IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. BCPやBCMにおける訓練の進め方(目的、手法、ステップ、シナリオ例)

BCP/BCMの潮流とレジリエンス向上のポイント 第6回

BCPやBCMにおける訓練の進め方(目的、手法、ステップ、シナリオ例)

企業のBCP(Business Continuity Plan:事業継続計画)やBCM(Business Continuity Management:事業継続マネジメント)、レジリエンスの動向と潮流、日本企業の課題、将来像などについて解説する本連載。

第1回から第3回はBCPやBCM、レジリエンスの全体像に関する基礎的な内容、第4回は金融業界のオペレーショナル・レジリエンスの動き、第5回は経営資源の洗い出しなどをそれぞれ解説しました。第6回はBCPやBCM、レジリエンスの仕組みを整備した後に行う、いわゆる「訓練」の概要について解説します

本内容が、ご自身の業界におけるBCPやBCM、レジリエンスについて考えるきっかけとなり、またBCPやBCM、レジリエンスに関わる業務にすでに従事している方にも動向を改めて把握する機会となれば幸いです。

なお、本連載ではBCPとBCMを総称する際に「BCP/BCM」と表現します。また、本記事において意見にわたる部分は、いずれも筆者の私見であり、筆者が所属する法人の見解ではありません。

この記事のポイント


  • 訓練を有意義かつ効果的なものにするためには、訓練の目的を明確にしておくことが大切(「BCP/BCMの定着」と「課題の洗い出し」)

  • 組織のレジリエンスを向上させるためには、複数の訓練手法を組み合わせることが有効。また、小規模な訓練を何度も繰り返し行うことで、より定着効果が期待できる

  • 訓練は、組織全体の判断力や意思決定力を磨く場でもあり、経営者の関与が求められる

BCP/BCM訓練とは

BCP/BCM訓練が必要な理由

緊急時に求められる行動、あるいはBCP(事業継続計画)に則した行動は、緊急時にいきなりやれと言われても難しく、各自が事前に内容や役割を理解し、かつ、実際に行動できるように習熟しておく必要があります。そのための取組みとして行われるのが、今回のテーマとして取り上げる、平時からの「訓練」です。

緊急時に最も懸念されるのは「各自が必要な行動をとれなくなること」です。混乱している状況の中で、平時では経験し得ないような大きなストレスや不安にさらされながら、場合によっては見ず知らずの人とその場で協力し合いながら、冷静に必要な行動を進めていくことは容易ではありません。

そして、どれほど立派なBCPやマニュアルがあっても、現場の誰もそれを理解できていない、使いこなせていない、然るべき行動や判断ができないなど迷いがあると、組織として初動対応や事業継続対応が進まなくなり、重要業務の継続が困難になる恐れがあります。

BCPは策定しただけでは十分ではなく、各自が計画に則した行動がとれるように、平時から理解して習熟しておく必要があり、そのための手段として行われるのが「訓練」といえます。

「訓練」を指す用語の整理

BCP/BCMやレジリエンスの文脈では、「訓練」を意図する用語がいくつか登場することがありますので、ここで簡単に整理しておきます。



表1 「訓練」に関連する用語の例

用語 よく使用される
日本語訳		 概念 学校の勉強(数学)に例えると スポーツ(野球)
に例えると

Training
(トレーニング)

教育・訓練(または、研修)

基礎知識(手順や役割)を理解し習得する
(例:BCPの読み合わせ、レビュー)

  • 教科書や参考書の内容(公式、概念、解法など)の理解、習得

  • ルールの理解

  • 基本動作やフォームの習得

Drill(ドリル)

練習(または、反復練習)

定められた動作や行動を素早く・正確に行えるようにする
(例:避難、安否確認への応答)

  • 計算練習

  • 素振り

Exercise
(エクササイズ)

演習

トレーニングやドリルで培った知識・動作を統合し、組織として 計画通り行動・判断できるようにする
(例:緊急対策本部設置の机上シミュレーション)

  • 応用問題演習

  • 練習試合

Test(テスト)

試験(または、検証)

仕組みが実際に機能するか確認する
(例:バックアップデータによるリストア)

