# インシデントアナリスト ## 定義 インシデント対応(response)そのものではなく、インシデントが「なぜそのように起きたか」を事後に調査・分析する役割。[[Vanessa Huerta Granda]] と [[Emily Ruppe]] は SREcon23 Americas の講演「Incident Commanders」([[@2023__SREcon23Americas__Incident Commanders]])で、[[Incident Commander]](IC)と対をなす役割として定義した。Slack/Zoom のトランスクリプト、プルリクエストなど多様なデータをレビューし、複数の矛盾する仮説(「red herring」)を整理してタイムラインを再構成し、インシデントの経緯を一貫したストーリーとして語れる形にすることが核心的な仕事である(Source: [[@2023__SREcon23Americas__Incident Commanders]])。 IC が「対応(response)を調整する」役割であるのに対し、アナリストは「分析(analysis)を実施する」役割であり、両者は「似て非なる別々のスキルセット」だとされる。実務上は同一人物が両ロールを兼務することが多いが、それぞれの訓練・適性は異なる(Source: [[@2023__SREcon23Americas__Incident Commanders]])。 ## 横断的知見 - **IC がアナリスト役を兼務すると社会技術的要因を見落としやすいという指摘は、Slack の Incident Review 主導権ルールと結論が一致する**: Huerta Granda/Ruppe は、IC が対応に人間として密接に関与しすぎているため、事後検証(post-incident review)を自ら担当すると対応そのもの(ツール設定等)の議論に偏りがちになり、社会技術的要因を見落とすと説明する。これは [[Brent Chapman]]([[@2021__SREcon21__Evolution of Incident Management at Slack]])が Slack で制度化した「IC はインシデントレビューを主導しない、最も関与した EM が主導する『no give backs』ハンドオフ」という運用ルールの背後にある理由付けとして機能する。制度設計(Chapman)とその設計理由の明文化(Huerta Granda/Ruppe)が、異なる組織・異なる時期から同じ結論に到達している。(Source: [[@2023__SREcon23Americas__Incident Commanders]], [[@2021__SREcon21__Evolution of Incident Management at Slack]]) ## 未解決の問い - インシデントアナリストという役割を専任で置く組織はどの程度存在するか? Huerta Granda/Ruppe の講演は同一人物が IC とアナリストを兼務する現実を前提に語っており、専任化した事例は本 wiki には未収録。 - アナリストとしての訓練・育成プログラム(IC 訓練に相当するもの)を体系化した事例はあるか? [[Incident Commander]] concept にある「全員訓練」「Deliberate Team」等の育成論に相当する、アナリスト側の育成論は本 wiki では未確認。 - IC 経験がアナリスト能力を高め、アナリスト経験が IC 能力を高めるという相互作用について、定量的に効果を検証した研究はあるか? ## 関連 - [[Incident Commander]] — 対応(response)を調整する対をなす役割 - [[インシデント管理]] — 両役割が機能するインシデントライフサイクル全体 - [[ポストモーテム]] — アナリストが主導する事後検証プロセス - [[Vanessa Huerta Granda]] — [[Jeli]] 在籍時に IC/アナリスト役割区分を発表 - [[Emily Ruppe]] — 共同発表者 - [[Brent Chapman]] — Slack の Incident Review 主導権ルールの設計者 ## 出典 - [[@2023__SREcon23Americas__Incident Commanders]] — SREcon23 Americas。IC とインシデントアナリストの役割区分を初めて明示的に論じた本 wiki 上の一次出典。