ChatGPT o3 – ページ 4

第3回 Step 2: 業務・IT 資産リスクアセスメント — RTO/RPO を数値化する

2025年5月3日 by 塚井海地 / 0件のコメント

導入

BIA で「何が重要か」を把握したら、次は “何がどれだけ危ないか” を定量化 します。ここでは NIST SP 800-30／SP 800-34 と ISO / IEC 27005 の公式ガイダンスを下敷きに、リスクを数値化し、経営の意思決定に直結させる手順を 4 週間で実装します。
NIST – NIST SP 800-30 Rev. 1 Guide for Conducting Risk Assessments
NIST – NIST SP 800-34
国際標準化機構- ISO/IEC 27005:2022

リスクアセスメントの公式フレームワーク

フレームワーク	目的	採用ポイント
NIST SP 800-30	リスク識別・分析・評価の全段階	3 ティア階層で経営層の意思決定を支援 NIST – Guide for Conducting Risk Assessments NIST – Guide for Conducting Risk Assessments (PDF)
NIST SP 800-34	IT コンティンジェンシー計画	RTO/RPO 設定と代替手順を連携 NIST – Contingency Planning Guide for Federal Information Systems
ISO 27005	組織横断の情報リスク管理	ISO 22301/27001 との親和性国際標準化機構 – ISO/IEC 27005:2022
CIS RAM	実装負荷とリスク削減効果のバランス指標	中小規模向けにわかりやすいスコアリング CIS RAM

5-Step リスクアセスメント実践ガイド

Step	活動	成果物	参考 Clause ／セクション
1	資産インベントリ：BIA で抽出した業務を IT 資産にマッピング	資産台帳	NIST 800-30 §2
2	脅威・ハザード特定：自然災害、サイバー、人的、供給網	脅威リスト	ISO 27005 7.2
3	脆弱性評価：技術・プロセス・人的の 3 層	脆弱性一覧	NIST 800-30 §3
4	影響分析 & リスク定量化：S(Severity) × L(Likelihood) で 5×5 マトリクス	リスク登録簿	CIS RAM スコアカード
5	対策優先付け & リスク許容度設定：回避／低減／転嫁／受容	対策ロードマップ	NIST 800-34 §3

リスクアセスメントテンプレートサンプル

資産・プロセス	脅威	脆弱性	影響(Severity 1-5)	発生確率(Likelihood 1-5)	リスク値 (S×L)	対応策	優先度	責任部署	期日
受注処理システム	DDoS攻撃	帯域冗長なし	4	4	16	CDN+WAF導入、BGP Anycast	高	インフラG	2025-06-30
顧客情報DB	不正アクセス	パスワードポリシー緩い	5	4	20	多要素認証、監査ログ強化	最優先	セキュリティG	2025-05-31
物流倉庫	地震による停電	UPS容量不足	3	3	9	UPS増設＋発電機契約	中	総務部	2025-09-30
社内メールサーバ	ランサムウェア	最新パッチ未適用	5	5	25	EDR導入、パッチ自動適用	最優先	IT運用G	2025-05-15

リスクマトリクス例（5×5）

Likelihood→ / Impact↓	1	2	3	4	5
1	1	2	3	4	5
2	2	4	6	8	10
3	3	6	9	12	15
4	4	8	12	16	20
5	5	10	15	20	25

閾値設定例

1–5：許容可（受容）

6–15：要改善（低減・転嫁）

16–25：即時対応（回避・低減）

経営層 & IT 管理者の責任区分

レベル	主担当	決定事項
経営層	CEO / 取締役会	リスク許容度、資金配分
戦略	CIO / CISO	リスク優先順位、ロードマップ
運用	IT 運用部門	技術対策、監視、訓練
監査	内部監査 / 第三者	コンプライアンス評価、改善勧告

30 日スプリント計画

週	マイルストーン	完了条件
1	資産・脅威リスト作成	100 % 資産をカテゴリ別登録
2	脆弱性評価ワークショップ	脆弱性一覧と暫定スコア
3	リスク定量化 & マトリクス策定	リスク登録簿ドラフト完成
4	経営レビュー & 承認	許容度・予算確定、改善計画スタート

90 秒アクションチェックリスト

NIST SP 800-30 の 5-Step を読了
5×5 リスクマトリクスを経営会議で承認
「高リスク ≥16」案件に対策オーナーを割当
リスク登録簿を 30 日ごとに更新・報告

