jpskill.com
💬 コミュニケーション コミュニティ 🟡 少し慣れが必要 👤 幅広いユーザー

📦 Incident Response Incident Response

incident-response-incident-response

インシデント発生時の対応プロセスを効率的に進めるための、具体的な手順や判断基準を提供するSkill。

⏱ 手作業のあれこれ 1日 → 1時間

📺 まず動画で見る(YouTube)

▶ 【Claude Code完全入門】誰でも使える/Skills活用法/経営者こそ使うべき ↗

※ jpskill.com 編集部が参考用に選んだ動画です。動画の内容と Skill の挙動は厳密には一致しないことがあります。

📜 元の英語説明(参考)

Use when working with incident response incident response

🇯🇵 日本人クリエイター向け解説

一言でいうと

インシデント発生時の対応プロセスを効率的に進めるための、具体的な手順や判断基準を提供するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o incident-response-incident-response.zip https://jpskill.com/download/3013.zip && unzip -o incident-response-incident-response.zip && rm incident-response-incident-response.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/3013.zip -OutFile "$d\incident-response-incident-response.zip"; Expand-Archive "$d\incident-response-incident-response.zip" -DestinationPath $d -Force; ri "$d\incident-response-incident-response.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して incident-response-incident-response.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → incident-response-incident-response フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-17
取得日時
2026-05-17
同梱ファイル
1

💬 こう話しかけるだけ — サンプルプロンプト

  • Incident Response Incident Res の使い方を教えて
  • Incident Response Incident Res で何ができるか具体例で見せて
  • Incident Response Incident Res を初めて使う人向けにステップを案内して

これをClaude Code に貼るだけで、このSkillが自動発動します。

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

[スキル名] インシデント対応

このスキルを使用する場面

  • インシデント対応のタスクやワークフローに取り組む場合
  • インシデント対応に関するガイダンス、ベストプラクティス、またはチェックリストが必要な場合

このスキルを使用しない場面

  • タスクがインシデント対応と無関係な場合
  • この範囲外の異なるドメインやツールが必要な場合

指示

  • 目標、制約、必要な入力を明確にしてください。
  • 関連するベストプラクティスを適用し、結果を検証してください。
  • 実用的な手順と検証方法を提供してください。
  • 詳細な例が必要な場合は、resources/implementation-playbook.md を開いてください。

最新の SRE プラクティスを用いてマルチエージェントのインシデント対応をオーケストレーションし、迅速な解決と学習を実現します。

[拡張思考: このワークフローは、最新の SRE 原則に従った包括的なインシデントコマンドシステム (ICS) を実装しています。複数の専門エージェントが、検出/トリアージ、調査/緩和、コミュニケーション/調整、解決/事後分析という定義されたフェーズを通じて協力します。このワークフローは、正確さを犠牲にすることなくスピードを重視し、明確なコミュニケーションチャネルを維持し、非難のない事後分析と体系的な改善を通じて、すべてのインシデントが学習の機会となることを保証します。]

設定

重大度レベル

  • P0/SEV-1: 完全な停止、セキュリティ侵害、データ損失 - 即座に全員で対応
  • P1/SEV-2: 大規模な劣化、ユーザーへの重大な影響 - 迅速な対応が必要
  • P2/SEV-3: 軽微な劣化、限定的な影響 - 標準的な対応
  • P3/SEV-4: 外観上の問題、ユーザーへの影響なし - スケジュールされた解決

インシデントの種類

  • パフォーマンスの劣化
  • サービス停止
  • セキュリティインシデント
  • データ整合性の問題
  • インフラストラクチャの障害
  • サードパーティサービスの停止

フェーズ 1: 検出とトリアージ

1. インシデントの検出と分類

  • subagent_type="incident-responder" を指定して Task ツールを使用します。
  • プロンプト: "緊急: インシデントを検出・分類してください: $ARGUMENTS。PagerDuty/Opsgenie/監視からのアラートを分析してください。以下を判断してください: 1) インシデントの重大度 (P0-P3)、2) 影響を受けるサービスと依存関係、3) ユーザーへの影響とビジネスリスク、4) 必要な初期インシデントコマンド構造。エラーバジェットと SLO 違反を確認してください。"
  • 出力: 重大度分類、影響評価、インシデントコマンドの割り当て、SLO ステータス
  • コンテキスト: 初期アラート、監視ダッシュボード、最近の変更

