「このシステムのことは、〇〇さんに聞いてください」
「パスワードは〇〇さんしか知らないんですよね」
「この設定、前任者がやったみたいで、誰も理由が分からないんです」
…この会話、社内で一度は見聞きしたことがありませんか?
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、英国政府が国家の航空インフラ管理システムの保守を「たった1名」に委託しようとしているというニュースから、中小企業の1人情シスが絶対に考えておくべき「属人化リスク」を考えていきます。
参考記事
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
英国運輸省が、国家航空旅客配分モデル(NAPAM:National Aviation Passenger Allocation Model)というシステムの保守を、1名のC++プログラマーに委託しようとしています。
このシステムは、旅客がどの空港を選ぶかを予測するシミュレーションツールで、空港のキャパシティ計画などに使われる、いわば航空インフラの意思決定を支える重要なシステムです。
そのシステムの実態
- 約1万行のC++コード
- データ入出力にはMicrosoft Excelを使用
- 環境はMicrosoft .NET
待遇の問題
提示された予算は3年間で最大10万ポンド(約1,700万円)。
しかも「この予算は確約ではありません。いくら払うかを保証できません」という条件付き。
フルタイム雇用ではなく、実質的には副業レベルの待遇です。
国家の航空インフラを支えるシステムを、1名・副業水準・予算保証なし。
海外メディアが「ロンリープログラマー(孤独なプログラマー)」と揶揄したのも無理はありません。
この記事から考えたいこと
笑えない話だな、と思いながら読み進めたのですが、途中で「あれ、これって…」という気持ちになってきました。
中小企業の1人情シスと、構造が全く同じです。
「1人しか知らない」システムのリスク
英国運輸省のケースは極端ですが、中小企業では日常的に起きています。
- メールサーバーの設定:前任者がやったため誰も仕組みを理解していない
- 基幹システムのパスワード:担当者のメモ帳にしか書いていない
- バックアップの手順:「たぶん自動でやってると思うんですが…」という状態
- ネットワーク機器の設定:導入した業者に連絡しないと何もできない
これらは全て「属人化」です。そして、属人化には2つのリスクがあります。
リスク1:担当者がいなくなったとき業務が止まる
担当者が急病になった、退職した、事故に遭った。
そのとき、「〇〇さんにしか分からない」システムは、誰も触れなくなります。
少し前にご紹介した「退職者のアカウント削除忘れ」の問題と裏表の関係です。
退職するときに引き継ぎが不十分だと、アカウントも知識も宙ぶらりんになります。
リスク2:セキュリティ対策も属人化する
「ITのことはあの人に任せている」という状態は、セキュリティも例外ではありません。
- パスワードの管理ルール → 担当者の頭の中だけ
- セキュリティインシデントが起きたときの対応手順 → 誰も知らない
- システムのアクセス権限 → 担当者が全部把握しているが、書き残されていない
担当者が急に休んだ日にインシデントが起きたら、どうなるでしょうか。
英国空港のケースで言えば、そのロンリープログラマーが倒れた日に、空港のキャパシティ計画に関わる意思決定が必要になったら、誰も対応できないということです。
「自分がいないと困る」は、実はリスクサイン
「自分がいないと困る」という状態を、誇りに思う気持ちは分かります。
自分の存在価値の証明のように感じることもあるかもしれません。
でも、セキュリティとITガバナンスの観点からは、これは組織として脆弱な状態です。
「自分しか知らない」は「会社のリスクを1人で抱えている」と同義です。
属人化を減らすために今できること
「完全にドキュメント化する」というのは理想ですが、一度に全部やろうとすると続きません。
小さく始めることが大切です。
ステップ1:「自分しか知らないこと」を書き出す
まず、自分の頭の中にしかない情報を棚卸しします。
- 毎週・毎月やっているIT作業(バックアップ確認、ログ確認など)
- 主要なシステムのログイン情報の保管場所