参照リンク一覧

第2回 Step 1: ISO 22301 × FEMA で作る BCP 基本フレームワーク

2025年5月2日 by 塚井海地 / 0件のコメント

導入

BCP 構築を「感覚」で進めると、いざという時に“絵に描いた餅”になります。国際規格 ISO 22301 の PDCA モデルと FEMA 公式フレームワークをベースに、経営と IT が共通言語で議論できる土台を 4 週間で整備しましょう。国際標準化機構　 FEMA

ISO 22301 が示す PDCA サイクル

フェーズ	主要タスク	成果物	参照
Plan	組織スコープ設定・BIA 実施	BIA レポート、BC 方針	ISO 22301 Clause 4–6 国際標準化機構
Do	BCM 運用 & 資源配備	代替サイト／クラウド DR 構成図	同上
Check	KPI／KRI 監視・内部監査	監査報告書	ISO 22301 Clause 9
Act	改善計画・経営レビュー	是正／予防記録	ISO 22301 Clause 10

FEMA Continuity Planning Framework の 4 要素

FEMA の Federal Continuity Directive は、“Staff & Organization, Equipment & Systems, Information & Data, Sites” の 4 つを軸にリスクを最小化します。
FEMA – Federal Continuity Directive

ISO 22301 とのマッピング

FEMA 要素	ISO 22301 Clause	具体的アクション
Staff & Organization	5.3, 7.1	ロール定義、後継者計画
Equipment & Systems	7.2, 8.3	クラウド DR、SaaS 冗長
Information & Data	7.5	暗号化バックアップ、RPO 設定
Sites	8.4	サテライトオフィス、在宅用 VDI

ガバナンスと責任分担

経営層：BC 方針承認、年間 KPI 設定。
BCP 委員会：全社横串で BIA／リスク評価を統括。
IT 部門：RTO/RPO 設計、DR テスト主導。
各部門長：代替手順策定、訓練参加率 100 % を担保。
監査部門：年 1 回 ISO 22301 Clause 9 に基づく内部監査。
国際標準化機構

Business Impact Analysis（BIA）の実践

クリティカル業務選定：社内 20–30 プロセスを洗い出し。
影響尺度設定：財務・顧客・規制・評判の 4 軸。
RTO / RPO 目標化：ISO と FEMA が推奨する“段階式”閾値（≤2h, 2–8h, 8–24h, >24h）。FEMA – Business Process Analysis and Business Impact Analysis User Guide July 2019
FEMA – Continuity Resource Toolkit
優先度付け & 承認：CIO／COO が共同署名。
テンプレート化：次セクションの Excel を利用。

文書化 & 承認フロー

ドラフト（BCP オフィサー）→ レビュー（各部門長）→ 承認（取締役会）
バージョン管理：NIST SP 800-34 付録 D の“文書統制”を踏襲。
NIST Computer Security Resource Center

30 日アクションプラン

週	マイルストーン	完了条件
1	スコープ確定 & BIA キックオフ	キックオフ議事録, 責任マトリクス
2	BIA データ収集	Excel テンプレート 80 % 記入
3	RTO/RPO 設定 & ギャップ分析	IT/業務ギャップ表承認
4	BCP 草案レビュー	取締役会で方針承認

90 秒チェックリスト

ISO 22301 Clause 4–6 を読了
FEMA Continuity Framework の 4 要素を自社にマッピング
BIA テンプレートを全部門へ配布

BIAテンプレートサンプル

業務プロセス	目標復旧時間 (RTO)	目標復旧地点 (RPO)	最大許容停止時間 (MTPD)	地震影響	パンデミック影響	代替手段	所要リソース	優先度	担当部署
受注処理	4 時間	15 分	8 時間	高	中	手動受注フォーム	クラウドCRM	最優先	営業部
顧客サポート	2 時間	0 分	4 時間	中	高	在宅サポート回線	VPN, コールシステム	最優先	CS部
財務決算	24 時間	60 分	48 時間	低	中	クラウドERP	会計SaaS	優先	経理部
物流管理	8 時間	30 分	12 時間	高	中	第三倉庫利用	WMS, 運送会社	優先	物流部

