情シス退職後に発覚する「管理者パスワード不明」問題の防ぎ方
「パスワードがわからない」——退職翌日に発覚する最悪のシナリオ
ある月曜の朝、あなたの会社でこんな事態が起きたとします。
先月末に退職したIT担当者。引き継ぎ資料は一応もらった。だが、いざサーバーの設定を変更しようとすると——管理者パスワードがわからない。
ルーターの管理画面にログインできない。クラウドサービスの管理者アカウントが元担当者の個人メールに紐づいている。ファイアウォールの設定変更ができない。VPNの接続先情報がどこにもない——。
たった1人の退職で、会社のIT基盤が丸ごとブラックボックスになる。
これは架空の話ではありません。IPA(情報処理推進機構)の調査でも、中小企業のIT管理における最大のリスクとして**「特定の担当者への依存(属人化)」**が繰り返し指摘されています。そして、その属人化が最も深刻な形で表面化するのが、担当者の退職後に管理者パスワードが不明になるというケースなのです。
ひとり情シス体制が「パスワード不明」を生む構造的な理由
「うちの会社も危ないかもしれない」——そう感じた方は、決して少なくないはずです。
中小企業の多くは、IT管理を1人の社員に任せきりにしています。いわゆる「ひとり情シス」です。本業の傍ら、ネットワーク管理からPC設定、ソフトウェアのライセンス管理、セキュリティ対策まで、すべてを1人でこなしている。
この体制自体が悪いわけではありません。問題は、ひとり情シスが「仕組み」ではなく「個人の記憶と習慣」で回っていることです。
なぜパスワードが属人化するのか
- 個人の記憶に頼る:パスワードをメモ帳やブラウザの自動保存に入れ、本人しかアクセスできない状態になっている
- 個人アカウントとの混同:管理者アカウントのメールアドレスに担当者個人のアドレスを使っている
- 変更履歴の未管理:セキュリティ上の理由でパスワードを変更しても、最新版がどこにも共有されない
- 引き継ぎの困難さ:そもそも「何のサービスに、どのアカウントで、どのパスワードでログインしているか」の全体像を本人すら正確に把握していない
ある建設会社では、退職した情シス担当が管理していたクラウド会計ソフトの管理者パスワードが不明になり、3週間にわたって経理業務が停止しました。復旧のためにベンダーに依頼したところ、本人確認の手続きだけで1週間。その間、請求書の発行も支払いの処理もできず、取引先との信頼関係にまで影響が及びました。
「まさかパスワード1つでここまで大事になるとは」——これは、当事者になって初めてわかる恐ろしさです。
退職前に備える「パスワード不明」を防ぐ5つの対策
この問題は、事前に仕組みを作っておけば確実に防げます。「人が変わっても業務が止まらない」状態を目指して、今日から取り組める具体的な対策を5つご紹介します。
管理者パスワード不明を防ぐ解決策
具体的な対策:今日から始められる5つのステップ
対策1:IT資産台帳をつくる——「何があるか」をまず可視化する
最初にやるべきことは、自社で使っているIT資産の棚卸しです。
「うちの会社はどんなシステム・サービスを使っていて、それぞれの管理者は誰か」を一覧化します。最低限、以下の項目を記録しましょう。
| 項目 | 内容 |
|---|---|
| サービス名 | Google Workspace、AWS、社内サーバーなど |
| 管理者アカウント | ログインに使うメールアドレス / ユーザー名 |
| 管理者 | 主担当者と副担当者 |
| 契約情報 | 契約先ベンダー、契約期間、更新日 |
| 備考 | 二段階認証の有無、リカバリー手順など |
← 横にスクロールできます →
ExcelやGoogleスプレッドシートで十分です。重要なのは、これを特定の個人ではなく、組織として管理することです。
対策2:パスワード管理ツールを導入する
個人の記憶やメモ帳に依存するパスワード管理は、今すぐやめるべきです。
法人向けのパスワード管理ツール(1Password Business、Keeper、Bitwardenなど)を導入すれば、以下のメリットがあります。
- 一元管理:すべてのパスワードを1つの暗号化された金庫に集約
- 権限制御:「誰がどのパスワードを見られるか」を細かく設定可能
- 監査ログ:誰がいつどのパスワードにアクセスしたかを記録
- 退職時の対応:アカウントを無効化するだけで、その人のアクセスを一括遮断
月額数百円〜数千円程度の投資で、パスワード属人化のリスクをほぼゼロにできます。コストパフォーマンスは圧倒的です。
対策3:管理者アカウントを「個人」から「組織」に切り替える
管理者アカウントに担当者個人のメールアドレス(例:tanaka@gmail.com)を使っていませんか?
