環境は次のとおりです。
ウォールドガーデン内でフォーラム/ジャーナル/掲示板/メール/ソーシャルメディアアプリケーションをホストするウェブサイト(つまり、使用料を支払ったり、招待されたりしている)
多くのクライアントは、クライアントとやり取りするために、特定の時間にサイトを使用するために料金を支払います(つまり、サイトへのアクセスをリースします)。幅広い分野に数十のクライアントがいます。
非常に幅広いサービス レベル契約があります。つまり、Web サイトが 10 分以上ダウンしてはならないとは明記されていませんが、ダウンしないという紳士協定があります。彼らは 24 時間年中無休のサポートにお金を払っていませんが、私たちは自分たちの仕事に愛着を持っているので、それを提供しています。
このサイトは、複数のタイムゾーンにわたって 7 つの異なる言語で運営されています。
状況は次のとおりです。
サイトは東部標準時 5:30 にダウンし、DDOS 攻撃により約 2 時間「オフライン」のままになります。クライアントの反応は、イライラから激怒までさまざまです。また、クライアントは技術にあまり詳しくありません。クライアントは 24 時間 365 日のサポートに慣れており、通常は優れたサポートを受けています。
質問は次のとおりです:
DDOS 攻撃についてクライアントにどの程度まで開示しますか? クライアントはサイトがダウンした理由を知りたがっています。
答え1
正直に言ってください。DDoS 攻撃は、おそらくあなたの制御範囲を超えています (少なくとも予測能力を超えています)。
DoS がコードのバグによって発生した場合 (または、誰かが DoS を作成するためにコードのバグを悪用した場合)、責任があなたに向けられる可能性があるため、状況はさらに難しくなりますが、本当に制御できない DDoS の場合は、正直であることが間違いなく最善の策です。
ユーザーが「Y の X より長くダウンしない、またはいかなる理由でも Z より長い期間ダウンしない」という稼働時間ポリシーを希望する場合、紳士協定に従うのではなく、それらのルールを規定したサービス レベル契約に対して料金を支払う必要があります。
答え2
私の意見では、率直に話してください。障害の原因と思われることを説明してください。障害の原因を分析/検証するために何をしているか、そして今後障害を防ぐために何をしようとしているかを説明してください。最も大規模で、技術に精通した組織でさえ、問題は抱えています。Microsoft が DNS を台無しにしたり、TechCrunch が DDOS 攻撃を受けたり、Facebook アカウントが改ざんされたり、Washington Post がドメイン名の有効期限を過ぎたり、などなど。
サイトや資産のセキュリティ保護に十分な注意を払っているのであれば、顧客があなたに求めることはそれだけだと思います。私の意見では、正直さと率直な話し合いが最善策です。
答え3
私は常に最大限の透明性を支持してきました。フォグクリークが計画外の事態を報告した際のオープンさに感銘を受けました。停電数年前、ホスト型 FogBugz サービスについて説明しました。私たちにその内容を伝える必要はありませんでしたが、正直さが信頼を築きます。
答え4
厳しいように聞こえたら申し訳ありませんが、ここで倫理的な質問をするのではなく、ネットワーク全般に問題があったことを伝えて、問題の解決に取り掛かります。倫理的な質問は問題が解決したら後からでも構いません。