「初動30分ルール」の実務ガイド

ここから先は実践のためのガイドラインを紹介していきたいと思います。実践ガイドに取り組む上での前提として、インシデントが発生することで業務が滞ることや事業の継続が脅かされるシステムや機器は、適切に資産管理がされており管理責任の所在が明確になっていることが前提となります。管理責任の所在が曖昧なシステムや機器に対しては初動30分ルールは効果が十分に発揮せず、責任分界点を超えた対応を行う危険性も生じてしまいますのでこの点は注意しておく必要があります。

検討1. 役割と責任を明確化する

インシデントが発生した時に一番大切なこととして、誰が何の責任を持つのかという点を押さえておくことが大切です。誰から司令を受けるのか、システム部門の責任者なのか、システムを利用している部門長なのか、または社長なのか、初動を開始するために、誰が司令を出すのかが予め明確になっている必要があります。
「誰がきめ、誰が手を動かし、誰に伝え、誰が記録をするか」を明確にし、初動を迅速に開始することが重要です。

●役割 ① 司令
　- 目的：全体を俯瞰し、方針と優先順位を”今その場で”決めること
　- やらないこと：自らは作業を行うことはしません（手が止まるため）

●役割 ② 実働
　- 目的：問題の切り分けと回避策の実行を行い影響範囲を最小に抑えること
　- やらないこと：社内告知や説明に時間を割きません。（手が止まるため）

●役割 ③ 連絡（兼務可）
　- 目的：最新の情報を全関係者へ、取り決めた時間感覚で報告すること
　- やらないこと：推測情報の発信や個別連絡対応の発信

●役割 ④ 記録（兼務可）
　- 目的：インシデント発生以降の事実を証跡とともに残し、再発防止と監査に耐えうる状態にすること。
　- やらないこと：技術的な作業や対外的な説明は行わない

●役割 ⑤ 管理者
　- 目的：意思決定の後押しとし、「人」・「物」・「金」について確保を行うこと。
　- やらないこと：現場の指揮権は取らないこと。（司令の判断を尊重）

一人が1つの役割を持つことが理想的ですが、少人数の体制の場合、司令と実働だけは兼任しないことを推奨します。事情によって兼任とせざるを得ない場合があると思いますが、その点は参考ページにて「少人数時の兼務モデル」を参照してください。

検討2. 初動30分の実行内容を決める

役割と責任が明確になれば、初動30分で何を実行するのかを考える必要があります。以下に一般的な初動時の行動を示しています。以下に各時間の中で実施する実行内容を示します。

● 0分〜5分：体制の確立　
　- 実行内容：
　　・インシデント発生の検知、司令を任命。
　　・インシデント管理の開始（インシデントチケットの起票 / チャット / メール）
　　・人員・安全（電源・ネットワーク・物理）の確保

● 5分〜15分：状況の把握と意思決定
　- 実行内容：
　　・暫定判断による重大度の判定
　　・影響範囲（部門/ユーザ/業務）の確認
　　・回避策の判断と決定（遮断 / ロールバック / 切替）

● 15分〜30分： 一次回避策の実行
　- 実行内容：
　　・回避策の実行（遮断 / ロールバック / 切替）
　　・定期報告（決めた時間間隔ごとに報告）
　　・時刻がわかる証跡の確保、インシデント管理にて記録保存

初動30分はあっという間に過ぎる時間ですが、インシデント発生に備え、事前の行動計画を決めておくことで障害の影響拡大の被害を回避することが可能になります。初動行動は場合によって時間幅を短縮したり、延長したりする例外ルールはありますが、発生の緊急度や企業の業態や法令に基づく場合によって決めていくことも大切です。
重要なのはこの時間の中での実行は機械的に回すことが重要です。特に報告の更新は進展があるまで放置しがちですが、進展の有無に関わらず、予定の時刻になれば必ず報告することが大きなポイントです。