AI – ページ 11 – Kaichi Tsukai

第2回：レイアウト＆動線最適化 ― 1 ㎡あたりの生産性を高める

2025年5月9日 by 塚井海地 / 0件のコメント

（全10回連載：IT資産ストレージ運用・管理ガイド）

1. なぜ“配置”が利益を左右するのか

ピッキング距離は倉庫コストの約 50 % を占める（Optioryx 研究）
Optioryx blog – Guide to Warehouse Slotting in 2025
レイアウト再設計だけで「移動距離 10〜30 %削減」 が可能と複数のスロッティング事例が報告されています。
Logistics Bureau – Product Slotting in a Warehouse: Complete Guide
Optioryx blog – Guide to Warehouse Slotting in 2025
1 ㎡の収納効率 が高まると、同じ床面積で 中古PC隔離エリア や 保証書アーカイブ棚 を新設でき、在庫差異率・監査コストも抑えられます。

2. 基本フレーム：EIQ-ABC-SLP 法

イニシャル	意味	現場への落とし込み
E	Equipment Flow	棚配置は入荷→検査→保管→ピック→廃棄の“一方通行”に
I	Information Flow	棚番を CMDB と 1:1 対応させリアルタイム在庫可視化
Q	Quantity Flow	高発生量ゾーン＝入口近く・低発生量ゾーン＝高所 or 奥へ
ABC	需要頻度別分類	A=高頻度 (PC/モバイル)・B=中頻度 (周辺機器)・C=低頻度 (保証書)
SLP	Systematic Layout Planning	ゾーン関係図 → スペース関係図 → 具体配置図の 3ステップ

2024 年の研究では、EIQ-ABC-SLP 手法でピッカー距離を平均 27 %削減できたと報告されています。
ResearchGate – Research on Layout Optimization of Warehouse Functional Area Based on EIQ-ABC-SLP Method

3. 動線短縮３原則

ファーストインジパレル方式
Aクラス資産は入口から 5 m 以内、出口から 10 m 以内を死守。
www.alexanderjarvis.com – Slotting Optimization Rate
セーフティ×ナローアイル
- 標準通路幅：4 ft + 最大機材幅 36 in が安全指標。
  ecseco.com – Maximizing Efficiency and Safety: A Guide to Warehouse Aisle Widths
- 機材を電動ハンドリフトに限定できるなら6–8 ft ナローアイルで棚数 30〜40 %増。
  ioptimizerealty.com – Warehouse Layout Design Best Practices: Aisle Width, Product Flow, and More
垂直活用と重力ピッキング
頻度×重量マトリクスで Tier を決定。
- A×Heavy：腰〜胸
- B×Light：足元
- C×Any：最上段 or アーカイブ室

4. ゾーンマップ作成ステップ（所要 90 分）

床面採寸 → 方眼紙 1 マス＝0.5 m 換算
フローダイヤ（入荷→出荷）を矢印で記入
ゾーン色分け
- Zone A：PC･モバイル (週次出入り) — 赤
- Zone B：周辺機器 (月次) — 黄
- Zone C：保証書･廃棄待ち (年次) — 青
通路幅チェック：最小 1.2 m (通行)／2.4 m (フォークリフト)
棚ID付番：<Zone><棚番号>（例 A3）でユニーク化
Excel台帳連携：棚ID列を追加し VLOOKUP で紐付け

5. テンプレート配布

下記の Excel サンプルでは、Zone / Shelf_ID / Tier / Category を入力すると、Category（A・B・C）に基づく在庫比率が自動的に関数で集計されます。

Download 棚番ゾーンマップ関数集計.xlsx

6. 14-Day クイックアクションプラン

Day	タスク	成果物
1	倉庫採寸・現行棚配置図作成	手書き平面図
2–3	資産A/B/C分類 (出庫頻度ログ参照)	ABC一覧シート
4–6	新レイアウト案を作図 (draw.io)	PNG 図面 v1
7	安全通路幅チェック & 修正	図面 v2
8–10	棚移動・通路マーキング	床テープ完了
11	棚IDラベル貼付・CMDB更新	ラベル完了
12	サンプル棚卸し（10 アイテム）	差異率報告
13	KPI設定 (距離/pick, picks/hr)	ダッシュボード初期値
14	レビュー & 改善計画書	次月To-Do

7. KPIサンプル値

指標	Before	Target	備考
ピッカー移動距離 / Pick	42 m	30 m (-28 %)	Optioryx指標 Optioryx blog – Guide to Warehouse Slotting in 2025
Picks / Hour	48	60	※人員同数
Cube Utilization	55 %	70 %	ナローアイル導入時

8. 次回予告

第3回：資産タグ付けと自動認識 ― バーコード vs. RFID vs. BLE
コスト比較表と RFID Read-Rate 95 % を達成するアンテナ配置法を解説します。