  • 期末試験

  • 試験後の自己採点

  • 試合

  • 試合後の映像分析

ポイントとして、「Exercise(エクササイズ)」「Test(テスト)」を有意義なものにするためには、事前に「Training(トレーニング)」や「Drill(ドリル)」がきちんと行われていること、つまり、基礎ができていることが不可欠です。「Training(トレーニング)」や「Drill(ドリル)」を経ずに、いきなり「Exercise(エクササイズ)」「Test(テスト)を行うのは、数学で基礎的な概念や公式、例題などを学ばないまま、いきなり応用問題や期末試験に挑むようなものです。土台が固まっていない状態で本番に臨むのは、いわば楽譜を読めないまま演奏会に臨むようなもので、効果的な成果を得ることは難しくなります。

ただし、本記事では、便宜上「Training(トレーニング)」「Drill(ドリル)」「Exercise(エクササイズ)」「Test(テスト)」などに分けずに、これらすべての概念を包含する一般的な総称として「訓練」という用語を使用して解説していきます。

訓練の目的

訓練を有意義かつ効果的なものにするためには、訓練の目的を明確にしておくことが大切です。目的を意識しないまま訓練を行うと、訓練を行うこと自体が目的となり、それだけで満足してしまい、訓練という行為自体もやがて形骸化してしまう恐れがあります

また、目的を明確にしておくことにより、目的に合った然るべき訓練のやり方や手法をイメージしやすくなります。訓練の目的としては主に以下の2点があげられます。

BCP/BCM(関連規程、マニュアル、ルール、手順書など)の定着

目的の1つ目は、BCP/BCMを組織に定着させることです。具体的には、各担当者が緊急時の役割を理解し、必要な対応手順やいざというときの心構えを身につけることを指します。これにより、各担当者が緊急時に自らの役割に応じて自律的に行動し、結果として、組織全体としても状況に応じた判断や意思決定を迅速かつ適切に行えるようになることを目指します。誰に何を理解・習得させたいかを突き詰めていくことで、訓練の内容も焦点を絞りやすくなります。

BCP/BCMに関する課題の洗い出し

2つ目は、訓練を通じて、BCP/BCMの整備・運用における実行性(フィジビリティ)の課題や改善すべき点などを積極的に洗い出すことです。こうして洗い出された課題を検討し、BCP/BCMの改善につなげていくようにします。
策定したBCPの使い勝手はどうか(抽象的すぎて具体性に欠ける、あるいは、あまりにも細かく厳密に記載されていて柔軟性に乏しい、などといった課題はないか)、事業継続対応の手順において見過ごされている経営資源がないかなど、積極的に課題を洗い出し、その課題を1つひとつ地道に潰していくことで、BCP/BCMの弱点を補完し、実行性を向上させていくことを目指します。その意味では、訓練は「課題を洗い出す手段・機会」と捉えてもよいと考えます

訓練の手法

手法の主な分類

訓練といっても、必ずしも大掛かりな防災訓練だけを指すわけではありません。さまざまな手法を使い分けたり、段階的に実施したりして、目的や組織の成熟度に応じて訓練を行うことが大切です。以下に主な手法を紹介します。



表2 訓練の手法の例

手法の例 内容の例 メリット デメリット

ウォークスルー

  • BCPの読み合わせ、レビュー、ディスカッション、ワークショップ(勉強会)

