サーバルームで電源切断…… 情シスが泣いた、わが社のトラブル実録【調査レポート】

社内のIT担当者は従業員が当たり前に仕事できるよう、普段は見えないところで一生懸命動いている。ネットやPC、メールが止まってしまえば、取引先からの信用も失ってしまう。彼らを悩ませているのは機械のトラブルだけではない。従業員の行動や職場の雰囲気などが複雑に絡み合い、マニュアル通りには解決できない予想外の問題が次々と起こっている。

[キーマンズネット]

　情報システム部門は企業のIT基盤を支える存在として、日々目に見えない場所で奮闘している。ネットワークが落ちれば業務は止まり、PCが動かなければ会議も進まず、メールが届かなければ取引先との信頼も揺らぐ。だが、彼らが直面するのは単なる技術的課題だけではない。従業員の理解や行動、組織文化が絡み合う現場では、教科書通りにはいかない想定外のトラブルが次々と起こる。

　今回、企業の情シス担当者を対象に「これまでの問い合わせで困った対応・戸惑った対応」に関するアンケートを実施したところ、多数の声が寄せられた。今回はそのエピソードを紹介しながら、現場の課題とそこから得られる学びを整理していきたい。

信じた「サポート窓口」は偽物だった　真面目な人ほど陥るサポート詐欺

　まず目についたのは、セキュリティ事故の報告だ。「サポート詐欺に記載されていた電話番号に電話をかけ、遠隔ソフトをインストールされた従業員がいた」といったコメントだ。これだけ聞くと初歩的なミスと思うかもしれない。だが、詐欺画面が巧妙に作られていることと、ユーザー心理が組み合わさると、誰もが陥る可能性がある。特にITに明るくない人ほど「警告が出たら電話するのが正しい行動」と無意識に判断してしまう。

サポート詐欺に引っかかり、インストールしかけて管理者パスワードを求められてIT部門が気付いた。

　さらに、「業務に関係ないWebサイトを閲覧中にフィッシングサイトに誘導され、表示された電話番号にかけてPCに遠隔操作ソフトをインストールされた」というケースもあった。ここでは休憩時間の軽いWebブラウジングが思わぬ被害につながることを示している。セキュリティ事故は決して業務時間だけで起こる問題ではない。

昼休みにインターネットを閲覧していた従業員が画面をクリックしたことでランサムウェアに感染した。その結果、本人のHDDに保存されていたExcelファイルや、NASのOfficeファイルが暗号化され使用できなくなり、英語で金銭を要求する内容のメモ帳ファイルが残されていた。

業務と無関係のWebサイトを閲覧していた従業員が、フィッシングサイトに誘導され、表示された電話番号に連絡した結果、PCに遠隔操作ソフトをインストールされる事案が発生した。

　情シスの視点で見ると、これは技術的な問題ではなくヒューマンファクターの問題だ。ユーザーは焦りや不安の中で画面の指示を信じやすく、攻撃者はそれを狙いすました形で仕かけてくる。教育やルールで「電話をかけない」習慣を根付かせることが、事故防止には不可欠だ。

偉い人ほどセキュリティリスクに　ボトルネックは多忙な上層部か？

　セキュリティ教育の難しさを象徴するのが、役職者の事故率の高さだ。

　「不正アクセス対策メールを一斉配信したところ、上級役職者ほどクリック率が高かった」という声が寄せられた。日々膨大なメールを処理している役職者は、内容を精査する時間がほとんどない。判断を早くすることは業務効率のためだが、その直感的な判断が時として攻撃者にとって格好のターゲットとなる。

不正アクセス対策のメールを一斉配信したところ、上級役職者ほどクリック率が高い傾向がみられた。

　上級役職者こそサイバー攻撃に慎重になるべきだが、最も事故を起こしやすいという逆説が生まれている。情シスは、この役職層に合わせた個別研修や注意喚起を繰り返す必要があるが、時間やスケジュールの制約も大きく、実際には改善が難しいケースが多い。

　メールの誤送信も頻繁に報告された問題の一つだ。ある従業員は送信先の設定を誤り、日本全国の開発・設計部門数百人に無関係なメールを送ってしまった。これだけでも大きなトラブルだが、さらに深刻なのはその後の展開だ。「自分には関係ないと思います」「宛先違いでは？」と、受け取った人が次々に全員に返信することで、誤送信は雪だるま式に広がった。

送信先を△△部や○○課に設定する際、ある従業員が誤って××開発本部を指定してしまい、日本全国の開発・設計部門の数百人にメールが送信された。しかも、大半の受信者には関係のない内容だった。そのメールに対し、多くの人が「自分には関係ありません」「宛先を間違えていませんか？」と全員宛に返信したため、結果として数百人への返信が発生した。

　ここで見えてくるのは、単なる操作ミスではなく、組織文化が事故を拡大しているという現実だ。大規模組織でよく見られる問題だが、被害は迷惑にとどまらず、業務の停止や情報漏えいのリスクまで伴う。

