sg sg-strategy business_management risk_assessment it_security_operations
まず結論
- BCM(事業継続マネジメント)とは、BCPを策定し、教育・訓練・点検・見直しを通じて、事業継続の取組みを継続的に改善する活動です。
- SG試験では、BCPという計画と、BCMという運用・改善の仕組みを切り分けることが重要です。
- 選択肢では「計画を作る」だけでなく、訓練する、見直す、改善する、体制を維持すると書かれていたら、BCMの文脈で考えます。
BCPは、災害や障害が発生したときに、重要業務を継続・復旧するための計画です。
一方、BCMは、そのBCPを組織に定着させ、実際に使える状態に保つための管理活動です。
つまり、BCPが「計画書」だとすると、BCMは「計画を使える状態にし続ける仕組み」です。
直感的な説明
BCMは、防災訓練に近いイメージで考えると分かりやすいです。
避難経路を書いた紙があっても、誰も見たことがなかったり、訓練したことがなかったりすると、実際の災害時にはうまく動けません。
BCPも同じです。
- 計画を作っただけ
- 担当者が内容を知らない
- 復旧手順を試したことがない
- 組織変更後も内容を見直していない
この状態では、BCPがあっても実効性は低くなります。
そこで、BCMでは、BCPを作ったあとも、教育・訓練・演習・点検・改善を行い、緊急時に本当に使える状態を維持します。
SG試験では、「作る」だけで終わらせない管理活動として押さえると理解しやすいです。
定義・仕組み
BCMは、英語では Business Continuity Management といいます。
日本語では、事業継続マネジメント、または事業継続管理と呼ばれます。
内閣府の「事業継続ガイドライン」でも、BCMでは、BCP等を策定した後も、事前対策、教育・訓練、継続的な見直し・改善を推進する運用体制を維持する必要があると説明されています。参考: 内閣府「事業継続ガイドライン」
BCMの基本的な流れは、次のように整理できます。
| 段階 | 内容 |
|---|---|
| 分析 | 重要業務や停止時の影響を分析する |
| 計画 | BCPや復旧方針を作成する |
| 教育・訓練 | 関係者に役割や手順を理解させる |
| 点検・演習 | 計画が実際に機能するか確認する |
| 見直し・改善 | 組織や環境の変化に合わせて更新する |
ここで大切なのは、BCMは一度だけ行う活動ではないという点です。
事業内容、取引先、システム構成、担当者、法令、脅威は変化します。
そのため、BCPも定期的に見直さなければ、古い計画になってしまいます。
BCMは、BCPを作成して終わりではなく、運用しながら改善し続ける管理サイクルです。
どんな場面で使う?
BCMは、事業継続の取組みを組織全体で維持したい場面で使います。
たとえば、次のような場面です。
- BCPを策定した後、関係者に教育する
- 災害や障害を想定した訓練を行う
- 復旧手順が実際に使えるか演習で確認する
- 組織変更やシステム変更に合わせてBCPを見直す
- 委託先や取引先を含めた事業継続体制を確認する
SG試験では、BCPの有効性を検証するためのテストを実施する、復旧手順について関係者を教育する、環境変化を踏まえて計画を見直すといった内容は、BCM活動として判断できます。
一方で、情報システムに許容される最大停止時間を決定するという内容は、ビジネスインパクト分析に近いです。
BCMは、分析結果やBCPをもとに、組織として事業継続力を維持・改善する活動です。
よくある誤解・混同
誤解1:BCMとBCPは同じだと思う
BCPとBCMは似ていますが、同じではありません。
| 用語 | 役割 |
|---|---|
| BCP | 災害や障害時に事業を継続・復旧するための計画 |
| BCM | BCPを策定・運用・訓練・見直し・改善する管理活動 |
試験では、計画そのものか、計画を運用・改善する仕組みかで切り分けます。
「計画を作成する」「復旧手順を定める」はBCPに近い表現です。
「教育する」「訓練する」「見直す」「改善する」はBCMに近い表現です。
誤解2:BCPを一度作れば十分だと思う
BCPは、一度作れば終わりではありません。
実際の業務では、次のような変化があります。
- システム構成が変わる
- 担当者が異動する
- 委託先が変わる
- 新しい脅威が発生する
- 事業の優先順位が変わる
そのため、BCPを古いままにしておくと、いざというときに使えない可能性があります。
BCMでは、こうした変化に合わせて、計画や体制を見直します。
誤解3:ビジネスインパクト分析と同じだと思う
ビジネスインパクト分析は、業務が停止したときの事業への影響を評価する分析です。
BCMは、その分析結果やBCPをもとに、教育・訓練・見直しを含めて事業継続の取組みを管理する活動です。
| 用語 | 主な視点 |
|---|---|
| ビジネスインパクト分析 | 業務停止時の影響を評価する |
| BCP | 継続・復旧の計画を作る |
| BCM | 計画を運用・改善し続ける |
選択肢では、最大停止時間や復旧目標を決めるならビジネスインパクト分析に近く、訓練や見直しで実効性を高めるならBCMに近いと判断します。
誤解4:情報システム部門だけの活動だと思う
BCMは、情報システム部門だけの活動ではありません。
事業継続では、システムだけでなく、人、設備、委託先、取引先、顧客対応なども関係します。
そのため、BCMでは、経営層や各部門、委託先を含めて、組織全体で取り組むことが重要です。
SG試験でも、単なる技術対策ではなく、組織的な管理活動として考えると選択肢を切りやすくなります。
まとめ(試験直前用)
- BCMは、BCPを作成・運用・訓練・見直し・改善する管理活動です。
- BCPは「計画」、BCMは「計画を使える状態に保つ仕組み」と整理します。
- 「教育する」「訓練する」「有効性を検証する」「見直す」はBCMのキーワードです。
- 「停止時の影響を評価する」「最大停止時間を決める」はビジネスインパクト分析に近いです。
- SG試験では、BCP・BCM・ビジネスインパクト分析の役割の違いで選択肢を切ります。
🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】