  • 短時間での実施が可能

  • 訓練の準備工数が少ない

  • 訓練の難易度を高めることが難しい

机上シミュレーション

  • 緊急時の想定シナリオを作成して、経過に沿った状況を設定し、その状況下で対応すべきことを検討


    – 緊急対策本部の設置

    – 被害状況の把握、情報収集・集約およびエスカレーション

    – 緊急対策本部による各種意思決定

    – 各重要業務の継続・復旧

    – ランサムウェア攻撃による金銭要求被害が発生した場合を想定した経営、法務、広報部門の初動対応

  • シナリオや状況設定により、さまざまな目的、難易度に応じた訓練が可能

  • 経営者や複数部門が参加可能なため、組織横断的な意思決定やエスカレーションの検証に有効

  • 現場の気づきを引き出しやすい

  • 実演を兼ねることも可能

  • 訓練の規模、範囲、参加者が増えるにつれて、準備工数が多くなる

  • 想定シナリオの作成の仕方によっては結論がわかってしまい形式的になりやすい

実働・実演

  • 避難訓練、消火器を使用した消火訓練

  • 安否確認システムを使用した安否確認

  • 衛星携帯電話の使用方法の講習会

  • 代替システムへの切り替え

  • バックアップデータによるリストア

  • 身体やツールを駆使し、実際に行動することにより、他の訓練以上に定着化が図れる

  • 事前の準備・調整など、運営負担が大きくなる場合がある

  • 個々の対策の習得や検証には活用できるが、BCP/BCMの全体の理解や検証には、あまり寄与しない

連携

  • 他部門、グループ会社、取引先、委託先、行政、地域住民などの他組織との共助体制の検証


    – 金融機関によるストリートワイド訓練

  • サプライチェーンや地域防災力の検証に有効

  • 訓練の規模、範囲、参加者が増えるにつれて、準備工数が多くなる

  • 他社との合同訓練では、守秘義務により内部情報を共有しにくい場合がある

手法の有効な活用方法(組み合わせ、反復、業界内連携)

組織のレジリエンス(緊急時に事業継続できる対応能力・回復力、あるいは経営環境の変化に対して柔軟に対応できる能力)を向上させるためには、BCP/BCMに関する組織の成熟度や訓練の目的を踏まえて、複数の手法を組み合わせることが有効です。たとえば、以下のような組み合わせ方が考えられます。

  • ウォークスルー:1か月ごとまたは四半期ごと(関係者でBCPの読み合わせ)
  • 実働・実演:四半期ごと(安否確認など)
  • 机上シミュレーション:半期ごとまたは1年ごと
  • 連携:2年ごと

語学、スポーツ、楽器の演奏など、何かスキルを上達させたい場合、基礎知識の習得段階では、毎回の分量は少しずつでも頻度を多めにして、繰り返しコツコツと反復学習することが効果的です。実はBCP/BCMにも似たところがあり、「年1回、組織横断的な大規模な机上シミュレーション訓練を行う」ことに加えて、たとえば「BCP/BCMに関する研修の一環として10問程度の簡単なクイズを月1回解くようにして反復学習する」というように、小規模な訓練を日常的に頻繁に行うことにより、理解度やリテラシーのさらなる向上が図れると考えられます

また、訓練の手法の中でも、サプライチェーンの複雑化やCSR(企業の社会的責任)といった背景から最近注目されてきているのは「連携」による訓練です。広域災害、あるいはサイバー攻撃などによるシステム障害といった緊急事態は、自社だけで完結できるものとは限りません。取引先、委託先(ベンダー)、行政・地域などとの協力体制に基づく共助による対応が求められます。具体的には、たとえば以下のような事態が考えられます。

  • 主要委託先やサプライヤーが被災した場合どのように代替するか
  • 行政・消防・警察・自治体との情報連携はどのように行うか
  • 同業他社と一時的に人員や設備を共有・融通し合えるか

特に金融機関などでは、取引先・ベンダーを巻き込んだストリートワイド訓練 1 が、オペレーショナル・レジリエンスの観点からも重視されてきています。

訓練の進め方(計画から改善まで)

訓練のステップ

訓練は、「計画(Plan)」「実施(Do)」「振り返り(Check)と改善(Act)」というステップによる、いわゆるPDCAサイクルを踏まえて継続的に進めていきます。



図1 訓練の進め方の例
図1 訓練の進め方の例

さきほど「訓練の目的」の章で、目的の2つ目として「BCP/BCMに関する課題の洗い出し」について触れましたが、訓練を進めるうえでも最も重要なのは「振り返り(Check)と改善(Act)」のステップです。特に、「振り返り(Check)」においては、「課題が出なかった訓練」が成功なのではなく「課題が洗い出された訓練」こそが成功と捉える意識が大切です。そのためにも、仮に訓練の途中で誰かのせいでうまくいかないことがあったとしても、それを批判しないようにしましょう。むしろ、そうした課題や弱点が多く洗い出された訓練ほど価値が高いといえます。

洗い出された課題をもとに「改善(Act)」において改善策を検討し、BCP/BCMの見直しを行います。こうした継続的な見直しの積み重ねが、組織全体のレジリエンスの向上につながります。

訓練シナリオの例

以下では、訓練の具体的なシナリオの例を紹介します。



図2 訓練シナリオの例(机上シミュレーションでの使用を想定)

