退職でシステムがブラックボックス化する前に — 危険サインと今からできる対策
IT担当者が1人しかいない中小企業で起きやすいシステムのブラックボックス化。危険サインのセルフチェックと、今からできる具体的な対策を解説する。
システムのブラックボックス化とは何か
システムのブラックボックス化とは、特定の業務システムやITインフラの仕組み・設定・契約情報が特定の担当者にしか把握されておらず、その担当者が不在になると誰も全体像を理解できない状態を指す。多くの場合、日常業務は問題なく回っているように見えるため、担当者が在籍している間は問題が表面化しない。しかし、退職・異動・長期休職などで担当者がいなくなった瞬間に、パスワードが分からない、契約先が分からない、システムの構成が誰にも説明できないといった深刻な問題が一気に噴出する。
なぜ中小企業で起きやすいのか
IT専任者がいない、あるいは1人しかいない中小企業(ひとり情シス)では、ブラックボックス化が特に起きやすい。理由の一つは「1人依存」の構造そのものにある。担当者が善意で日々の業務を回している場合でも、業務量に対して人手が足りず、マニュアル化やドキュメント整備まで手が回らないことがほとんどである。属人化を意図しているわけではなく、余裕がないままシステムの数だけが増えていった結果として、気づけば1人しか把握していない状態になっているケースが多い。
もう一つの理由は、アカウントや契約が個人名義・個人のメールアドレスで結ばれていることである。クラウドサービスの契約者情報が担当者個人のメールアドレスになっていたり、ドメインの管理者アカウントが特定個人のIDに紐づいていたりすると、その担当者が退職した瞬間にアクセス権限そのものを失うリスクがある。加えて、システム構成図や運用手順書といったドキュメントが最初から作られていない、あるいは作られても更新されずに古い情報のまま放置されているケースも少なくない。
放置した場合のリスク
ブラックボックス化を放置すると、担当者が突然不在になった際に、システム障害への対応が遅れる、契約更新や支払いが漏れてサービスが停止する、セキュリティの脆弱性が把握されないまま放置されるといった事態につながりかねない。復旧には、外部の専門家に一から調査を依頼する必要が生じることも多く、通常であれば発生しなかったはずの追加コストと時間がかかる。
危険サインのセルフチェック
- 主要システムのログインID・パスワードを把握しているのが1人だけである
- クラウドサービスの契約者情報が会社ではなく個人のメールアドレスになっている
- システム構成図や運用手順書が存在しない、または最終更新が2年以上前である
- 契約書・見積書・保守内容の一覧を誰も一元管理していない
- ある担当者が休んだだけで、特定の業務が完全に止まってしまったことがある
- Excel管理の限界サインに挙げられるような、属人的な台帳管理に頼っている業務が複数ある
- ドメインやサーバーの管理者アカウントの所在を経営者自身が把握していない
今からできる対策
ブラックボックス化を防ぐための対策は、特別なシステム投資をしなくても、社内の運用ルールを見直すだけで多くの部分に着手できる。優先度が高いものから順に整理すると、次の4項目に集約される。
| 対策項目 | 具体的な内容 | 優先度 |
|---|---|---|
| アカウント・契約の法人化と台帳化 | 契約者情報を会社名義に変更し、契約先・契約内容・更新日を一覧化する | 高 |
| パスワード管理の仕組み化 | 個人依存のメモ管理をやめ、法人向けパスワード管理ツールで共有・権限管理する | 高 |
| ドキュメント最低限3点セット | システム構成図・運用手順書・緊急連絡先リストを最低限整備する | 中 |
| 保守契約への引き継ぎ条項 | 発注先との保守契約に、担当者交代時の引き継ぎ対応を明記する | 中 |
ドキュメントについては、すべてを網羅的に整備しようとすると挫折しやすいため、まずは「システム構成図(何がどこで動いているか)」「運用手順書(日常・緊急時の対応フロー)」「緊急連絡先リスト(開発会社・保守会社・契約窓口)」の3点に絞って整備するのが現実的である。この3点さえあれば、担当者不在時でも最低限の初動対応が可能になる。
既にシステムの保守を外部の開発会社に委託している場合は、その保守契約の基本条項の中に、自社の担当者が交代する際の引き継ぎ対応(一定時間のヒアリング対応、ドキュメント提供の範囲など)を盛り込んでおくと、社内の属人化リスクを外部の契約でも補完できる。
既に起きてしまった場合のリカバリー手順
- ステップ1: 現時点で分かる範囲の契約先・システム一覧を洗い出し、断片的な情報でもいったん台帳化する
- ステップ2: 各契約先(クラウドベンダー・開発会社・回線業者など)に連絡し、契約者情報・管理者権限の再設定を依頼する
- ステップ3: パスワードが不明なシステムについては、各サービスの本人確認手続きに沿ってリセットを行う
- ステップ4: 復旧を進めながら、同時にドキュメント最低限3点セットの整備に着手する
- ステップ5: 再発防止のため、契約は個人名義ではなく法人名義に統一するルールを社内で明文化する
自社だけでの調査が難しい場合は、外部のIT専門家やシステム開発会社に現状調査を依頼するのも一つの方法である。なお、システム開発の失敗あるあるで紹介されているように、属人化と情報不足が重なった状態での急な新システム導入は、要件が正しく整理されないままプロジェクトが進んでしまうリスクも高いため、まずは現行システムの棚卸しを優先することが望ましい。
よくある質問
ブラックボックス化に気づいたら、まず何から手をつければよいですか?
まずは契約先とシステムの洗い出しから始めるのが基本である。断片的な情報でも構わないので、分かる範囲で一覧化し、そこから各契約先に連絡して契約者情報や管理者権限を確認・整理していくとよい。
ドキュメント整備に多くの時間を割けません。最低限どこまでやればよいですか?
システム構成図・運用手順書・緊急連絡先リストの3点に絞ることを推奨する。この3点があれば、担当者不在時でも外部の助けを借りながら最低限の初動対応ができる状態になる。
個人名義の契約を法人名義に変更するのは大変ですか?
サービスによって手続きの手間は異なるが、多くのクラウドサービスは契約者情報の変更手続きを用意している。まとめて一度に変更しようとせず、利用頻度・重要度の高いシステムから優先的に着手するとよい。
まとめ
システムのブラックボックス化は、IT専任者が1人しかいない中小企業で特に起きやすいリスクであり、担当者が在籍している間は表面化しにくいという特徴がある。危険サインのセルフチェックを定期的に行い、アカウント・契約の法人化、パスワード管理の仕組み化、最低限のドキュメント整備、保守契約への引き継ぎ条項という4つの対策を段階的に進めることが、退職や異動によるシステム停止リスクを下げる現実的な方法である。
この記事に関連する無料ツール(登録不要・その場で結果)
お気軽にご相談ください
お問い合わせ