これを組織のメールアドレス(例:admin@yourcompany.co.jp、it-admin@yourcompany.co.jp)に切り替えましょう。こうすれば、担当者が退職しても管理者アカウント自体は組織に残ります。
特に注意が必要なのは以下のサービスです。
- ドメイン管理(お名前.com、ムームードメインなど)
- クラウドサービス(Google Workspace、Microsoft 365など)
- ホスティング / サーバー(AWS、さくらインターネットなど)
- セキュリティ機器(ファイアウォール、UTMなど)
これらのサービスの管理者アカウントが個人に紐づいている場合、退職と同時にアクセス不能になるリスクがあります。
対策4:「副担当者」を必ず設置する
ひとり情シスの最大のリスクは、バックアップがいないことです。
完全な2人体制が難しくても、最低限「この人が不在のときに、最低限の操作ができる人」を決めておきましょう。
- 管理者アカウントへのアクセス権を2名以上に付与する
- パスワード管理ツールの「緊急アクセス」機能を設定しておく
- 月1回、副担当者が実際にログインして操作を確認する「訓練日」を設ける
「その人がいなくても大丈夫」な状態を、平時のうちに作っておくことが最も重要です。
対策5:退職時チェックリストにIT項目を組み込む
人事・総務部門が管理する退職手続きに、IT関連の引き継ぎ項目を必ず含めるようにしましょう。
- 管理しているサービス・アカウントの一覧を提出
- パスワード管理ツールへの最新情報の登録を確認
- 管理者権限の移譲(後任者または副担当者へ)
- 個人アカウントに紐づいたサービスの切り替え
- 二段階認証の引き継ぎ(認証アプリ、SMS番号の変更)
- IT資産台帳の最終更新
退職が決まってからでは遅い項目もあります。特に二段階認証の移行は時間がかかるため、退職日の2週間前には着手すべきです。
パスワード管理の5つのステップ
こんな会社は今すぐ対策を
以下に1つでも当てはまるなら、パスワード不明リスクは「他人事」ではありません。
- IT管理を1人の社員に任せきりにしている(ひとり情シス状態)
- 管理者パスワードがどこに保存されているか、経営者が把握していない
- サービスの管理者アカウントに個人のメールアドレスを使っている
- IT担当者の退職時に、特別なIT引き継ぎ手順を設けていない
- 「あの人に聞けばわかる」が口癖になっている
属人化は、放置するほど解消が難しくなります。 担当者が在籍している「今」が、最もコストをかけずに対策できるタイミングです。
「やらなければいけないのはわかっているけど、社内にそれを推進できる人がいない」——そんな企業には、外部の力を借りるという選択肢もあります。たとえば月額制で自社のDX推進部のように機能するサービスを活用すれば、IT資産の棚卸しからパスワード管理体制の構築まで、仕組みづくりを伴走してもらうことが可能です。
まとめ
まとめ:管理者パスワード不明問題を防ぐために
情シス担当の退職後に管理者パスワードがわからなくなる問題は、「属人化」という構造的な原因から生まれます。そして、この問題は事前に仕組みを整えておけば確実に防ぐことができます。
今日から始められる5つの対策:
- IT資産台帳をつくる —— 使っているサービスと管理者を可視化する
- パスワード管理ツールを導入する —— 個人の記憶に頼らない仕組みをつくる
- 管理者アカウントを組織化する —— 個人メールから組織メールへ切り替える
- 副担当者を設置する —— 1人に依存しない体制をつくる
- 退職時チェックリストを整備する —— IT引き継ぎを制度化する
どれも特別な技術や大きな予算は必要ありません。必要なのは「仕組みにしよう」という意思決定だけです。
「あの人が辞めたらどうなるか」——その問いに、今のあなたの会社は答えられますか? 答えに詰まるなら、今日がその仕組みをつくる最初の日です。まずはIT資産台帳の作成から、始めてみてください。