第1回：ストレージルーム診断 ― 混沌を「見える化」する

2025年5月8日 by 塚井海地 / 0件のコメント

（全10回連載：IT資産ストレージ運用・管理ガイド）

1. はじめに ― “倉庫崩壊”はなぜ起こるのか

中小企業 (PC 100 台規模) では、**「物品は入るのに台帳は更新されない」**という断絶が常態化しがちです。具体的には ①セキュリティ事故 ②コスト増 ③法令・監査リスクという“三重苦”が発生します。国際規格 ISO/IEC 19770-1 (ITAM) が示す成熟度モデルでも、最下位レベルは「資産の正確な所在が把握できない」状態と定義されています。

本連載のゴール
6 か月以内に “検索性 30 秒以内” のストレージルームを実現し、その状態を 継続的に維持 する仕組みを構築することです。

2. ITAM成熟度セルフチェックフレームワーク

ISO 19770-1では、方針 → プロセス → データ → ツール の4軸で成熟度を段階評価します。本記事では、それを現場で測定可能な 30 項目チェックリストに落とし込みました（後述テンプレート参照）。

2-1 項目設計のポイント

軸	代表質問例	測定指標
方針	廃棄基準を文書で定義しているか	Yes/No
プロセス	棚卸しの頻度は年2回以上か	回/年
データ	台帳と実物の差異率	％
ツール	タグ読み取りが自動化されているか	Yes/No

3. 30 項目チェックリストの使い方

所要時間：約60 分
チェック項目を現地確認しながら Yes/No で選択。
採点
Yes = 1 点、No = 0 点 で合計 30 点満点。
評価基準
- 0–14 点：Redゾーン（緊急是正）
- 15–24 点：Yellowゾーン（3 か月改善）
- 25 点以上：Greenゾーン（維持＋最適化）

👉 サンプルテンプレートは下記からダウンロードできます。各列に「現状」「点数 (0/1)」「コメント」を入力すると自動で合計点とゾーンを色分け表示します。

Download 現状診断チェックシートサンプル.xlsx

4. “数字”を集める前準備 ― 二重台帳の統合

棚札や保証書が紙束のまま保管されている場合、まず 物理在庫ラベル ⇔ 電子台帳 (CSV/Excel) の突合せが必要です。AssetPanda 2024 GUIDE は「差異率 5 % 未満」を維持基準としています。

鍵は Unique ID の一意性
- ハード ID (シリアル) + サブID (付属品/保証書) を命名規則で決定
突合手法
1. バーコード／RFID 一括読み取り
2. CSV へエクスポート
3. VLOOKUP または Power Query で差分抽出

5. 視覚マップで“倉庫迷路”を共有

Cloudaware 2025 HAM ガイドは、ゾーン/棚/階層 を色分けした「ヒートマップ式レイアウト」を推奨しています。

作成ステップ

無料ツール draw.io で倉庫の俯瞰図を作成
棚番号を頂点ラベルで記入
資産カテゴリをレイヤーで色付け
PNG 書き出し → SharePoint/Teams へ共有

TIP: 更新頻度はレイアウト変更時 + 月次棚卸し。古い図面は「廃止版」と明示して誤使用を防止します。

6. 診断後のクイックウィン (2 週間プラン)

優先度	ボトルネック	14 日間での是正策
★★★	棚番号が欠落	シール印刷 + 図面更新
★★	タグ未貼付資産	固定資産番号で統一ラベル発行
★★	廃棄隔離が未実施	「廃棄予定」ラックを追加
★	保証書散逸	スキャナでPDF化し台帳リンク
★	台帳差異 >10%	イレギュラー棚卸しを即実施

7. 次回予告

第2回は 「レイアウト＆動線最適化：1 ㎡あたりの生産性を高める」 を取り上げます。ABC 分析と「通行距離 30 ％削減」を目指す棚配置法を解説します。お楽しみに！

第 7 回（最終回）Step 6: ガバナンスと継続的改善 ―― KPI／KRI ダッシュボードと取締役会レポートの実装

2025年5月7日 by 塚井海地 / 0件のコメント

導入

BCP は「作って終わり」ではなく “回し続けて改善” して初めて価値を生みます。ISO 22301 Clause 10 は パフォーマンス評価 → 内部監査 → 経営レビュー → 改善 をサイクルで回すことを要求し、COSO ERM や IIA Three Lines Model は 取締役会の可視性 を高める仕組みを求めています。本稿では KPI／KRI ダッシュボード と ボード向け四半期レポート を 30 日で実装する手順を示します。
ISO – Online Browsing Platform (OBP)
COSO – Enterprise Risk Management
PwC -Overseeing cyber risk: the board’s role
IIA – The IIA’s Three Lines Model (PDF)