- インシデントが起きたときに連絡する業者・担当者の連絡先
- 社内ネットワークの基本的な構成(どこに何がつながっているか)
全部一気に書く必要はありません。「もし自分が明日から1週間休んだら困ること」から書き始めましょう。
ステップ2:「緊急時に最低限必要な情報」をまとめる
すべてをドキュメント化するのは大変です。
まず緊急時マニュアルとして、以下の情報だけでも1枚にまとめておくことをお勧めします。
緊急時IT対応メモ(例)
■ インターネットがつながらないとき
→ NTT(フレッツ)故障受付:0120-000-113
■ メールが届かないとき
→ Microsoft 365 管理画面:https://admin.microsoft.com
管理者アカウント:○○(保管場所:○○)
■ 基幹システムが動かないとき
→ 導入業者:○○株式会社 担当:○○さん
電話:000-0000-0000
■ ウイルス感染疑いのとき
→ まずネットワークから切断(LANケーブルを抜く or Wi-Fiをオフ)
次に IT担当(自分)に連絡。不在の場合は○○さんに連絡
これを印刷して総務や経営者の手の届く場所に置いておくだけで、「ITが分かる人が急に休んだ日」の対応力が大きく変わります。
ステップ3:「自分の代わりに連絡できる業者」を確保しておく
中小企業の1人情シスが一番怖いのは、「自分が対応できない状況でインシデントが起きること」です。
そのために、有事の際に外部から支援を受けられる業者や契約を用意しておくことが重要です。
- IT保守契約(サーバー・ネットワーク機器のベンダー)
- セキュリティインシデント対応の外部相談窓口(IPAの情報セキュリティ安心相談窓口など)
「自分が倒れてもシステムが止まらない」か、「止まっても誰かが対応できる」状態を目指しましょう。
今日からできること
- 「自分が明日から1週間休んだら困ること」を3つだけ書き出す
- 緊急時に最低限必要な連絡先(インフラ業者・システム業者)をまとめた1枚を作る
- その1枚を、自分以外の人が見られる場所(総務の引き出し・共有フォルダ)に置く
まとめ
今回のポイントをまとめます。
- 英国政府が国家の航空インフラ管理システムを1名・副業水準で委託しようとしている事案
- 笑えない話で、中小企業の1人情シスも同じ「属人化」の構造を抱えている
- 属人化のリスクは2つ:①担当者不在で業務が止まる、②セキュリティ対策も個人依存になる
- 「自分しか知らない」は組織のリスクを1人で抱えている状態
- 対策:「自分が休んだら困ること」の棚卸し→緊急時マニュアル1枚→外部サポート窓口の確保
英国の空港システムの話は、規模は全然違いますが、「重要なシステムを1人に依存させていいのか」という問いかけは、中小企業の現場でも全く同じです。
「自分がいないと困る」状態から、「自分がいなくてもなんとかなる」状態へ。
それを目指すことが、中小企業の1人情シスにとっての、地味だけど大切な仕事の一つだと思っています。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「うちのITって、あなた以外に分かる人いないよね?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
「正直に言うと、今は私しか分からない部分がいくつかあります。
英国政府が国の空港システムを1人のプログラマーに任せようとして話題になっているんですが、規模は違っても構造は似ていると思って読んでいました。
私が急に休んだり退職したりした場合に備えて、少なくとも『緊急時にどこに連絡すればいいか』だけはまとめておきたいと考えています。
連絡先一覧と、よくあるトラブルの対処メモを1枚にまとめて、総務の引き出しかどこかに置いておこうと思います。完全なマニュアルは時間がかかりますが、まず緊急時だけでも対応できる状態にします。
あと、外部のIT支援業者との契約も、緊急時のバックアップとして検討してみませんか?」
「自分しか分からない」という事実を認めつつ、「だから対策をとる」という前向きな提案にすることがポイントです。経営者も「そういえば心配だった」と感じているはずで、自分から問題提起できると信頼につながります。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