【災害発生~3時間経過後まで】


東京オフィスでは、午後6時過ぎということもあり、一部の従業員などはすでに帰宅しており、就業時間中の人数の5割程度の従業員が業務に従事していた。


  • 2026年XX月XX日X曜日、午後6時30分、大規模な地震が発生。

  • 東京オフィス内にいた従業員は、それぞれ被災回避の行動をとった。揺れが収まった後の状況は以下のとおり。

    – 建物の損壊はない

    – 全館停電

    – 事務スペースでは棚などが一部転倒したり、棚や机上からの落下物などにより、散乱

    – 従業員に数名の軽傷者は出たが、重症者はいない模様

    – エレベータは最寄階で停止し利用不可

    – 断水のため水道やトイレも利用不可

    – オフィス内の固定電話は利用不可、携帯端末(スマホ)の電話やメールはつながりにくい状況

    – 社内LAN(Wi-Fiも含む)は利用不可

    – 公共交通機関は停止

【緊急対策本部メンバーに対する質問】


  • 地震発生直後に、緊急対策本部のメンバーは、お互いどのように連絡を取り合いますか。メンバーの中には帰宅してしまった者もいます。

  • 緊急対策本部のメンバーは、緊急時の連絡先の電話番号などをお互いに知っていますか。あるいは、「緊急連絡網」はすぐに閲覧できるようになっていますか(オフィス内のPC端末、携帯端末、プリンター、などは利用不可となっていて、電子ファイルの閲覧や印刷が行えない可能性があります)。

  • 地震発生後、緊急対策本部のメンバーはどこに参集しますか。

  • 緊急対策本部のメンバーが、経営者に状況報告などをする際は、いつまでにどのような連絡手段で行いますか。



【経営者に対する質問】


  • 経営者は、収集した情報を基に、まず何をいつまでに検討・判断しますか。

  • 判断結果をいつまでにどのような連絡手段で、従業員に伝えますか。

「これまでのシナリオ」を活かす

本連載の第5回でも触れましたが、自然災害が多い日本では、BCP/BCMやレジリエンスに関して、個別の危機事象(原因)に紐づくシナリオ(被害想定およびそれに至る経緯など)を置き、各々のシナリオに応じたBCP/BCMを検討する取組みがこれまで多くみられてきました。

しかし、この方法に関しては、「想定外の事象には対応しづらい」「実際の危機では『原因』よりも『結果(使えない経営資源(要員・IT・委託先など))』が問題になる」といった課題が指摘されてきており、近年では「どのシナリオか」ではなく「どの経営資源が失われたらどの業務が止まるのか」を検討する「経営資源に着目するアプローチ」が、より効果的だと考えられるようになっています。

では、これまで時間と労力をかけて策定してきたシナリオ類は捨ててしまってよいかというと、必ずしもそうではありません。これらのシナリオ類は、今後は訓練を行う際の突合材料として有効活用していくとよいでしょう。なぜなら訓練の醍醐味は、「想像力を喚起できること」「参加者が状況を具体的に思い描けること」「判断や意思決定を疑似体験できること」などにあり、その点において従来策定してきたシナリオ類は、訓練と相性が良いと考えられるからです。

これまで整備してきた対策や対応計画などを、訓練を通じてさまざまなシナリオや条件の下で検証することにより、対策や行動計画の実行性の向上を図ることが期待できます。実務的には、次のように整理すると分かりやすくなります。

  • BCP/BCMの設計・構築の考え方 → 経営資源に着目するアプローチで進化させる
  • 訓練 → これまで策定・蓄積してきたシナリオを有効活用する

たとえば、図2のように、訓練シナリオとして「大規模地震により東京オフィスが機能しなくなった」という設定を用いた場合は、訓練の中で実際に検証・議論するのは、「緊急対策本部のメンバー(これらも緊急時に必要となる経営資源の1つ)をどのように機能させるのか」「どの重要業務が止まるのか」「重要業務の遂行に必要となる経営資源のうち、どれがボトルネックになるのか」「代替の経営資源は機能するのか」といった経営資源に着目した論点となります。その意味では、訓練シナリオ自体は、できるだけ具体的でリアルなシチュエーションや制約を設定することが望ましく、たとえば「どの経営資源が、どの程度使えなくなったのか」「残っていて使用できる経営資源は何か」「そうしたさまざまな制約の下で(後述のように)経営者が判断すべきことは何か」といった観点を盛り込むとよいでしょう。