ガバナンス参照フレームワーク

フレームワーク	目的	実装ポイント	参照
ISO 22301 Clause 10	KPI/KRI の設定と改善	RTO/RPO, 演習完了率, CAP Close 率	ISO – Online Browsing Platform (OBP)
COSO ERM (2017)	戦略とリスクの統合	“リスク調整後 KPI” を財務指標に連結	COSO – Enterprise Risk Management
IIA Three Lines Model (2020)	役割分担・独立性の明確化	1st: Ops, 2nd: Risk/Compliance, 3rd: Internal Audit	IIA – The IIA’s Three Lines Model (PDF)
Gartner BCM Metrics (2024)	実践的メトリクス例	平均復旧時間, 演習 ROI	Gartner – Risk Response Accelerator: Business Continuity Management
WEF Global Risks Indicators (2025)	マクロ KRI	地政学・サプライチェーン指標を外部連携	World Economic Forum – Global Risks Report 2025

KPI／KRI ダッシュボード設計

カテゴリ	代表指標	目標値	データソース	更新頻度
復旧能力 KPI	平均 RTO (主要5システム)	≤ 20 分	DR ツール自動計測	リアルタイム
備え KPI	演習完了率	100 % / 半期	BCP LMS	月次
脅威 KRI	重大インシデント件数	0 / 四半期	SIEM	日次
性能 KRI	RTO 未達率	0 %	DR ダッシュボード	月次
外部 KRI	Global Supply-Chain Pressure Index	≤ 1σ	Fed Reserve／WEF	月次

TIP: KPI は “目標達成度”、KRI は “早期警戒”。ISO 22301 では両方を要監視。

KPI/KRI ダッシュボード（サンプル）

カテゴリー	指標名	単位	目標値	最新値	状態	更新日	データソース	更新頻度	責任者
復旧能力 KPI	平均RTO (主要5システム)	分	20	18	良好	2025-04-29	DRダッシュボード	リアルタイム	CIO
備え KPI	演習完了率	%	100	95	要改善	2025-04-29	BCP LMS	月次	BCP Office
脅威 KRI	重大インシデント発生件数	件/四半期	0	1	注意	2025-04-29	SIEM	日次	CISO
性能 KRI	RTO未達率	%	0	5	注意	2025-04-29	DRダッシュボード	月次	BCP Office
外部 KRI	Global Supply‑Chain Pressure Index	指数	1	1.3	注意	2025-04-29	Fed Reserve / WEF	月次	Risk Mgmt

取締役会レポートの5セクション

概要サマリ – 直近四半期の成果＆課題
主要リスク動向 – 内外部 KRI とトレンド
KPI ハイライト – 目標対比、トレンドチャート
改善計画 / 予算要求 – CAP 進捗と投資見込み
次期アクション – 次四半期の重点施策

取締役会レポートテンプレート（サンプル）

項目	内容サンプル	責任部門
概要サマリ	第2四半期はBCP演習を2件実施し、平均RTOは目標を達成。	BCP Office
主要リスク動向	地政学リスクの高まりによりサプライチェーン遮断リスクが上昇。	Risk Mgmt
KPIハイライト	平均RTO: 18分 (目標20分)、演習完了率: 95% (目標100%)	CIO Office
改善計画・予算要求	フェイルオーバー自動化追加予算 1200万円を要求。	Finance
次回アクション	来期までに演習完了率を100%に引き上げる。	BCP Office

30 日ダッシュボード実装プラン

週	マイルストーン	完了条件
1	KPI/KRI 定義 & データマッピング	データソース合意、算出式確定
2	ダッシュボード試作 (BI ツール or Excel)	RAG ステータス自動反映
3	ボードレポート雛形作成	5 セクション + グラフ完成
4	ユーザーテスト & ロールアウト	CIO / Audit / Board にレビュー

90 秒アクションチェックリスト

KPI/KRI ダッシュボード に自社データを流し込み
取締役会レポートを次の定例会にアジェンダ追加
Three Lines Model に基づき“レビュー責任者”を割当
CAP 完了率を次回からダッシュボードに追加

参照リンク一覧

第6回 Step 5: 訓練・演習・シミュレーション ―― FEMA × ISO で作る “動く BCP”

2025年5月6日 by 塚井海地 / 0件のコメント

導入

計画と設計が完璧でも、演習を回さなければ BCP は絵に描いた餅。
FEMA の Continuity Guidance Circular (CGC) と HSEEP、そして ISO 22301 Clause 10 / ISO 22398 が推奨する 3 種の年次演習をベースに、測定指標（KPI/KRI） まで落とし込む方法を解説します。

FEMA が推奨する 3 つの演習タイプ

タイプ	特徴	目的	KPI (例)
テーブルトップ	会議室でのシナリオ討議	意思決定フロー検証	重要判断 30 min 以内
機能訓練	実機で部分的手順を検証	技術手順・RTO 測定	RTO 達成率 95 % 以上
総合演習	現場と IT を統合して実動	全社的レスポンス検証	復旧 + コミュニケーション成功率 90 % 以上

HSEEP は計画 ⇒ 実施 ⇒ 評価 ⇒ 改善の 4 フェーズで演習ライフサイクルを管理。

ISO 22301 Clause 10 “Performance Evaluation” × 演習指標

Clause 10 要件	演習で測定する KPI / KRI	データ収集方法
10.1 監視・測定	RTO 実測値, コミュニケーション遅延	DR ダッシュボード, コールログ
10.2 内部監査	改善事項 Close 率	監査レポート, チケット
10.3 マネジメントレビュー	演習結果 → 改善計画承認までの日数	会議議事録

