ストーリー
田
田中VPoE
リスク分析の理論を学んだ。ここからはTechFlow社のクラウド移行プロジェクトを題材に、実践的なリスクアセスメントを行ってもらう
あなた
Step 2で財務分析を行った投資案件ですね
あ
田
田中VPoE
そうだ。CFOから「財務分析は理解した。だがリスク面はどうなっているのか。リスクレジスターとコンティンジェンシープランを見せてほしい」と言われた想定だ
あなた
CFOが安心して承認できるレベルのリスク分析を作成します
あ
ミッション概要
| 項目 | 内容 |
|---|---|
| 演習タイトル | リスクアセスメントと対策立案 |
| 想定時間 | 90分 |
| 成果物 | リスクレジスター + 緩和策 + コンティンジェンシープラン + リスク準備金の算出 |
| 対象 | TechFlow社クラウド移行+CI/CD整備プロジェクト(Phase 1: 6ヶ月、Phase 2: 12ヶ月) |
追加の前提条件
プロジェクト体制
プロジェクト体制:
PM: 1名(社内)
テックリード: 1名(社内、クラウド経験3年)
インフラエンジニア: 5名(社内、うちクラウド経験者2名)
アプリケーションエンジニア: 5名(社内)
外部パートナー: 3名(AWS認定アーキテクト1名、移行支援2名)
合計: 15名移行対象
| 項目 | 内容 |
|---|---|
| 対象システム | モノリシックRailsアプリケーション(コード量50万行) |
| データベース | Oracle DB(データ量2TB、テーブル数500) |
| 外部連携 | 15のサードパーティAPI連携 |
| バッチ処理 | 日次30本、月次10本 |
| 月間トラフィック | 100万PV、ピーク時5,000リクエスト/分 |
Mission 1: リスクの特定と分類
要件
- RBS(リスクブレークダウンストラクチャ)を使い、4カテゴリ(実行/ビジネス/組織/技術)でリスクを洗い出す
- 各カテゴリで最低3つのリスクを特定(合計12以上)
- 各リスクの根拠を明記する
解答例
| ID | カテゴリ | リスク | 根拠 |
|---|---|---|---|
| R-001 | 実行 | Oracle→RDS/Aurora移行が計画より3ヶ月遅延 | 2TBのデータ、500テーブルの移行は複雑。OracleDB固有機能の書き換えが必要 |
| R-002 | 実行 | 移行コストが予算の130%に達する | クラウド最適化が不十分な場合、リフト&シフトでコスト増 |
| R-003 | 実行 | 外部API連携の移行で障害発生 | 15のAPI連携のうち、IP制限があるものの対応が漏れる可能性 |
| R-004 | ビジネス | 移行期間中にサービス品質が低下し、大型顧客が解約 | 年間売上の15%を占める大型顧客がセキュリティ監査を要求中 |
| R-005 | ビジネス | 競合がクラウドネイティブ新機能をリリース | 移行に注力する間、競合との機能差が拡大 |
| R-006 | ビジネス | クラウド利用料が想定を大幅に上回る | トラフィックパターンの予測が不正確 |
| R-007 | 組織 | テックリードが離職する | 市場価値が高く、プロジェクト負荷も大きい |
| R-008 | 組織 | オンプレ運用チームの抵抗・モチベーション低下 | 15名のインフラチームのうち、クラウド経験者は2名のみ |
| R-009 | 組織 | 外部パートナーの品質が期待に達しない | AWS認定アーキテクトの実務経験が不明 |
| R-010 | 技術 | Oracle固有機能(PL/SQL等)の移行に想定外の工数 | 50万行のコードにOracle依存コードがどれだけあるか未調査 |
| R-011 | 技術 | AWS障害により移行後のサービスが停止 | 単一リージョン構成の場合、リージョン障害に脆弱 |
| R-012 | 技術 | セキュリティ設定の不備により情報漏洩 | クラウドのセキュリティ設定ミス(S3パブリックアクセス等) |
Mission 2: リスクの定量化
要件
- Mission 1で特定した全リスクの発生確率と影響額を算出
- EMV(期待損失額)を計算し、リスクスコアで優先順位付け
- プロジェクト全体のリスクコストを算出
解答例
| ID | リスク | 確率 | 影響額 | EMV | 優先度 |
|---|---|---|---|---|---|
