例外対応の想定 #

実際の現場では修正コストの観点以外にも、様々な理由で、基本方針通りの対応が難しいケースに遭遇すると思います。

• 例外対応の条件
  • 長時間のシステム停止が発生する場合(運用上サービスの停止を許容できないなど)
  • 修正に長期間の対応が必要となる場合（修正対応をした場合に本来予定しているリリースに間に合わなくなるなど）

そのため、根本的な修正が難しい場合には、例外的な対応を行うことになるでしょう。
その際、どのような対応を行うことができるか、事前にある程度具体的な選択肢を用意しておくことが大切です。
ここでは想定しておくべき選択肢の例をいくつか記載します。

• 期限
  • 例外対応の実施期限の設定（根本的対策を実施する目途を決めておく）
• 緩和策の選択肢
  • 公開されている緩和策の実施（根本対策ではない暫定的な対応策）
  • アクセス制限の実施
  • セキュリティ製品などの利用（IPS・WAFなどで防御を行う）
  • 提供機能やサービスの縮退
  • 攻撃に備えて監視面を強化する
• 内部的な対応フロー
  • 例外対応が発生した際の意思決定者は誰になるのか、その際どのようなフローで対応の内容を決定するのか事前に決めておくようにする。

なお、あまりにも例外的な対応が多くなりすぎてしまう場合には、そもそもの基本方針の取り決めについても見直すべきです。