30 日 “演習プログラム立ち上げ” スプリント

週	マイルストーン	完了条件
1	HSEEP ベース演習計画ドラフト	3 タイプの演習頻度設定
2	KPI/KRI 定義 & ダッシュボード設計	タイムライン & 記録項目を確定
3	部門説明会 & 参加者確定	参加表明率 95 % 以上
4	テーブルトップ演習実施 & AAR（After Action Report）	改善事項リスト化、オーナー割当

改善サイクル（AAR → CAP）

実施翌日：ファシリテータが AAR をドラフト。
1 週間以内：責任者が CAP（Corrective Action Plan） を承認。
次回演習前：CAP 完了率 100 % を目標に監査。

90 秒アクションチェックリスト

CGC 付属の Exercise & Evaluation Guide をダウンロード
演習スケジュールテンプレート に 1 年分の日付を入力

演習スケジュールテンプレートサンプル

演習名	演習タイプ	シナリオ	頻度	次回予定日	参加部門	主要目標	測定指標	責任者
地震テーブルトップ演習	テーブルトップ	震度7 首都直下地震	年 1 回	2025-09-15	経営層 + 各部門長	意思決定速度 30 分以内	決定時間	BCP オフィサ
DRフェイルオーバー機能訓練	機能訓練	AWS ap-northeast-1 停電	半期 1 回	2025-07-20	IT Ops + SRE + DBA	RTO 15 分達成	実測 RTO	クラウドOpsMgr
パンデミック全社総合演習	総合演習	感染症 Alert Level 3	2 年 1 回	2026-02-10	全社員 + サプライヤ	在宅勤務率 90 % 以上	在宅率・応答率	HR部長

KPI/KRI を Clause 10 にマッピングし、監査部門と合意
AAR → CAP フローをワークフローシステムに組み込み

参照リンク一覧

第5回 Step 4: ハイブリッド勤務 × 人的資源の確保　―― 出社義務回帰期でも回る “人材レジリエンス” の作り方

2025年5月5日 by 塚井海地 / 0件のコメント

導入

巨大地震・パンデミックに備えた BCP は、インフラだけでは不十分です。**「オフィスに来られなくても事業を止めない」**ためには、ハイブリッド勤務を前提とした人材ポートフォリオを整え、バックアップ要員・クロストレーニング・人事制度を統合的に設計する必要があります。
最新調査によると、CHRO の 71 % が “ハイブリッド勤務を人材リスク低減の核心” と回答しており、出社義務を再導入する企業でもフレキシビリティ確保が課題となっています。
shrm.org – CHRO PRIORITIES AND PERSPECTIVES(PDF)

グローバル・ベストプラクティス 4 選

出典	キーインサイト	実装ヒント
SHRM CHRO Priorities 2025	ハイブリッド制度の有無が離職率に最大 18 pt 影響	週 2 日以下の出社義務でも「対面価値」を明文化 shrm.org – TOP CHRO PRIORITIES ALIGN WITH STRATEGIC BUSINESS GOALS FOR 2025(PDF)
Microsoft Work Trend Index 2025	58 % の従業員が “出社価値>通勤負担” と感じれば自発的にオフィスへ	オフィス体験（学び・交流）を KPI 化マイクロソフト – 2025: The Year the Frontier Firm Is Born
Deloitte 2024 Human Capital Trends	“人間中心”設計が離職抑制・生産性向上にリンク	ワークデザインを「成果＋ウェルビーイング」で評価 Deloitte United States – 2025: The Year the Frontier Firm Is Born(PDF)
WEF Future of Jobs 2025	24 % の職種が 2027 までに“リスキル必須”	年間 40 h のスキルアップを契約条項化 reports.weforum.org – Future of Jobs Report 2025(PDF)

3-Layer 人材レジリエンスモデル

レイヤ	目的	代表施策	評価指標 (例)
Core （常駐/高優先）	災害時も 2 h 以内に再稼働	サテライトオフィス契約／交代シフト	RTO 遵守率, シフト充足率
Hybrid （週 1–3 日出社）	出社価値最大化と通勤負担最小化	コラボ曜日固定, クロストレ訓練	出社日満足度, クロストレ率
Remote-First	地域/国を跨いだ人材確保	“Follow-the-Sun” サポート, BPO	平均応答時間, 離職率

ハイブリッド勤務リスクマトリクス

リスク	発生要因	兆候	低減策	参照
プロキシミティ・バイアス	管理職が出社者を高評価	オンサイト者の昇進率上昇	人事 KPI を成果中心に再設計	Microsoft WTI マイクロソフト – Work Trend Index Special Report
通信障害	ISP 障害／VPN 集中	ビデオ会議遅延	SD-WAN + LTE バックアップ	ISO 27031
代替要員不在	単能工依存	休日要員不足	クロストレーニング 20 % ルール	SHRM Toolkit shrm.org – Flexible work arrangements