30 日アクションプランを経営会議に上程

参照リンク一覧

第1回 RTO（Return-to-Office）と災害リスクが交差する 2025 — 現状を読み解く

2025年5月1日 by 塚井海地 / 0件のコメント

導入

パンデミック収束後、世界の企業の 66 % 以上が「週 1 日以上の出社」を義務化しています。それでも日本は巨大地震・感染症再流行という二重リスクを抱え、単純な出社回帰だけでは事業継続が揺らぎかねません。まずは**“出社義務 × BCP” のギャップ**を定量的に把握することが出発点です。

RTO/BCPギャップ分析シートサンプル

重要業務機能	現行勤務形態	BCP整備状況	地震対策	パンデミック対策	ITレジリエンス	RTOリスクメモ	優先度	次のアクション	担当者
営業・顧客サポート	出社	ドラフト	部分対応	全面対応	Tier III データセンター	本社が震度6強想定地域に所在。通勤交通寸断の恐れ。	高	本社ビル耐震補強／営業拠点分散（Q3）	営業本部長
基幹業務システム（ERP）	ハイブリッド	承認済	全面対応	部分対応	クラウド（マルチ AZ）	週2日本社勤務必須。VPN容量が逼迫。	中	DR訓練を5月実施	情報システム部長
給与計算	リモート	部分対応	未対応	全面対応	SaaS	在宅PCの性能差が大きい。	高	SD-WAN冗長化を検討	人事部長
データ分析プラットフォーム	ハイブリッド	未着手	未対応	未対応	クラウド（シングル AZ）	BIツールが単一リージョンに依存。	低	リージョン間レプリケーション設定	データ分析室長
コールセンター	出社	部分対応	全面対応	部分対応	オンプレミス冗長構成	拠点一極集中のため同時被災リスク高。	高	地方バックアップセンター検討	CS部長

グローバル RTO の潮流（2024–2025）

完全フレックスを維持できた企業は 25 % に減少。
2/3 の企業が「最低週 1 日」出社を義務化。
McKinsey の 8,426 名調査では、「仕事への集中度」は出社組 34 %、リモート組 29 % と僅差。成果を左右するのは勤務形態より“組織文化”。

出社回帰を促す 3 つの世界的ドライバー

イノベーション密度の低下（対面コラボ減）
メンタリング機会の不足（とくに Z 世代）
管理コストの上昇（チーム間サイロ化）

日本企業が抱える 3 つのギャップ

1. 地震リスク × 物理集中

USGS は 2023 年 10 月の伊豆諸島群発地震（M5.5 級 ×15 連発） を報告。オフィス集約型企業は「同点同時被災」の確率が高い。
推奨対策：サテライトオフィス + クラウド DR（マルチ AZ／リージョン）。

2. パンデミック再来リスク × 高密度オフィス

WHO の PRET イニシアチブは病原体グループ単位で平時から備える手順を提唱。換気・ゾーニング・休校時テレワーク切替フローが必須。

3. ハイブリッド雇用 × 制度・文化不整合

McKinsey は「RTO 成功のカギは 5 つの実践（コラボ・つながり・イノベ・メンター・スキル開発）」と指摘。
日本では評価制度・交通費精算・PC サプライチェーンが依然 “出社前提” → オンサイト偏重バイアス が残存。

経営者・役員が取るべき 3 つの視点

視点	チェックポイント	参照リンク
ガバナンス	取締役会に「BCP & RTO」専任 KPI を設置	ISO 22301:2019 – Business Continuity Management Systems
投資	サテライト席 × クラウド DR の CAPEX／OPEX 試算	AWS Whitepaper – Disaster Recovery of Workloads on AWS
人材	管理職の業務設計力を測定し、研修を義務化	McKinsey – Returning to the Office? Focus More on Practices and Less on the Policy

90 秒アクションリスト

地震対応：主要業務の RTO（Recovery Time Objective）を再計算。
感染症対応：WHO PRET ベースの階層型マニュアルを整備。
人事制度：在宅／出社を問わず成果 KPI を統一し、交通費精算を再設計。
訓練：FEMA 推奨の年 2 回 BC/DR 演習を RTO シナリオ込みで実施。fema.gov

まとめ

出社義務は目的ではなく手段。
“オフィス集中”がリスクを高める日本では、地震・感染症・ハイブリッド文化の 3 ギャップを埋めることが 2025 年の最優先課題です。

次回は Step 1: ISO 22301 × FEMA で作る BCP 基本フレームワーク を詳述します。

2025年12月
月	火	水	木	金	土	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31