「IT健康診断」チェック10問
私の仕事では「24/365(にーよん・さんろくご)」という言葉を聞くと、多くのエンジニアが反射的にこう思います。
「あぁ、止められないシステムの話だな」
「夜間や休日も含めて、障害対応が前提のミッションクリティカルなやつだ」
実際は24365の契約ばかりではなく、保守時間が9−18時だったりすることも多いのですが、契約に書かれている通りにきれいにはいきません。
24/365の保守契約がないはずなのに、夜に電話が鳴ることは普通にあります。
本来は対応範囲外でも、SIer側が調査に応じるケースがあるのは事実です。
ただ、ここで誤解してほしくないのは——
「いざとなれば誰かが何とかしてくれる」状態は、ほとんどの場合、再現性がないということです。
たまたま担当者が動けた。
たまたま関係性が良かった。
たまたま詳しい人が残っていた。
現場にいると、トラブル対応が“たまたま”の積み重ねで成立している場面を何度も見ます。
中小企業であればなおさら、
「困ったときにすぐ頼れるパートナーがいる」ことを前提にするのは難しいでしょう。
社内に専任のIT担当者がいない、兼務で手が回らない、ベンダーも常駐ではない。
この条件では、トラブル発生時に“即レスで助けが来る”期待値は高くありません。
だからこそ重要になるのが、予防保全の考え方です。
システムは物理的なものです。故障やトラブルは避けられません。
でも、「問題が起きたときに致命傷にならない」状態は作れます。
不要なものを減らして故障点を減らす。戻せる状態を作る。漏れない状態を作る。
こうした“地味な整備”が、いざというときの被害を小さくします。
そこで今回は、難しいIT知識がなくても確認できる 「IT健康診断セルフチェック10問」 を用意しました。
直感でYES/NOを選んでみてください。
IT健康診断セルフチェック10問(YES/NO)
※「だいたいできてる」はNO寄りでOKです。健康診断は甘く採点しない方が役立ちます。
① システム・費用
- 社内で使われているシステム・サービス(SaaS、クラウドストレージ、チャット等)を、一覧で把握していますか?
(例:Google Workspace / Microsoft 365 / Slack / Chatwork / freee / kintone など) - その一覧について、「誰が管理者か」「契約者は誰か」「支払方法は何か」まで、最低限追える状態ですか?
- 部署や個人が勝手に契約して使っているツールが、把握できている/ゼロと言える状態ですか?
② 事故・停止
- 重要データのバックアップが「取れている」だけでなく、実際に復元できるか確認していますか?(年1でもOK)
- 「止まった時にまず誰に連絡するか(社内・ベンダー・連絡先)」が、決まっていますか?
- 主要業務(受注・請求・出荷など)が止まった場合の代替手段(紙/Excel等)が決まっていますか?
③ アカウント・権限
- 退職者・異動者のアカウントが残っていないか、定期的に確認していますか?
(半年〜年1でOK) - 共有アカウントを使う場合でも、誰が使ったか追える運用になっていますか?
- 重要サービス(メール、会計、顧客情報など)で、多要素認証(2段階認証)を使っていますか?
④ 更新・機器
- PCだけでなく、ルータ/Wi-Fi/NASなども含めて、更新が止まった機器がないと言えますか?
判定
- YES 8〜10:健康状態良好
大崩れしにくい状態です。次は「ムダを減らす」「標準化する」など改善フェーズへ。 - YES 4〜7:要注意
一見回っていても、属人化やムダ、事故対応の弱点が潜んでいる可能性があります。
“止まると困るところ”から優先順位をつけて整備すると効果が出やすいです。 - YES 0〜3:要対応
「止まる」「漏れる」「損する」が現実的になっている状態です。
まずは棚卸しと見える化から始め、最低限の守り(復旧・権限・更新)を固めるのがおすすめです。
※これは点数を競うテストではありません。
「気づけた項目=改善ポイントが見えた」ことが成果です。
よくある誤解
ここからは、現場でよく見る「思い込み」をまとめます。
当てはまるものがあれば、そこが改善の入り口です。
誤解①「ベンダー/情シスがいるから大丈夫」
ベンダーがいる=即対応、ではありません。
契約範囲外の対応は、基本的に“善意”や“状況次第”になります。
またうちは情報システム部があるし大丈夫。そう思ったあなた。
情シスの先にいるのは、我々ITベンダーかもしれません。
(もしかすると丸投げしてるかもしれませんよ。)
いざという時に頼り切るのではなく、自社、自部署側で最低限の整理(誰が何を管理しているか)をしておく方が、結果的に被害を小さくできます。
誤解②「バックアップは取ってるから安心」
バックアップは「ある」だけでは意味がありません。
戻せるか(復元できるか)が本当の健康状態です。
年1回でもいいので、復元テストを一度やっておくと安心感が変わります。
誤解③「うちは小さい会社だから狙われない」
「うちは小さい会社だし、狙われるほどの情報もない」
これは現場でもよく聞く言葉です。ですが、近年はこの前提が崩れています。
理由はシンプルで、攻撃者が狙っているのは「その会社そのもの」だけではないからです。
取引先・委託先・クラウドサービスなど、つながっている相手(サプライチェーン)を踏み台にする攻撃が増えています。VerizonのDBIR 2024でも、侵害のうちサプライチェーン(第三者)由来の関与が15%に達し、前年の9%から増加したと報告されています。
そして、日本でも「小さな取引先の被害が、大企業の操業停止につながる」事例は記憶に新しいはずです。
2022年、トヨタのサプライヤーである**小島プレス工業(Kojima Industries)**がサイバー攻撃を受け、トヨタは国内の工場稼働を停止する事態になりました。
この構図が示しているのは、
“狙われるかどうか”は会社の規模ではなく、つながりと弱点で決まるということです。
だからこそ、「うちは小さいから大丈夫」ではなく、
小さい会社ほど、予防保全として最低限の守り(アカウント整理、バックアップ、更新、利用サービスの棚卸し)を固めておくことが重要になります。
誤解④「便利だから各部署で自由にツールを入れていい」
スピード感が出る一方で、管理されていないツール(シャドーIT)は
情報漏えいや契約トラブル、支払の二重化につながりやすいです。
禁止ではなく、「使っているものを把握して、最低限のルールを決める」が現実的です。
誤解⑤「更新は面倒だし、壊れたら買い替えればいい」
更新が止まったルータやNASは、トラブルの原因にも、攻撃の入口にもなります。
“壊れてから”では遅いことがあるのがITの怖いところです。
棚卸しのついでに、更新状況だけでも見える化すると事故が減ります。
まとめ:頼れる人がいない前提で、致命傷を避ける
中小企業のITは、どうしても「任せきり」になりやすい。
そして、いざという時にすぐ動いてくれるパートナーが常にいるとは限りません。
だからこそ、トラブルが起きてから慌てるのではなく、
予防保全として、定期的に“ITの健康診断”をすることが重要だと考えています。
今回の10問で、もしNOが多かったとしても大丈夫です。
健康診断と同じで、まずは現状を知ることが第一歩です。
私自身、SIerとして要件整理から導入・運用まで現場でプロジェクトを推進してきました。
机上の正論ではなく、現場が回る形に落とし込み、関係者を巻き込みながら進めることが強みです。
もし、
- どこから手をつければいいか分からない
- 棚卸しのやり方が不安
- 自社の状態を客観的に見てほしい
という場合は、お気軽にご相談ください。
(問い合わせ/X/note などからご連絡いただければOKです)
コメント