人的 BCP の 30 日スプリント

週	マイルストーン	完了条件
1	ロール分類 & 出社依存度評価	“Hybrid Workforce Template” 80 % 記入
2	バックアップ要員 & クロストレ計画	RTO/RPO をロール単位で設定
3	HR ポリシー改訂ドラフト	成果中心 KPI／評価指標を明文化
4	演習 & フィードバック	2 ケース（地震・パンデミック）で机上演習実施

90 秒アクションチェックリスト

サンプル付き Hybrid Workforce Template に自社ロールを入力

Hybrid Workforce Template サンプル

職種/ロール	所属部署	出社依存度	リモート可否	バックアップ要員	クロストレーニング済	重要度	RTO (時間)	パンデミック対策	地震対策	次のアクション	オーナー
カスタマーサポート	CS部	低	◯	在宅サポート契約者	◯	高	2	在宅VPN + クラウドCRM	地方BPO拠点	VPN増強	CSマネージャ
営業担当	営業部	中	△	地域営業サブ	△	高	4	Web会議セールス	サテライトオフィス	Webデモトレーニング	営業本部長
経理スタッフ	経理部	高	×	アウトソースBPO	×	中	24	クラウド会計SaaS	データバックアップ	紙ベース廃止	経理部長
クラウドエンジニア	IT基盤G	低	◯	SREチーム	◯	高	1	AWS WorkSpaces	マルチAZ	IaC自動化演習	クラウドOpsMgr
人事マネージャ	HR部	中	△	HR副部長	△	中	8	在宅HRIS	リモート勤怠承認	交代要員訓練	HR部長

出社依存度「高」ロールのバックアップ要員を 2 名以上定義
クロストレーニング計画を年 2 回の演習に組み込み
成果中心の KPI を人事制度に反映し、プロキシミティ・バイアスを軽減

参照リンク一覧

第4回 Step 3: レジリエントなインフラ／クラウド設計 ―― AWS × Microsoft 365 ベストプラクティス

2025年5月4日 by 塚井海地 / 0件のコメント

導入

BIA とリスク評価が終わったら、「止めない仕組み」の設計が次の勝負所です。
本稿では AWS Well-Architected Resilience Pillar と Microsoft 365 / Windows 365 の BCDR ガイドを軸に、マルチ AZ／マルチ Region／SaaS 冗長化 の実装ステップを 4 週間で整備する方法を解説します。
AWS – Well-Architected Framework(PDF)
AWS – Disaster Recovery of Workloads on AWS: Recovery in the Cloud(PDF)
マイクロソフトラーン – Resiliency and continuity overview
マイクロソフトラーン – Business continuity and disaster recovery overview

フレームワークで押さえる 3 つの設計原則

原則	フレームワーク	実装ポイント
ゾーン冗長	AWS Well-Architected “Zonal-Shift”	マルチ AZ ALB、Aurora マルチ AZ
リージョン冗長	AWS Prescriptive Guidance Multi-Region Fundamentals	RTO ≤15 min を要件に Pilot-Light／Warm-Standby／Active-Active を選択 AWS multi-Region fundamentals
SaaS 冗長	Microsoft “Resiliency & Continuity”	OneDrive geo 冗長／Exchange Online DAG／Windows 365 cross-region DR マイクロソフトラーン – Resiliency and continuity overview マイクロソフトラーン – Business continuity and disaster recovery overview

AWS 4 大 DR パターン（RPO/RTO 比較）

パターン	RTO 目標	RPO 目標	コスト	例
バックアップ/リストア	8–24 h	数時間	低	スナップショット + S3/Glacier
Pilot Light	1–4 h	≤1 h	中	最小 EC2 + DB レプリカ
Warm Standby	10–30 min	≤1 min	高	最小縮退構成を待機
Multi-Site Active-Active	<1 min	≈0 s	最高	Route 53 + Global Accelerator

Microsoft 365 / Windows 365 の BCDR キー機能

サービス	高可用性機構	管理者タスク
Exchange Online	データベース可用性グループ（DAG）	テナント-レベルのサービス正常性監視
SharePoint / OneDrive	Geo 冗長ストレージ + バージョン管理	Retention Policy 設定、MFA 強制
Windows 365	Cross-Region DR & 再プロビジョニング	Azure Site Recovery で自動フェイルオーバー

役割分担とガバナンス

レイヤ	主担当	KPI / チェックポイント
戦略	CIO / CISO	RTO/RPO 目標を取締役会で年次更新
設計	クラウドアーキテクト	Well-Architected レビュー年 1 回
運用	SRE / IT Ops	DR フェイルオーバー演習半期 1 回
監査	内部監査 / 第三者	ISO 27031 準拠評価 & 報告

30 日スプリント計画

週	マイルストーン	完了条件
1	DR 目標定義 & パターン選定	RTO/RPO 表を経営承認
2	IaC で DR 環境デプロイ	CloudFormation / Bicep スタック完成
3	自動フェイルオーバー & データ同期	Route 53 ヘルスチェック or Windows 365 ASR
4	DR テスト & 文書化	Failover 成功 + 監査ログ保存