| R-001 | DB移行3ヶ月遅延 | 40% | 4,500万円 | 1,800万円 | 最高 |
| R-010 | Oracle依存コード移行工数超過 | 50% | 2,000万円 | 1,000万円 | 高 |
| R-007 | テックリード離職 | 20% | 5,000万円 | 1,000万円 | 高 |
| R-004 | 大型顧客の解約 | 15% | 4,500万円 | 675万円 | 高 |
| R-002 | コスト130%超過 | 35% | 1,500万円 | 525万円 | 中 |
| R-008 | チームの抵抗 | 40% | 1,200万円 | 480万円 | 中 |
| R-012 | セキュリティ設定不備 | 20% | 2,000万円 | 400万円 | 中 |
| R-006 | クラウド利用料超過 | 30% | 1,000万円 | 300万円 | 中 |
| R-003 | API連携障害 | 25% | 1,000万円 | 250万円 | 低 |
| R-005 | 競合の新機能リリース | 30% | 800万円 | 240万円 | 低 |
| R-011 | AWSリージョン障害 | 5% | 3,000万円 | 150万円 | 低 |
| R-009 | 外部パートナー品質不足 | 25% | 500万円 | 125万円 | 低 |
| 合計 | 2億7,000万円 | 6,945万円 |
Mission 3: 緩和策とコンティンジェンシープラン
要件
- 上位5リスクに対する緩和策を策定し、対策後のEMVを算出
- 上位3リスクに対するコンティンジェンシープランを策定
- リスク準備金の推奨額を算出
解答例
緩和策:
| ID | 緩和前EMV | 緩和策 | 対策コスト | 緩和後EMV |
|---|---|---|---|---|
| R-001 | 1,800万円 | 移行リハーサル3回実施、段階移行計画 | 500万円 | 450万円 |
| R-010 | 1,000万円 | Oracle依存コードの事前調査・棚卸し | 200万円 | 300万円 |
| R-007 | 1,000万円 | ナレッジ分散、リテンションボーナス | 300万円 | 400万円 |
| R-004 | 675万円 | 大型顧客への移行計画事前共有、専用サポート | 150万円 | 200万円 |
| R-002 | 525万円 | 段階投資+月次コストレビュー | 100万円 | 200万円 |
| 合計 | 5,000万円 | 1,250万円 | 1,550万円 |
コンティンジェンシープラン(上位3リスク):
R-001 DB移行遅延:
- トリガー: Phase 1の4ヶ月目でDB移行の進捗50%未満
- Plan B: Oracle → PostgreSQLの段階移行を中止し、RDS for Oracleでリフト&シフト。アプリケーション層のリファクタリングはPhase 2に延期
- 最大追加コスト: 800万円(RDS for Oracleライセンス増分)
R-010 Oracle依存コード工数超過:
- トリガー: 事前調査でOracle依存コードが全体の20%超と判明
- Plan B: Oracle互換のAurora PostgreSQLを採用し、書き換えを最小化。完全なPostgreSQL移行はPhase 3として追加
- 最大追加コスト: 500万円
R-007 テックリード離職:
- トリガー: 退職意思の表明
- Plan B: 外部パートナーからクラウドアーキテクト1名を追加。2週間の集中引き継ぎ期間を設定
- 最大追加コスト: 600万円(6ヶ月の外部アーキテクト費用)
リスク準備金の推奨:
緩和後の合計EMV: 約3,500万円 推奨準備金(P80): 2,500万円 → プロジェクト予算にリスク準備金として2,500万円を計上
達成度チェック
| 観点 | 達成基準 |
|---|---|
| 網羅性 | 4カテゴリで12以上のリスクが特定されている |
| 定量化 | 発生確率と影響額に根拠があり、EMVが正確に算出されている |
| 緩和策 | 上位リスクの緩和策にコストと効果が明示されている |
| コンティンジェンシー | トリガー・アクション・コストが具体的に定義されている |
| 準備金 | リスク準備金の算出根拠が示されている |
| 実用性 | CFOが「このリスク管理なら承認できる」と判断できるレベル |
推定所要時間: 90分