ひとり情シスの実態
IPA(情報処理推進機構)の調査によると、従業員300名以下の中小企業の約7割がIT担当者1名以下で運用しています。いわゆる「ひとり情シス」は、ネットワーク管理、PC管理、セキュリティ対策、ヘルプデスク、ベンダー管理まで、ITに関するあらゆる業務を1人で担っている状態です。
この状態で担当者が突然退職・休職した場合、企業のIT基盤は一瞬にして「誰も管理できない状態」に陥ります。
退職時に顕在化する5つのリスク
| リスク | 具体的な影響 | 深刻度 |
|---|---|---|
| 管理者アカウントの喪失 | Microsoft 365のグローバル管理者、ファイアウォール、NASの管理パスワードが不明に。設定変更やユーザー追加が一切できなくなる | 致命的 |
| ネットワーク障害の対応不能 | ルーター、VPN、Wi-FIの設定情報が担当者の頭の中にしかなく、障害時に復旧できない | 致命的 |
| ライセンス・契約の管理断絶 | SaaSの契約更新日、ライセンスキー、ベンダー連絡先が不明になり、サービス停止や自動更新による無駄な支出が発生 | 高 |
| セキュリティ対策の空白 | ウイルス対策ソフトの更新、パッチ適用、ログ監視が停止。攻撃を受けても検知・対応できない | 高 |
| IT投資判断の停滞 | システム更改、クラウド移行、セキュリティ強化などの判断ができず、IT環境が陳腐化 | 中 |
自社の属人化度チェック
以下の質問に「はい」と答えた数で、自社の属人化リスクを確認しましょう。
- Microsoft 365(またはGoogle Workspace)のグローバル管理者パスワードをIT担当者以外が知らない
- ネットワーク構成図が最新の状態で文書化されていない
- SaaS・クラウドサービスの契約一覧が一元管理されていない
- サーバーやNASの管理パスワードが担当者個人のメモにしかない
- ITベンダーとの窓口が担当者個人の携帯・メールで行われている
- 障害対応やトラブル解決の手順が文書化されていない
- PCのキッティング手順が担当者の頭の中にしかない
- IT予算の策定や機器購入の判断が担当者に完全委任されている
6〜8個:危険水準。担当者の退職で業務停止のリスクあり。早急に対策が必要です。
3〜5個:要注意。部分的な属人化あり。計画的に改善を進めましょう。
0〜2個:良好。基本的な対策ができています。
属人化を解消する5つのステップ
STEP 1:IT資産・アカウント台帳を作成する
すべてのIT資産とアカウント情報を一元的に台帳化します。
- 管理者アカウント一覧:サービス名、管理者ID、パスワード保管場所、MFA設定状況
- IT資産台帳:PC、サーバー、ネットワーク機器、プリンタの一覧と管理情報
- SaaS・クラウドサービス台帳:サービス名、契約形態、更新日、月額費用、管理者
- ベンダー連絡先一覧:会社名、担当者名、連絡先、契約内容、サポート時間
STEP 2:管理者アカウントの共有体制を構築する
Microsoft 365のグローバル管理者は最低2名に設定し、緊急アクセス用アカウント(Break Glass Account)を作成します。
- 緊急アクセス用アカウント:MFAを除外し、封印管理。パスワードは金庫に保管
- 管理者の分散:グローバル管理者を経営層またはマネージャーにも付与
- パスワード管理ツール:1PasswordやKeePassなどで管理者パスワードを組織的に管理
STEP 3:運用手順書を作成する
日常的なIT運用タスクの手順を文書化します。完璧を目指さず、頻度の高い作業から優先的に作成しましょう。
| 優先度 | 手順書の内容 |
|---|---|
| 高 | 新入社員のアカウント作成・PC配布手順 |
| 高 | 退職者のアカウント無効化・データ保全手順 |
| 高 | ネットワーク障害時の切り分け・復旧手順 |
| 中 | バックアップの確認・リストア手順 |
| 中 | プリンタ・複合機のトラブルシューティング |
| 低 | 定例のパッチ適用・アップデート手順 |
STEP 4:外部パートナーとの連携体制を確保する
すべてを社内で完結させるのではなく、外部のITパートナーと日常的な関係を構築しておくことが重要です。担当者が退職した際に、すぐに相談できる先があるかどうかで、被害の大きさが決定的に変わります。
STEP 5:アウトソーシングの活用を検討する
属人化の根本的な解決策として、IT運用の一部または全部をアウトソーシングする選択肢があります。
| アウトソーシング範囲 | 内容 | 月額費用目安 |
|---|---|---|
| ヘルプデスク | 社員からの問い合わせ一次対応 | 10〜20万円 |
| IT運用管理 | PC管理、アカウント管理、ネットワーク監視 | 20〜35万円 |
| セキュリティ運用 | パッチ管理、ログ監視、インシデント対応 | 30〜45万円 |
| フルサポート | 上記すべて+IT戦略立案・ベンダー管理 | 50〜60万円 |
すでに退職が決まった場合の緊急対応
担当者の退職が決まった場合、退職日までに最低限確保すべき情報は以下のとおりです。
- 全管理者アカウントのパスワードとMFA情報を引き継ぐ
- ネットワーク構成図を作成してもらう(IPアドレス体系、VLAN構成、VPN設定)
- ベンダー連絡先と契約内容の一覧を作成してもらう
- 定例作業のカレンダー(バックアップ確認、パッチ適用、ライセンス更新等)を共有してもらう
- 緊急時の対応手順(ネットワーク障害、セキュリティインシデント)を文書化してもらう
退職日までに十分な引き継ぎができない場合は、退職後1〜2ヶ月間の業務委託契約を結び、引き継ぎ期間を確保することを検討しましょう。退職後に連絡が取れなくなると、管理者パスワードの復旧だけで数十万円のコストが発生するケースもあります。
まとめ
ひとり情シスの退職リスクは、起きてから対処するのでは遅い問題です。「今の担当者がいなくなっても回る状態」を平時から作っておくことが、最も確実なリスクヘッジです。
属人化の解消は一朝一夕にはいきませんが、まずはSTEP 1の台帳作成から始めてみてください。並行して外部パートナーとの関係を構築しておくことで、万が一の事態にも落ち着いて対応できる体制が整います。