タグ: FEMA

第6回 Step 5: 訓練・演習・シミュレーション ―― FEMA × ISO で作る “動く BCP”

by 塚井海地 / 0件のコメント

導入

計画と設計が完璧でも、演習を回さなければ BCP は絵に描いた餅
FEMA の Continuity Guidance Circular (CGC)HSEEP、そして ISO 22301 Clause 10 / ISO 22398 が推奨する 3 種の年次演習をベースに、測定指標(KPI/KRI) まで落とし込む方法を解説します。​

FEMA が推奨する 3 つの演習タイプ

タイプ特徴目的KPI (例)
テーブルトップ会議室でのシナリオ討議意思決定フロー検証重要判断 30 min 以内
機能訓練実機で部分的手順を検証技術手順・RTO 測定RTO 達成率 95 % 以上
総合演習現場と IT を統合して実動全社的レスポンス検証復旧 + コミュニケーション成功率 90 % 以上

HSEEP は計画 ⇒ 実施 ⇒ 評価 ⇒ 改善の 4 フェーズで演習ライフサイクルを管理。

ISO 22301 Clause 10 “Performance Evaluation” × 演習指標

Clause 10 要件演習で測定する KPI / KRIデータ収集方法
10.1 監視・測定RTO 実測値, コミュニケーション遅延DR ダッシュボード, コールログ
10.2 内部監査改善事項 Close 率監査レポート, チケット
10.3 マネジメントレビュー演習結果 → 改善計画承認までの日数会議議事録

30 日 “演習プログラム立ち上げ” スプリント

マイルストーン完了条件
1HSEEP ベース演習計画ドラフト3 タイプの演習頻度設定
2KPI/KRI 定義 & ダッシュボード設計タイムライン & 記録項目を確定
3部門説明会 & 参加者確定参加表明率 95 % 以上
4テーブルトップ演習実施 & AAR(After Action Report)改善事項リスト化、オーナー割当

改善サイクル(AAR → CAP)

  1. 実施翌日:ファシリテータが AAR をドラフト。
  2. 1 週間以内:責任者が CAP(Corrective Action Plan) を承認。
  3. 次回演習前:CAP 完了率 100 % を目標に監査。

90 秒アクションチェックリスト

  • CGC 付属の Exercise & Evaluation Guide をダウンロード
  • 演習スケジュールテンプレート に 1 年分の日付を入力
演習スケジュールテンプレートサンプル
演習名演習タイプシナリオ頻度次回予定日参加部門主要目標測定指標責任者
地震テーブルトップ演習テーブルトップ震度7 首都直下地震年 1 回2025-09-15経営層 + 各部門長意思決定速度 30 分以内決定時間BCP オフィサ
DRフェイルオーバー機能訓練機能訓練AWS ap-northeast-1 停電半期 1 回2025-07-20IT Ops + SRE + DBARTO 15 分達成実測 RTOクラウドOpsMgr
パンデミック全社総合演習総合演習感染症 Alert Level 32 年 1 回2026-02-10全社員 + サプライヤ在宅勤務率 90 % 以上在宅率・応答率HR部長


















  • KPI/KRI を Clause 10 にマッピングし、監査部門と合意
  • AAR → CAP フローをワークフローシステムに組み込み

参照リンク一覧

第2回 Step 1: ISO 22301 × FEMA で作る BCP 基本フレームワーク

by 塚井海地 / 0件のコメント

導入

BCP 構築を「感覚」で進めると、いざという時に“絵に描いた餅”になります。国際規格 ISO 22301 の PDCA モデルFEMA 公式フレームワークをベースに、経営と IT が共通言語で議論できる土台を 4 週間で整備しましょう。​国際標準化機構 FEMA

ISO 22301 が示す PDCA サイクル

フェーズ主要タスク成果物参照
Plan組織スコープ設定・BIA 実施BIA レポート、BC 方針ISO 22301 Clause 4–6
国際標準化機構
DoBCM 運用 & 資源配備代替サイト/クラウド DR 構成図同上
CheckKPI/KRI 監視・内部監査監査報告書ISO 22301 Clause 9
Act改善計画・経営レビュー是正/予防記録ISO 22301 Clause 10

FEMA Continuity Planning Framework の 4 要素

FEMA の Federal Continuity Directive は、“Staff & Organization, Equipment & Systems, Information & Data, Sites” の 4 つを軸にリスクを最小化します。
FEMA – Federal Continuity Directive

ISO 22301 とのマッピング

FEMA 要素ISO 22301 Clause具体的アクション
Staff & Organization5.3, 7.1ロール定義、後継者計画
Equipment & Systems7.2, 8.3クラウド DR、SaaS 冗長
Information & Data7.5暗号化バックアップ、RPO 設定
Sites8.4サテライトオフィス、在宅用 VDI

ガバナンスと責任分担

  • 経営層:BC 方針承認、年間 KPI 設定。
  • BCP 委員会:全社横串で BIA/リスク評価を統括。
  • IT 部門:RTO/RPO 設計、DR テスト主導。
  • 各部門長:代替手順策定、訓練参加率 100 % を担保。
  • 監査部門:年 1 回 ISO 22301 Clause 9 に基づく内部監査。
    国際標準化機構

Business Impact Analysis(BIA)の実践

  1. クリティカル業務選定:社内 20–30 プロセスを洗い出し。
  2. 影響尺度設定:財務・顧客・規制・評判の 4 軸。
  3. RTO / RPO 目標化:ISO と FEMA が推奨する“段階式”閾値(≤2h, 2–8h, 8–24h, >24h)。​FEMA – Business Process Analysis and Business Impact Analysis User Guide July 2019
    FEMA – Continuity Resource Toolkit
  4. 優先度付け & 承認:CIO/COO が共同署名。
  5. テンプレート化:次セクションの Excel を利用。

文書化 & 承認フロー

  • ドラフト(BCP オフィサー)→ レビュー(各部門長)→ 承認(取締役会)
  • バージョン管理:NIST SP 800-34 付録 D の“文書統制”を踏襲。
    NIST Computer Security Resource Center

30 日アクションプラン

マイルストーン完了条件
1スコープ確定 & BIA キックオフキックオフ議事録, 責任マトリクス
2BIA データ収集Excel テンプレート 80 % 記入
3RTO/RPO 設定 & ギャップ分析IT/業務ギャップ表 承認
4BCP 草案レビュー取締役会で方針承認

90 秒チェックリスト

  • ISO 22301 Clause 4–6 を読了
  • FEMA Continuity Framework の 4 要素を自社にマッピング
  • BIA テンプレートを全部門へ配布
BIAテンプレートサンプル
業務プロセス目標復旧時間 (RTO)目標復旧地点 (RPO)最大許容停止時間 (MTPD)地震影響パンデミック影響代替手段所要リソース優先度担当部署
受注処理4 時間15 分8 時間手動受注フォームクラウドCRM最優先営業部
顧客サポート2 時間0 分4 時間在宅サポート回線VPN, コールシステム最優先CS部
財務決算24 時間60 分48 時間クラウドERP会計SaaS優先経理部
物流管理8 時間30 分12 時間第三倉庫利用WMS, 運送会社優先物流部


















































  • 30 日アクションプランを経営会議に上程

参照リンク一覧