
• チームがICに状況を報告する頻度。

アクションプランの作成

重要事項を決定した後は、それらを実行に移します。 インシデントコマンダーは、個々のインシデントに特化したアクションプランを作成します。作成方法は次のとおりです。

1. まずは、目標を書き出します。最終的に実現したいことをすべて列挙します。 
2. 目標を達成してインシデントを収束させるための、段階的な構造や概要を組み立てます。 
3. 自分に見えている範囲だけでなく、より大きな視野からインシデントを捉えることで、適切な戦略と戦術を作ります。
4. SMEに応援を頼み、彼らの意見を聞いたり、そこから生み出された効果的な戦略に沿って対応できるようチームを導きます。 
5. タスクの優先順位を設定します。1番目、2番目、3番目に何をするかなど、順番を決めていきます。

これによって、重大なタスクを優先的に処理し、対応をスムーズに進めることができます。 

ここで、よくある誤解についてお伝えさせてください。ICの仕事は、プランの策定にとどまりません。インシデントコマンドチームと密に連携し、インシデント収束に向けてプランをどのように実践していくかを導くことも大切な役割です。

タスクの委任 

ICがインシデント対応計画を策定したら、専門性のレベルに応じてチームにタスクを割り振ります。タスクのなかには、特定のスキルや知識が必要なものもあります。そうしたタスクについては、ICが適切な担当者を選びます。

複雑なインシデントの場合、ICが指揮を執って複数のチームを編成し、複合的なアプローチでインシデントに対応します。この手法で、問題解決までの時間が短縮されるのです。

チームとのコミュニケーションと調整

ICは、俯瞰的な視点からの進捗監視を頻繁に行い、常に最新の状況を把握します。また、チームやメンバーが作業フローに沿って滞りなく仕事ができるよう、交通整理を支援します。 

チームメンバーとコミュニケーションを取り、定期的な状況報告を依頼することで、必要な情報を収集します。この際、必要に応じてインシデントコマンダーからチームにフィードバックやアドバイスを出すこともできます。

落ち着ける環境の確保 

インシデントの発生時は、パニックや混乱がつきものです。現場が混乱していると冷静に考えられなくなり、最悪の決定をしてしまうことがあります。 

インシデントコマンダーは、チームが集中して良い仕事ができるよう、落ち着ける環境作りに努めなければなりません。具体的には、以下のような方法があります。 

• 明確な期待値を設定して、わかりやすく伝える。  
• 必要に応じて手助けし助言をする。
• 潜在的な問題を予測し、想定されるリスクを緩和する。 
• チームメンバーが質問できる機会を用意する。

教訓を得るための事後分析と記録の作成

チームがインシデントを解決したら、ICはその結果を詳しく確認します。事後分析レポートを入念に確認し、チームのパフォーマンスの評価を行い、インシデント対応の目標を達成できたか見極めます。

また、インシデントコマンダーは事後分析ミーティングを開催します。ここでは、発生原因、解決のために取り組んだこと、そこから得られた教訓など、インシデントに関するあらゆるトピックを議論します。これによって、将来同じようなインシデントが発生した場合に対処しやすくなります。

インシデントコマンダーになるために必要なスキル

続いて、インシデントコマンダーになるためのスキルを見てみましょう。この役職に就くためのプロセスは複雑であり、職責に見合った知識、スキル、専門的経験が求められます。

インシデントコマンダーとして活躍するために必要なスキルは、以下のとおりです。

問題解決 

インシデントコマンダーには、問題解決能力が不可欠です。大きなプレッシャーがかかる状況で、複雑な問題を見つけて解決する方法を理解している必要があります。同時に、じっくりと創造的に考えて現実的な解決方法を生み出す必要があります。

コミュニケーション 

インシデントに対処するためには、効果的なコミュニケーションが欠かせません。チームに考えをわかりやすく簡潔に伝えるために、高度なコミュニケーションスキルが求められます。

意思決定 

インシデントコマンダーは、人々の安全や健康に影響を及ぼしかねない重大な決定を下します。さまざまな選択肢のメリットとデメリットを検討して、自信を持って決断する必要があります。

積極的傾聴 

話し上手なだけでは不十分です。ICには、人の話を聞く高度なスキルも必要です。さまざまな意見や考えを積極的に聞き出し、それを基に的確な意思決定を下すのです。

適応力

同じインシデントは2つとしてありません。インシデントコマンダーは、変化の激しい状況に迅速かつ効果的に適応しなければなりません。

リーダーシップ

インシデントコマンダーは、インシデント対応チームを率いる立場です。チームを鼓舞し士気を高めると同時に、明確な指示や方向性を伝えてリーダーシップを発揮する必要があります。

時間管理 

インシデント対応では、時間が非常に重要です。1分たりとも無駄にしないよう、ICはタスクに優先順位を付けます。

類似するインシデントの対応経験

絶対に必要というわけではありませんが、同じようなインシデントに対応した経験があれば非常に有利です。どのような問題が起こりそうか予想しやすくなり、効果的な解決方法を迅速に考え出すことができます。

インシデントコマンダーのベストプラクティス 

インシデントコマンダーは、インシデント発生時に組織の安全を守り、業務の正常な運営を確保する役割を担っています。インシデントは思わぬタイミングで発生するものですが、それらに効果的に対処するためのベストプラクティスは存在します。詳しく見てみましょう。 

業界の最新のベストプラクティスを把握する

インシデント対応の世界はめまぐるしく変化しています。そのため、最新のベストプラクティスやトレンドを把握しておくことが欠かせません。そのためには、カンファレンスに参加したり、同じ分野の専門家と交流するのがよいでしょう。

問題が発生する前に計画を用意する

効果的なインシデント管理の第一歩は、充実した計画作りです。ICは時間を取って、インシデント対応計画を決定してドキュメントに残す必要があります。この計画には、各チームメンバーの役割と責任を明確に記載します。

自社組織とITチームについて理解する

インシデントコマンダーは、所属組織およびITチームと緊密に連携するものです。そのため、各チームメンバーが担う役割や責任について理解するとともに、全体的な組織構成についても把握している必要があります。

目の前のタスクに集中する

インシデント発生時には、ICがこなすタスクの量が多すぎてパニックになりがちです。落ち着いて取り組むには、緊急性と重要度を基準にタスクに優先順位を付けたり、タスクを扱いやすい大きさに分割したりする必要があります。こうすることで、疲弊することなく仕事をスムーズに進めることができます。

落ち着いたプロらしい態度を心がける

切迫した状況でも、ICは落ち着いて事に当たります。自分がより良い意思決定をできるようになるだけでなく、チームや関係者からの信頼も高まります。

インシデント収束後は事後分析を優先する 

インシデントが解決したら、事後分析を行って改善の見込みがある部分を探すのがよいでしょう。ICは時間を取って、そのインシデントから得られた教訓を文書に残し、今後に備えてチームやインシデント対応計画を必要に応じて変更します。

まとめ

インシデントコマンダーは、サイバー攻撃や自然災害などの危機的な事態に対処します。インシデント対応の取り組みを先導し、プレッシャーの下で重要な決定を行い、対応チームの調整を行います。

効果的なコミュニケーション、アクションプランの作成、タスクの委任、調整が、ICの主要な職務です。ICがいなければ、インシデント対応チームは重大なことを見逃してしまうかもしれません。ICはメンバーの認識を合わせ、インシデント対応を効果的かつ効率的なものにします。

このブログはこちらの英語ブログの翻訳です。