2. 可観測性分析

  • subagent_type="observability-monitoring::observability-engineer" を指定して Task ツールを使用します。
  • プロンプト: "インシデントの迅速な可観測性スイープを実行してください: $ARGUMENTS。以下をクエリしてください: 1) 分散トレーシング (OpenTelemetry/Jaeger)、2) メトリクス相関 (Prometheus/Grafana/DataDog)、3) ログ集約 (ELK/Splunk)、4) APM データ、5) リアルユーザーモニタリング。異常、エラーパターン、サービス劣化ポイントを特定してください。"
  • 出力: 可観測性の調査結果、異常検出、サービスヘルス行列、トレース分析
  • コンテキスト: ステップ 1 の重大度レベル、影響を受けるサービス

3. 初期緩和

  • subagent_type="incident-responder" を指定して Task ツールを使用します。
  • プロンプト: "P$SEVERITY インシデントの即時緩和策を実施してください: $ARGUMENTS。アクション: 1) 必要に応じてトラフィックの調整/ルーティング、2) 影響を受ける機能の機能フラグ無効化、3) サーキットブレーカーの起動、4) 最近のデプロイメントのロールバック評価、5) 容量関連の場合はリソースのスケーリング。ユーザーエクスペリエンスの復元を優先してください。"
  • 出力: 実施された緩和策、適用された一時的な修正、ロールバックの決定
  • コンテキスト: 可観測性の調査結果、重大度分類

フェーズ 2: 調査と根本原因分析

4. 詳細なシステムデバッグ

  • subagent_type="error-debugging::debugger" を指定して Task ツールを使用します。
  • プロンプト: "可観測性データを使用してインシデントの詳細なデバッグを実施してください: $ARGUMENTS。以下を調査してください: 1) スタックトレースとエラーログ、2) データベースクエリのパフォーマンスとロック、3) ネットワーク遅延とタイムアウト、4) メモリリークと CPU スパイク、5) 依存関係の障害とカスケードエラー。Five Whys 分析を適用してください。"
  • 出力: 根本原因の特定、寄与要因、依存関係影響マップ
  • コンテキスト: 可観測性分析、緩和ステータス

5. セキュリティ評価

  • subagent_type="security-scanning::security-auditor" を指定して Task ツールを使用します。
  • プロンプト: "インシデントのセキュリティ上の影響を評価してください: $ARGUMENTS。以下を確認してください: 1) DDoS 攻撃の兆候、2) 認証/認可の失敗、3) データ漏洩のリスク、4) 証明書の問題、5) 不審なアクセスパターン。WAF ログ、セキュリティグループ、監査証跡を確認してください。"
  • 出力: セキュリティ評価、侵害分析、脆弱性特定
  • コンテキスト: 根本原因の調査結果、システムログ

6. パフォーマンスエンジニアリング分析

  • subagent_type="application-performance::performance-engineer" を指定して Task ツールを使用します。
  • プロンプト: "インシデントのパフォーマンス側面を分析してください: $ARGUMENTS。以下を調査してください: 1) リソース使用パターン、2) クエリ最適化の機会、3) キャッシュの有効性、4) ロードバランサーの健全性、5) CDN パフォーマンス、6) オートスケーリングトリガー。ボトルネックと容量の問題を特定してください。"
  • 出力: パフォーマンスのボトルネック、リソースの推奨事項、最適化の機会
  • コンテキスト: デバッグの調査結果、現在の緩和状態

フェーズ 3: 解決と復旧

7. 修正の実装

  • subagent_type="backend-development::backend-architect" を指定して Task ツールを使用します。
  • プロンプト: "根本原因に基づいてインシデントのプロダクション修正を設計・実装してください: $ARGUMENTS。要件: 1) 迅速なデプロイメントのための最小限の実行可能な修正、2) リスク評価とロールバック機能、3) 監視を伴う段階的なロールアウト計画、4) 検証基準とヘルスチェック。即時修正と長期的な解決策の両方を考慮してください。"
  • 出力: 修正の実装、デプロイ戦略、検証計画、ロールバック手順
  • コンテキスト: 根本原因分析、パフォーマンスの調査結果、セキュリティ評価

8. デプロイと検証

  • subagent_type="deployment-strategies::deployment-engineer" を指定して Task ツールを使用します。
  • プロンプト: "インシデント修正の緊急デプロイを実行してください: $ARGUMENTS。プロセス: 1) ブルーグリーンまたはカナリアデプロイメント、2) 監視を伴う段階的なロールアウト、3) ヘルス

(原文がここで切り詰められています)

📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Use this skill when

  • Working on incident response incident response tasks or workflows
  • Needing guidance, best practices, or checklists for incident response incident response

Do not use this skill when

  • The task is unrelated to incident response incident response
  • You need a different domain or tool outside this scope

Instructions

  • Clarify goals, constraints, and required inputs.
  • Apply relevant best practices and validate outcomes.
  • Provide actionable steps and verification.
  • If detailed examples are required, open resources/implementation-playbook.md.