90 秒アクションチェックリスト

AWS Whitepaper “Disaster Recovery of Workloads on AWS” をダウンロード
Microsoft 365 “Resiliency & Continuity” ガイドをブックマーク
DR Architecture Checklist に自社システムを入力

DR アーキテクチャチェックリストサンプル

システム/サービス	稼働リージョン/拠点	RTO 目標	RPO 目標	DR パターン	自動化レベル	フェイルオーバー手順 URL	テスト頻度	次回テスト日	担当者
Webフロント (ALB+EC2)	ap-northeast-1	15 分	1 分	Active‑Active	IaC (CDK)	https://docs.aws.amazon.com/elasticloadbalancing/latest	月次	2025-06-15	クラウドOps
RDS Aurora DB	ap-northeast-1 & ap-northeast-3 (リーダー/リーダー)	5 分	1 分	Global Database (Aurora)	Aurora Global DB 自動同期	https://docs.aws.amazon.com/AmazonRDS/latest	月次	2025-06-15	DBA
Microsoft 365 OneDrive	Microsoft グローバル	0 分	即時	Geo冗長 SaaS	Microsoft 自動	https://learn.microsoft.com/onedrive	四半期	2025-07-01	IT Service Desk
Windows 365 Cloud PC	Azure 東日本 + DR 西日本	30 分	15 分	Cross‑Region DR	Azure Site Recovery	https://learn.microsoft.com/windows-365	四半期	2025-07-10	VDI チーム
社内AD DS	オンプレ DC + AWS Directory Service	60 分	10 分	Pilot Light	CloudFormation	https://docs.aws.amazon.com/directory-service/latest	半期	2025-08-01	IT基盤G

フェイルオーバー演習をカレンダー登録（半年以内）

参照リンク一覧

第3回 Step 2: 業務・IT 資産リスクアセスメント — RTO/RPO を数値化する

2025年5月3日 by 塚井海地 / 0件のコメント

導入

BIA で「何が重要か」を把握したら、次は “何がどれだけ危ないか” を定量化 します。ここでは NIST SP 800-30／SP 800-34 と ISO / IEC 27005 の公式ガイダンスを下敷きに、リスクを数値化し、経営の意思決定に直結させる手順を 4 週間で実装します。
NIST – NIST SP 800-30 Rev. 1 Guide for Conducting Risk Assessments
NIST – NIST SP 800-34
国際標準化機構- ISO/IEC 27005:2022

リスクアセスメントの公式フレームワーク

フレームワーク	目的	採用ポイント
NIST SP 800-30	リスク識別・分析・評価の全段階	3 ティア階層で経営層の意思決定を支援 NIST – Guide for Conducting Risk Assessments NIST – Guide for Conducting Risk Assessments (PDF)
NIST SP 800-34	IT コンティンジェンシー計画	RTO/RPO 設定と代替手順を連携 NIST – Contingency Planning Guide for Federal Information Systems
ISO 27005	組織横断の情報リスク管理	ISO 22301/27001 との親和性国際標準化機構 – ISO/IEC 27005:2022
CIS RAM	実装負荷とリスク削減効果のバランス指標	中小規模向けにわかりやすいスコアリング CIS RAM

5-Step リスクアセスメント実践ガイド

Step	活動	成果物	参考 Clause ／セクション
1	資産インベントリ：BIA で抽出した業務を IT 資産にマッピング	資産台帳	NIST 800-30 §2
2	脅威・ハザード特定：自然災害、サイバー、人的、供給網	脅威リスト	ISO 27005 7.2
3	脆弱性評価：技術・プロセス・人的の 3 層	脆弱性一覧	NIST 800-30 §3
4	影響分析 & リスク定量化：S(Severity) × L(Likelihood) で 5×5 マトリクス	リスク登録簿	CIS RAM スコアカード
5	対策優先付け & リスク許容度設定：回避／低減／転嫁／受容	対策ロードマップ	NIST 800-34 §3

リスクアセスメントテンプレートサンプル

資産・プロセス	脅威	脆弱性	影響(Severity 1-5)	発生確率(Likelihood 1-5)	リスク値 (S×L)	対応策	優先度	責任部署	期日
受注処理システム	DDoS攻撃	帯域冗長なし	4	4	16	CDN+WAF導入、BGP Anycast	高	インフラG	2025-06-30
顧客情報DB	不正アクセス	パスワードポリシー緩い	5	4	20	多要素認証、監査ログ強化	最優先	セキュリティG	2025-05-31
物流倉庫	地震による停電	UPS容量不足	3	3	9	UPS増設＋発電機契約	中	総務部	2025-09-30
社内メールサーバ	ランサムウェア	最新パッチ未適用	5	5	25	EDR導入、パッチ自動適用	最優先	IT運用G	2025-05-15