　誤送信防止には、技術的な対策だけでなく、組織文化や命名ルールの見直しも必要だ。「全員に返信を禁止する」「誤送信防止ツールを導入する」「訓練を通じてユーザーの意識を変える」といった総合的なアプローチが効果的だろう。

旧Outlookの「こだわり設定」が招いた滞留事故

　さらに細かいが影響の大きいトラブルもあった。「Google Workspace」へのメール移行の際、並行稼働中に「Outlook」の問題で大量のメール送信が発生したというケースだ。あるユーザーは旧版Outlookを使っており、誤送信防止のために送信ボタン押下後1分待機する設定をしていたが、「Microsoft Office」の定期アップデートでこの設定が外れ、送信メールが滞留してしまった。

メールを送信したつもりでも、翌日に相手に確認したところ届いていなかった。Outlookを確認すると、当該日の送信メール全てが送信トレイに残ったままになっていた。旧版Outlookを使用してHTMLメールを避けており、誤送信防止のため、送信ボタン押下後に1分待ってから送信する設定にしているが、「Microsoft Office」の定期アップデートのたびに、この設定が勝手に解除され、送信メールが滞留してしまうことがあった。

　このようなトラブルは、技術的には小さな問題でも、ユーザーの習慣や操作方法と組み合わさることで大規模な影響を及ぼす。メール基盤の移行や更新は、単なる技術作業ではなく、ユーザー行動を管理するマネジメントでもある。

学習のつもりが情報漏えいに　AWSチュートリアルの落とし穴

　クラウド利用も事故の温床だ。「AWSの初心者向けハンズオンを社内環境で実施したら、手順通りに進めた結果、非公開のS3バケットを公開設定にしてしまった」という事例があった。これは、チュートリアルの手順をそのまま社内で実行したことが原因だ。

AWSのWebにある初心者向けハンズオンを社内環境で実施していた際、S3バケットのデータ公開手順に従った結果、非公開にすべきS3バケットを誤って公開設定にしてしまった。

　クラウドの操作は便利で簡単に見えるが、権限設定や環境分離の理解が不十分だと、クリック一つで情報が世界に公開されるリスクがある。情シスは、クラウド利用者に対して権限設計の重要性や環境分離の徹底を教育し、事故が発生しても被害を最小化できる仕組みを整える必要がある。

　また、サーバ管理においては「開発用のサーバと間違えて本番サーバでDBをリストアしてしまった」という報告もあった。このミスは単なる操作ミスではない。環境分離が不十分であったり、作業手順やレビュー体制が整備されていなかったりすることが背景にある。つまり、個人の能力や注意力に頼る運用は、事故を防げないということだ。

開発用サーバと誤認して、本番サーバでデータベースをリストアしてしまった。

ルーター自爆に、期限切れUPS、「アナログ」なトラブル例

　ネットワークの設定ミスや物理的なトラブルも無視できない。「ルーターが不正アクセスを検知したためフィルタリング設定を行ったが、設定ミスで内部アクセスが全てできなくなり、外部から設定を戻した」という経験も寄せられた。また、サーバルームで掃除機をかけたら電源が落ち、UPSは設置されていたもののバッテリーが古く機能しなかった、というエピソードもある。こうした物理的要因は、クラウド化が進んでも依然として業務を止める要因となる。

「Windows Update」により「Microsoft SQL Server」のパッチが適用された際、データベースが一時的にシングルユーザーモード（メンテナンスモード）となり、アクセスできなくなった。また、ルーターが不正アクセスを検知したため、リジェクトの目的でフィルターを設定したが、設定ミスにより内部アクセスが全て遮断されてしまい、やむを得ず外部からフィルター設定を元に戻した。

サーバルームで掃除機を使用した際に電源が落ちた。UPSは設置されていたが、バッテリーが更新されておらず、機能しなかった。

　その他、キーボードのCapsLockがオンになっていたためログインできなかったり、パスワードをコピーする際に末尾のスペースまで入ってしまったりといった小さなトラブルも、情シスの負担を増やす。さらに、ユーザーが休日にファイルサーバのフォルダを移動し、場所が分からなくなった結果、情シスにクレームが来るといった事例もある。

「パスワードを忘れた」という問い合わせがあったが、原因はCapsLockがオンになっていただけだった。

パスワードを記載したメールをコピーした際、余分なスペースや文字も一緒に貼り付けてしまい、ログインできないケースが時々発生する。

「事故を起こさない行動」を習慣化させるために

　これらの事例から分かるのは、ITトラブルの多くは単なる個人のミスではなく、組織文化や運用体制、教育の不足に起因しているということだ。形式的な研修だけではセキュリティ教育は不十分であり、日常的に「事故を起こさない行動」を習慣化させる仕組みが必要だ。また、メールやクラウド、サーバの運用も単なる技術的課題ではなく、ユーザー行動までを考慮した総合的な設計が求められる。情シス部門は単なるサポート役ではなく、組織のITガバナンスを担う司令塔として、万が一事故が起きても影響を最小化できる体制を整えることが本質的な役割だ。

　こうした観点を踏まえ、アンケートで寄せられた声を参考に、自社のIT教育やリテラシー向上策を改めて見直してみてはどうだろうか。