インシデントプレイブックとスクリプト
1)セクションの目的
検出から回復、通信、法的通知、改善まで、オペレーションおよびコンプライアンス・ループ内のインシデントに迅速かつ一貫して対応するために、単一のバージョン管理された一連のプレイブックを作成します。
2) Playbook標準(スクリプトカード)
カタログの各プレイブックは、単一のテンプレートに従って作成されます:
ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1 S2 S3 S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>3)重大度と三重行列(要約)
S1(重要):グローバルなコア/ウォレットのダウンタイム、PII/財務データの漏洩、支払いの大規模なアクセス不能、規制調査。
アップデート:最初に≤ 15分;30-60分毎に。
S2(高い):地域のダウンタイム、支払い変換の低下>10%、漏洩のない脆弱性を確認しました。
S3(平均):個々のプロバイダ/機能の劣化、CS呼び出しの増加>30%データベースに。
S4(低):局所欠陥、単一の苦情。
トリアージ(クイックチェック):事実?スケールか?手段/データのセキュリティ?法的期限か?バックアップルート?最初のメッセージのチャンネルと次の更新の時間?
4)役割とコミュニケーション
IC(インシデントコマンダー):タイムライン/ソリューションオーナー。
Tech Lead (SRE/Platform):診断/修正/回避策。
セキュリティリード(AppSec/Blue Team):必要に応じて、フォレンジック/封じ込め/情報セキュリティ通知。
支払リード:PSP/銀行、マルチルート、手動処理。
法律/コンプライアンス:規制通知、言語、締め切り。
Commsリード:ステータスページ、電子メール/SMS/プッシュ、アフィリエイト、メディア。
CS/CRMリード:マクロ、補償、ターゲットセグメント。
データ/分析:影響評価、レポート、MTT制御。
単一の音声:任意の外部メッセージ-Comms+Legal経由。
5)普遍的なチェックリスト
5.1プレイブック開始(0-15分)
- 割り当てられたIC、戦争部屋の開いた、stenographer割り当てられた。
- 重症度(S1-S4)、影響半径が同定された。
- 保護措置が講じられている(フィッシュフラグ、限界、リスクでの結論を止める)。
- 次回アップデートの開催声明とETAを作成しました。
- アーティファクト(ログ/ダンプ/スクリーンショット)を修正するためのチケットを作成しました。
5.2最初の外部メッセージの前
- 事実確認、秘密除外/PII。
- 文言の法的レビュー。
- 今すぐ何をすべきかについてユーザーに指示をクリアします。
- 次の更新の時刻を明示的に指定します。
5.3事件の収束
- ルート除去/補償措置を実装しました。
- 補償が発生し、紛争が発生した取引が処理された。
- 最終レポート/ステータスが更新されました。7日間≤割り当てられたレトロ。
- CAPAアイテムは所有者と日付で作成されます。
6)典型的なプレイブック(カタログ)
PB-SEC-01: データ侵害/アカウント侵害(S1)
検出:入力異常、EDR/WAFトリガ、アカウントのハッキング苦情、フォーラムのリーク。
0-15分:影響を受けるシステムの分離;秘密の回転;侵害されたトークンの無効化;MFAキャンペーンを含む。
15-60分:影響を受けた人へのターゲット通知。最初の公共コミュニケーション;鑑識のためのアーティファクトを固定します。
1-4時間:PIIアクセス監査;プロバイダ/クラウドは、規制上の通知の準備を要求します。
24時間まで:詳細なレポート、キーの変更、パスワードの更新、監視の延長。
コミュニケーション:ステータスページ、影響を受けるパートナーへの電子メール、必要に応じて-メディアQ&A。
法的:規定された期間内の規制/銀行/PSP通知。
終了基準:リスクローカライズ;すべてのトークンが置き換えられました。プレイヤーは指示を送信しました。確認される欠落/限られた損傷。
予防:バグバウンティ、硬化、DLP、秘密管理。
PB-PAY-02: 決済危機(PSP/銀行利用不可)(S1/S2)
検出:認証率の低下、失敗の増加、出力キュー。
0-15分:スタンバイPSP/ルートに切り替えます。自動出力の柔らかい懸濁液;ボックスオフィスのバナー「代替方法」。
15-60分:最初の外部メッセージ(キャッシュデスク/ステータス);VIP/脆弱なグループの手動優先度。PSPとのコミュニケーション。
1-4時間:制限の再計算;ご迷惑をおかけいたします。パートナーに報告してください。
24時間まで:最終報告書;SLAはトラフィックバランシングルールの更新を返します。
予防:マルチ取得、方法による健康チェック、自動リバランス。
PB-NET-03: DDoS/マスネットワーク劣化(S1)
0-15分:アンチDDoSプロファイルを有効にします。rate-limits/capping;CDN/WAFガードルールは、重いエンドポイントを一時的にオフにします。
15-60分:ジオフィルター/ブラックリスト;プロバイダとのコミュニケーション;ETAを使用してユーザーに最初のメッセージ。
1-4時間:前線のスケーリング;カナリアチェック;攻撃テレメトリーの分析。
予防:通常のDDoS演習。適応プロファイル;スペアASN/CDN。
PB-GAME-04: ゲームプロバイダの障害(S2/S3)
検出:プロバイダのAPIエラーの増加、CSの急増は、特定のタイトルを呼び出します。