リスクマトリクス例（5×5）

Likelihood→ / Impact↓	1	2	3	4	5
1	1	2	3	4	5
2	2	4	6	8	10
3	3	6	9	12	15
4	4	8	12	16	20
5	5	10	15	20	25

閾値設定例

1–5：許容可（受容）

6–15：要改善（低減・転嫁）

16–25：即時対応（回避・低減）

経営層 & IT 管理者の責任区分

レベル	主担当	決定事項
経営層	CEO / 取締役会	リスク許容度、資金配分
戦略	CIO / CISO	リスク優先順位、ロードマップ
運用	IT 運用部門	技術対策、監視、訓練
監査	内部監査 / 第三者	コンプライアンス評価、改善勧告

30 日スプリント計画

週	マイルストーン	完了条件
1	資産・脅威リスト作成	100 % 資産をカテゴリ別登録
2	脆弱性評価ワークショップ	脆弱性一覧と暫定スコア
3	リスク定量化 & マトリクス策定	リスク登録簿ドラフト完成
4	経営レビュー & 承認	許容度・予算確定、改善計画スタート

90 秒アクションチェックリスト

NIST SP 800-30 の 5-Step を読了
5×5 リスクマトリクスを経営会議で承認
「高リスク ≥16」案件に対策オーナーを割当
リスク登録簿を 30 日ごとに更新・報告

参照リンク一覧

第2回 Step 1: ISO 22301 × FEMA で作る BCP 基本フレームワーク

2025年5月2日 by 塚井海地 / 0件のコメント

導入

BCP 構築を「感覚」で進めると、いざという時に“絵に描いた餅”になります。国際規格 ISO 22301 の PDCA モデルと FEMA 公式フレームワークをベースに、経営と IT が共通言語で議論できる土台を 4 週間で整備しましょう。国際標準化機構　 FEMA

ISO 22301 が示す PDCA サイクル

フェーズ	主要タスク	成果物	参照
Plan	組織スコープ設定・BIA 実施	BIA レポート、BC 方針	ISO 22301 Clause 4–6 国際標準化機構
Do	BCM 運用 & 資源配備	代替サイト／クラウド DR 構成図	同上
Check	KPI／KRI 監視・内部監査	監査報告書	ISO 22301 Clause 9
Act	改善計画・経営レビュー	是正／予防記録	ISO 22301 Clause 10

FEMA Continuity Planning Framework の 4 要素

FEMA の Federal Continuity Directive は、“Staff & Organization, Equipment & Systems, Information & Data, Sites” の 4 つを軸にリスクを最小化します。
FEMA – Federal Continuity Directive

ISO 22301 とのマッピング

FEMA 要素	ISO 22301 Clause	具体的アクション
Staff & Organization	5.3, 7.1	ロール定義、後継者計画
Equipment & Systems	7.2, 8.3	クラウド DR、SaaS 冗長
Information & Data	7.5	暗号化バックアップ、RPO 設定
Sites	8.4	サテライトオフィス、在宅用 VDI

ガバナンスと責任分担

経営層：BC 方針承認、年間 KPI 設定。
BCP 委員会：全社横串で BIA／リスク評価を統括。
IT 部門：RTO/RPO 設計、DR テスト主導。
各部門長：代替手順策定、訓練参加率 100 % を担保。
監査部門：年 1 回 ISO 22301 Clause 9 に基づく内部監査。
国際標準化機構

Business Impact Analysis（BIA）の実践

クリティカル業務選定：社内 20–30 プロセスを洗い出し。
影響尺度設定：財務・顧客・規制・評判の 4 軸。
RTO / RPO 目標化：ISO と FEMA が推奨する“段階式”閾値（≤2h, 2–8h, 8–24h, >24h）。FEMA – Business Process Analysis and Business Impact Analysis User Guide July 2019
FEMA – Continuity Resource Toolkit
優先度付け & 承認：CIO／COO が共同署名。
テンプレート化：次セクションの Excel を利用。

文書化 & 承認フロー

ドラフト（BCP オフィサー）→ レビュー（各部門長）→ 承認（取締役会）
バージョン管理：NIST SP 800-34 付録 D の“文書統制”を踏襲。
NIST Computer Security Resource Center

30 日アクションプラン

週	マイルストーン	完了条件
1	スコープ確定 & BIA キックオフ	キックオフ議事録, 責任マトリクス
2	BIA データ収集	Excel テンプレート 80 % 記入
3	RTO/RPO 設定 & ギャップ分析	IT/業務ギャップ表承認
4	BCP 草案レビュー	取締役会で方針承認

90 秒チェックリスト

ISO 22301 Clause 4–6 を読了
FEMA Continuity Framework の 4 要素を自社にマッピング
BIA テンプレートを全部門へ配布