Orchestrate multi-agent incident response with modern SRE practices for rapid resolution and learning:

[Extended thinking: This workflow implements a comprehensive incident command system (ICS) following modern SRE principles. Multiple specialized agents collaborate through defined phases: detection/triage, investigation/mitigation, communication/coordination, and resolution/postmortem. The workflow emphasizes speed without sacrificing accuracy, maintains clear communication channels, and ensures every incident becomes a learning opportunity through blameless postmortems and systematic improvements.]

Configuration

Severity Levels

  • P0/SEV-1: Complete outage, security breach, data loss - immediate all-hands response
  • P1/SEV-2: Major degradation, significant user impact - rapid response required
  • P2/SEV-3: Minor degradation, limited impact - standard response
  • P3/SEV-4: Cosmetic issues, no user impact - scheduled resolution

Incident Types

  • Performance degradation
  • Service outage
  • Security incident
  • Data integrity issue
  • Infrastructure failure
  • Third-party service disruption

Phase 1: Detection & Triage

1. Incident Detection and Classification

  • Use Task tool with subagent_type="incident-responder"
  • Prompt: "URGENT: Detect and classify incident: $ARGUMENTS. Analyze alerts from PagerDuty/Opsgenie/monitoring. Determine: 1) Incident severity (P0-P3), 2) Affected services and dependencies, 3) User impact and business risk, 4) Initial incident command structure needed. Check error budgets and SLO violations."
  • Output: Severity classification, impact assessment, incident command assignments, SLO status
  • Context: Initial alerts, monitoring dashboards, recent changes

2. Observability Analysis

  • Use Task tool with subagent_type="observability-monitoring::observability-engineer"
  • Prompt: "Perform rapid observability sweep for incident: $ARGUMENTS. Query: 1) Distributed tracing (OpenTelemetry/Jaeger), 2) Metrics correlation (Prometheus/Grafana/DataDog), 3) Log aggregation (ELK/Splunk), 4) APM data, 5) Real User Monitoring. Identify anomalies, error patterns, and service degradation points."
  • Output: Observability findings, anomaly detection, service health matrix, trace analysis
  • Context: Severity level from step 1, affected services

3. Initial Mitigation

  • Use Task tool with subagent_type="incident-responder"
  • Prompt: "Implement immediate mitigation for P$SEVERITY incident: $ARGUMENTS. Actions: 1) Traffic throttling/rerouting if needed, 2) Feature flag disabling for affected features, 3) Circuit breaker activation, 4) Rollback assessment for recent deployments, 5) Scale resources if capacity-related. Prioritize user experience restoration."
  • Output: Mitigation actions taken, temporary fixes applied, rollback decisions
  • Context: Observability findings, severity classification

Phase 2: Investigation & Root Cause Analysis

4. Deep System Debugging

  • Use Task tool with subagent_type="error-debugging::debugger"
  • Prompt: "Conduct deep debugging for incident: $ARGUMENTS using observability data. Investigate: 1) Stack traces and error logs, 2) Database query performance and locks, 3) Network latency and timeouts, 4) Memory leaks and CPU spikes, 5) Dependency failures and cascading errors. Apply Five Whys analysis."
  • Output: Root cause identification, contributing factors, dependency impact map
  • Context: Observability analysis, mitigation status

5. Security Assessment

  • Use Task tool with subagent_type="security-scanning::security-auditor"
  • Prompt: "Assess security implications of incident: $ARGUMENTS. Check: 1) DDoS attack indicators, 2) Authentication/authorization failures, 3) Data exposure risks, 4) Certificate issues, 5) Suspicious access patterns. Review WAF logs, security groups, and audit trails."
  • Output: Security assessment, breach analysis, vulnerability identification
  • Context: Root cause findings, system logs

6. Performance Engineering Analysis

  • Use Task tool with subagent_type="application-performance::performance-engineer"
  • Prompt: "Analyze performance aspects of incident: $ARGUMENTS. Examine: 1) Resource utilization patterns, 2) Query optimization opportunities, 3) Caching effectiveness, 4) Load balancer health, 5) CDN performance, 6) Autoscaling triggers. Identify bottlenecks and capacity issues."
  • Output: Performance bottlenecks, resource recommendations, optimization opportunities
  • Context: Debug findings, current mitigation state

Phase 3: Resolution & Recovery

7. Fix Implementation

  • Use Task tool with subagent_type="backend-development::backend-architect"
  • Prompt: "Design and implement production fix for incident: $ARGUMENTS based on root cause. Requirements: 1) Minimal viable fix for rapid deployment, 2) Risk assessment and rollback capability, 3) Staged rollout plan with monitoring, 4) Validation criteria and health checks. Consider both immediate fix and long-term solution."
  • Output: Fix implementation, deployment strategy, validation plan, rollback procedures
  • Context: Root cause analysis, performance findings, security assessment