ステップ:影響を受けるゲームを一時的に非表示にします。プロンプト/置換の表示プロバイダとプレーヤーに通知するバランスシート同期。
予防:フェイルオープン/クローズ戦略、ディレクトリキャッシング、ヘルスマーキングゲーム。
PB-REG-05: 規制インシデント(S1/S2)
ケース:ボーナス条件違反、KYC/KYB失敗、広告違反。
ステップ:物議を醸す力学を凍結します。法令・コンプライアンスに関するコンサルティング;中立的な言葉遣い;テンプレートレポート。
予防: 事前クリアランスプロモーション、定期的なT&C監査
PB-FRD-06: 不正リング/虐待(S2)
検出:マルチアカウントのサージ、ボーナスの乱用、仲裁異常。
ステップ:入金/出金の時間制限。ターゲットKYC;デバイス/支払/IPバンドルのブロック;リスクレポート。
コミュニケーション:個々の通知;不正防止ロジックを公開しないでください。
予防:行動モデル、グラフ分析、ベロシティフィルタ。
PB-DATA-07: データ整合性/バランスの非同期(S1/S2)
ステップ:ウォレットを「セーフモード」に移動します。危険な操作の禁止。単位のログ/スナップショットの調整からの回復;個人的な通知。
予防:biphasic コミット/idempotence、イベントソーシング、不変量。
PB-AFF-08: アフィリエイトトラッキング(S3)のドロップ)
ステップ:固定ピクセル/ポストバック;報酬報告書;パートナーへの通知;時間帰属係数。
予防:コンバージョン、リザーブコルバックの監視。
PB-PR-09: レピュテーション・ストーム(S2/S3)
ステップ:単一の位置;事実に基づいています。Q&A;コメントの論争を避ける。事実との長い読書を準備しなさい。
予防:スピーカーのメディアトレーニング、事実と「暗いサイト」。
PB-PHI-10: フィッシング/偽サイト(S2)
ステップ:証拠収集;登録者/ホストに通知する。プレーヤーへの警告;アンチフィッシングページの更新DMARC/ブランドインジケータ。
予防:ドメイン類似性モニタリング、フィッシング防止プロバイダとのパートナーシップ。
7)メッセージテンプレート(クイックインサート)
保持ステートメント(外部、≤ 2行):- key> Reason: [Component/Provider]。影響:[パーセント/地理/期間]。対策:[reserve/rollback/validation]。補償:[タイプ/条件]。次のステップ:[予防/タイミング]。
パートナー/アフィリエイト:簡単な「追跡/一時的な措置/ETAにどのように影響するか」。
規制当局/銀行/PSP:正式な通知:事実、対策、顧客への影響、予防計画、最終報告の期限。
8)指標と目標
検出:MTTDの警報に騒音。
反応:MTTA、 TTS (time-to-statement)、 SLAへの更新の%。
回復:影響を受けるサービスのMTTR、 RTO/RPO。
影響:影響を受けたプレイヤー/トランザクション、失われたGGR、チャージバック率。
コミュニケーション:オープン/クリックレート、カバレッジ、再試行率、CSAT/DSAT。
コンプライアンス:必須通知の適時性、アーティファクトの完全性。
9)アーティファクトと証拠ベース
最小セットはチケット/インシデントのリポジトリに保存されます:- 意思決定と行動のタイムライン(微細な正確さ);
- ログ/ダンプ/スクリーンショット/エクスポートグラフ;
- 構成/ビルドのバージョン
- メッセージコピーと受信者リスト
- 影響を受けるアカウント/トランザクションのリスト
- 法的通知(ドラフト/提出/応答)。
10)ツールと統合
インシデントボット:'/declare'、'/severity S1.。S4'、'/update <text>'、 '/close'。
ステータスページ:パブリックフィード;アップタイムセンサーとの統合。
報酬:セグメント計算機(時間、地理、ゲーム、支払い方法)。
セキュリティスタック:EDR/WAF/SIEM/IDS;SOARのプレイブック。
オブザビリティ:ログ/メトリック/トレイル、エラー予算、SLOダッシュボード。
11) Playbookディレクトリの管理(ガバナンス)
バージョン管理:Gitリポジトリ、PRプロセス、セマンティックバージョン。
責任:各プレイブックには所有者と予備があります。
監査:少なくとも四半期ごとに、各S1/S2の後-予定外。
トレーニング:テーブルトップは四半期に一度、重要なシナリオのライブドリルは半年に一度です。
互換性:BCP/DRPへのリンク、エスカレーションマトリックス、責任あるプレイ、通知ポリシー。
12)実施への速い開始(30日に)
1.トップ10のリスクシナリオのリストを作成し、所有者を任命します。
2.各-標準(セクション2)に従ってカードを発行し、リポジトリに入力します。
3.Playbookをインシデントボット(ショートコードとメッセージテンプレート)に接続します。
4.2テーブルトップ演習(支払い+情報セキュリティ)と1ライブドリル(ゲームプロバイダの劣化)を実施します。
5.メトリックダッシュボード(MTTD/MTTA/MTTR、 TTS、 SLAへの更新の%)を起動します。
6.CAPAバックログを作成し、タイミングとRACIに同意します。
7.サンドボックスを介して(プレイヤー/パートナー/レギュレータに)テンプレートの「ドライ」配布をロールバックします。
- 危機管理とコミュニケーション
- 事業継続計画(BCP)
- 災害復旧計画(DRP)
- エスカレーションマトリックス
- 通知とアラートシステム
- 責任あるプレーとプレーヤーの保護