BIAテンプレートサンプル

業務プロセス	目標復旧時間 (RTO)	目標復旧地点 (RPO)	最大許容停止時間 (MTPD)	地震影響	パンデミック影響	代替手段	所要リソース	優先度	担当部署
受注処理	4 時間	15 分	8 時間	高	中	手動受注フォーム	クラウドCRM	最優先	営業部
顧客サポート	2 時間	0 分	4 時間	中	高	在宅サポート回線	VPN, コールシステム	最優先	CS部
財務決算	24 時間	60 分	48 時間	低	中	クラウドERP	会計SaaS	優先	経理部
物流管理	8 時間	30 分	12 時間	高	中	第三倉庫利用	WMS, 運送会社	優先	物流部

30 日アクションプランを経営会議に上程

参照リンク一覧

第1回 RTO（Return-to-Office）と災害リスクが交差する 2025 — 現状を読み解く

2025年5月1日 by 塚井海地 / 0件のコメント

導入

パンデミック収束後、世界の企業の 66 % 以上が「週 1 日以上の出社」を義務化しています。それでも日本は巨大地震・感染症再流行という二重リスクを抱え、単純な出社回帰だけでは事業継続が揺らぎかねません。まずは**“出社義務 × BCP” のギャップ**を定量的に把握することが出発点です。

RTO/BCPギャップ分析シートサンプル

重要業務機能	現行勤務形態	BCP整備状況	地震対策	パンデミック対策	ITレジリエンス	RTOリスクメモ	優先度	次のアクション	担当者
営業・顧客サポート	出社	ドラフト	部分対応	全面対応	Tier III データセンター	本社が震度6強想定地域に所在。通勤交通寸断の恐れ。	高	本社ビル耐震補強／営業拠点分散（Q3）	営業本部長
基幹業務システム（ERP）	ハイブリッド	承認済	全面対応	部分対応	クラウド（マルチ AZ）	週2日本社勤務必須。VPN容量が逼迫。	中	DR訓練を5月実施	情報システム部長
給与計算	リモート	部分対応	未対応	全面対応	SaaS	在宅PCの性能差が大きい。	高	SD-WAN冗長化を検討	人事部長
データ分析プラットフォーム	ハイブリッド	未着手	未対応	未対応	クラウド（シングル AZ）	BIツールが単一リージョンに依存。	低	リージョン間レプリケーション設定	データ分析室長
コールセンター	出社	部分対応	全面対応	部分対応	オンプレミス冗長構成	拠点一極集中のため同時被災リスク高。	高	地方バックアップセンター検討	CS部長

グローバル RTO の潮流（2024–2025）

完全フレックスを維持できた企業は 25 % に減少。
2/3 の企業が「最低週 1 日」出社を義務化。
McKinsey の 8,426 名調査では、「仕事への集中度」は出社組 34 %、リモート組 29 % と僅差。成果を左右するのは勤務形態より“組織文化”。

出社回帰を促す 3 つの世界的ドライバー

イノベーション密度の低下（対面コラボ減）
メンタリング機会の不足（とくに Z 世代）
管理コストの上昇（チーム間サイロ化）

日本企業が抱える 3 つのギャップ

1. 地震リスク × 物理集中

USGS は 2023 年 10 月の伊豆諸島群発地震（M5.5 級 ×15 連発） を報告。オフィス集約型企業は「同点同時被災」の確率が高い。
推奨対策：サテライトオフィス + クラウド DR（マルチ AZ／リージョン）。

2. パンデミック再来リスク × 高密度オフィス

WHO の PRET イニシアチブは病原体グループ単位で平時から備える手順を提唱。換気・ゾーニング・休校時テレワーク切替フローが必須。

3. ハイブリッド雇用 × 制度・文化不整合

McKinsey は「RTO 成功のカギは 5 つの実践（コラボ・つながり・イノベ・メンター・スキル開発）」と指摘。
日本では評価制度・交通費精算・PC サプライチェーンが依然 “出社前提” → オンサイト偏重バイアス が残存。

経営者・役員が取るべき 3 つの視点

視点	チェックポイント	参照リンク
ガバナンス	取締役会に「BCP & RTO」専任 KPI を設置	ISO 22301:2019 – Business Continuity Management Systems
投資	サテライト席 × クラウド DR の CAPEX／OPEX 試算	AWS Whitepaper – Disaster Recovery of Workloads on AWS
人材	管理職の業務設計力を測定し、研修を義務化	McKinsey – Returning to the Office? Focus More on Practices and Less on the Policy

90 秒アクションリスト

地震対応：主要業務の RTO（Recovery Time Objective）を再計算。
感染症対応：WHO PRET ベースの階層型マニュアルを整備。
人事制度：在宅／出社を問わず成果 KPI を統一し、交通費精算を再設計。
訓練：FEMA 推奨の年 2 回 BC/DR 演習を RTO シナリオ込みで実施。fema.gov

まとめ

出社義務は目的ではなく手段。
“オフィス集中”がリスクを高める日本では、地震・感染症・ハイブリッド文化の 3 ギャップを埋めることが 2025 年の最優先課題です。

次回は Step 1: ISO 22301 × FEMA で作る BCP 基本フレームワーク を詳述します。

2026年4月
月	火	水	木	金	土	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30