8. Deployment and Validation

  • Use Task tool with subagent_type="deployment-strategies::deployment-engineer"
  • Prompt: "Execute emergency deployment for incident fix: $ARGUMENTS. Process: 1) Blue-green or canary deployment, 2) Progressive rollout with monitoring, 3) Health check validation at each stage, 4) Rollback triggers configured, 5) Real-time monitoring during deployment. Coordinate with incident command."
  • Output: Deployment status, validation results, monitoring dashboard, rollback readiness
  • Context: Fix implementation, current system state

Phase 4: Communication & Coordination

9. Stakeholder Communication

  • Use Task tool with subagent_type="content-marketing::content-marketer"
  • Prompt: "Manage incident communication for: $ARGUMENTS. Create: 1) Status page updates (public-facing), 2) Internal engineering updates (technical details), 3) Executive summary (business impact/ETA), 4) Customer support briefing (talking points), 5) Timeline documentation with key decisions. Update every 15-30 minutes based on severity."
  • Output: Communication artifacts, status updates, stakeholder briefings, timeline log
  • Context: All previous phases, current resolution status

10. Customer Impact Assessment

  • Use Task tool with subagent_type="incident-responder"
  • Prompt: "Assess and document customer impact for incident: $ARGUMENTS. Analyze: 1) Affected user segments and geography, 2) Failed transactions or data loss, 3) SLA violations and contractual implications, 4) Customer support ticket volume, 5) Revenue impact estimation. Prepare proactive customer outreach list."
  • Output: Customer impact report, SLA analysis, outreach recommendations
  • Context: Resolution progress, communication status

Phase 5: Postmortem & Prevention

11. Blameless Postmortem

  • Use Task tool with subagent_type="documentation-generation::docs-architect"
  • Prompt: "Conduct blameless postmortem for incident: $ARGUMENTS. Document: 1) Complete incident timeline with decisions, 2) Root cause and contributing factors (systems focus), 3) What went well in response, 4) What could improve, 5) Action items with owners and deadlines, 6) Lessons learned for team education. Follow SRE postmortem best practices."
  • Output: Postmortem document, action items list, process improvements, training needs
  • Context: Complete incident history, all agent outputs

12. Monitoring and Alert Enhancement

  • Use Task tool with subagent_type="observability-monitoring::observability-engineer"
  • Prompt: "Enhance monitoring to prevent recurrence of: $ARGUMENTS. Implement: 1) New alerts for early detection, 2) SLI/SLO adjustments if needed, 3) Dashboard improvements for visibility, 4) Runbook automation opportunities, 5) Chaos engineering scenarios for testing. Ensure alerts are actionable and reduce noise."
  • Output: New monitoring configuration, alert rules, dashboard updates, runbook automation
  • Context: Postmortem findings, root cause analysis

13. System Hardening

  • Use Task tool with subagent_type="backend-development::backend-architect"
  • Prompt: "Design system improvements to prevent incident: $ARGUMENTS. Propose: 1) Architecture changes for resilience (circuit breakers, bulkheads), 2) Graceful degradation strategies, 3) Capacity planning adjustments, 4) Technical debt prioritization, 5) Dependency reduction opportunities. Create implementation roadmap."
  • Output: Architecture improvements, resilience patterns, technical debt items, roadmap
  • Context: Postmortem action items, performance analysis

Success Criteria

Immediate Success (During Incident)

  • Service restoration within SLA targets
  • Accurate severity classification within 5 minutes
  • Stakeholder communication every 15-30 minutes
  • No cascading failures or incident escalation
  • Clear incident command structure maintained

Long-term Success (Post-Incident)

  • Comprehensive postmortem within 48 hours
  • All action items assigned with deadlines
  • Monitoring improvements deployed within 1 week
  • Runbook updates completed
  • Team training conducted on lessons learned
  • Error budget impact assessed and communicated

Coordination Protocols

Incident Command Structure

  • Incident Commander: Decision authority, coordination
  • Technical Lead: Technical investigation and resolution
  • Communications Lead: Stakeholder updates
  • Subject Matter Experts: Specific system expertise

Communication Channels

  • War room (Slack/Teams channel or Zoom)
  • Status page updates (StatusPage, Statusly)
  • PagerDuty/Opsgenie for alerting
  • Confluence/Notion for documentation

Handoff Requirements

  • Each phase provides clear context to the next
  • All findings documented in shared incident doc
  • Decision rationale recorded for postmortem
  • Timestamp all significant events

Production incident requiring immediate response: $ARGUMENTS

Limitations

  • Use this skill only when the task clearly matches the scope described above.
  • Do not treat the output as a substitute for environment-specific validation, testing, or expert review.
  • Stop and ask for clarification if required inputs, permissions, safety boundaries, or success criteria are missing.