経営者による関与の必要性

認証制度による要請

BCP/BCMやレジリエンスの取組みに対する経営者の関与の重要性が高まっているなか、訓練への経営者の関与が求められるようになってきています。たとえば、「レジリエンス認証 審査項目説明書」2 では、訓練に経営者が参加していることがわかる書面や、訓練による見直し・改善の内容を経営者が承認していることがわかる書面などを示す旨が記載されています。

トップの姿勢が組織を動かす

訓練に経営者が積極的に関与することで現場の意識も変わります。「トップが本気で取り組んでいる」と伝わることで、現場の従業員は訓練を単なる儀式ではなく、経営課題の一部として捉えるようになります。

また、経営者が訓練に参加することは、危機対応に必要な人員・予算の確保の必要性を経営者が理解することにも寄与します。こうしたトップの姿勢と理解が、そのまま組織のレジリエンスを向上させる力になります。

緊急時に重要事項の判断を下すのは経営者

BCP/BCMやレジリエンスの訓練は、現場の対応力を試すだけでなく、組織全体の判断力を磨く場でもあります。緊急時に「重要業務を停止させるか」「顧客に公表するか」などの最終判断を下すのは経営者です。そのため、訓練に経営者が参加しないと、最も重要な意思決定プロセスが検証されないままになります

経営者自身が訓練を通じて、情報が不足した不確実な状況のなかで意思決定の経験を積むことが、実践的な備えにつながります。経営者が参加しない訓練は、いわば指揮官不在の模擬戦と言わざるを得ないでしょう。

訓練は「現場の訓練」であると同時に、「経営者にとってのリーダーシップの訓練」でもあります。不確実な状況での意思決定を体験することは、緊急時の判断スピードを大きく左右します。

経営者による有事の判断スピードを向上させるためには、訓練の内容を経営者にも考えさせるものにする必要があります。事業継続上のさまざまな制約事項(Aというケースでは経営資源のうち〇〇が不足する、Bというケースでは重要システムのリカバリができない、など)を訓練のシナリオに盛り込み、それらを経営者がいかに正確に把握し、状況に応じた然るべき判断を下せるかを検証することによって、判断の精度や合理性が向上し、実際の緊急時の判断ミスを減らすことができます。

そもそも、こうした制約事項は定性的なものが多く、現場レベルでは把握されていても、平時では経営者まで伝わりにくい傾向があります。訓練を活用することにより、制約事項が経営者に共有されることも期待できます。

また、経営者が当事者意識を持って訓練の計画段階から関与し、目的を明確に示し、訓練後の振り返りや改善策に対しても経営判断を反映することで、課題解決に向けて組織が動きやすくなります。

訓練を形骸化させないコツ

訓練が単なる「年中行事」になってしまっている組織も少なくありません。ここまで解説してきたことと重なりますが、訓練の形骸化を防ぐためには、次のような工夫が効果的です。

  • 目的を明確にする
    「何を定着させたいか」「どのような課題を洗い出したいか」を明確化する

  • 小さく頻繁に行う
    年1回の大規模訓練より、月1回の小規模訓練のほうが、定着効果が期待できる

  • 経営者を巻き込む
    経営者の関与により、組織全体の判断力や意思決定力が磨かれる

本連載でも何度か触れてきましたが、BCP/BCMの取組みは、立派で分厚いマニュアルを一度整備すれば完了するというものではありません。「従業員がどれだけ自信を持って動けるか」「整備した計画が実際に使えるか」は、訓練によって確かめられます。

そして、訓練は「成功体験」よりも「失敗体験」から多くのことを学ぶ場です。その失敗を次に活かす姿勢こそが、レジリエンスの向上につながります。

訓練は、組織のレジリエンスを高める貴重な手段または実践の場であり、同時に、従業員が「自分たちは備えている」という意識をあらためて認識できる機会でもあります。緊急時に冷静に動ける組織は、平時に訓練を積み重ねて汗をかいた組織といえるでしょう。

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

BCP/BCMの潮流とレジリエンス向上のポイント

バックナンバー(全6件)

もっと見る
前中 敬一郎

前中 敬一郎

PwC Japan有限責任監査法人
リスク・アシュアランス部
マネージャー

システムインテグレーターを経たのち、監査法人系アドバイザリーファームにて、金融機関、製造業、サービス業、小売業、メディア、政府などの様々な業種を対象にBCP/BCM、レジリエンス、ISO22301、情報セキュリティなどのアドバイザリー業務に携わるともにセミナー講師なども務める。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP