1.対象の概要(入門知識)
運用・管理ミスリスクとは、ITシステムや業務プロセスの運用管理において、人為的な誤り・不備・不徹底が原因で、障害やセキュリティインシデントの発生や被害拡大につながるリスクを指す。
属人化や手順不備、権限の乱雑管理などが典型的な原因となる。
1-1.主な分類
| リスク・ロス | 内容 |
| バックアップ不備 RL-131 | 定期的なバックアップ未実施や検証不足。 |
| 権限管理ミス RL-132 | 過剰権限付与、最小権限原則の未徹底。 |
| ログ管理不足 RL-133 | ログの未取得・未分析で原因究明や不正検知が困難。 |
| 資産管理ミス RL-134 | 管理外の機器・ソフトウェアが存在。 |
| ドキュメント不備 RL-135 | 手順書や設定情報が整備されず属人化。 |
| 対応遅延 RL-136 | インシデント対応が遅れ、被害が拡大。 |
| 変更管理不徹底 RL-137 | 変更時のレビュー・承認・記録不足。 |
| 情報伝達ミス RL-138 | 引き継ぎや連絡不備による誤対応。 |
| スケジュール管理不備 RL-139 | メンテナンス時期の誤りで障害発生。 |
1-2. 概要図
中央に「運用・管理ミス」
周囲に9分類を配置(バックアップ/権限管理/ログ/資産/ドキュメント/対応遅延/変更管理/情報伝達/スケジュール)
外周に「障害発生」「セキュリティ低下」「業務停止」へ矢印接続
2.ケーススタディ
システム運用を外部委託している中堅企業C社では、ある日、基幹システムの障害が発生した。
本来であればバックアップから復旧できるはずだったが、実際にはバックアップが1年以上検証されておらず、最新データは復元不能だった。
さらに、担当者が異動時に手順書を更新していなかったため、代わりの担当者は復旧方法が分からず対応が遅れた。結果として復旧までに数日を要し、その間の受注処理や在庫管理が滞った。
顧客からは多数のクレームが入り、社内では「なぜ基本的な管理がされていなかったのか」と責任追及が起きた。
3.主なプロセス(流れ)
潜在的要因:バックアップ未検証、権限乱雑、手順不備
障害発生:システム停止・誤操作・セキュリティ事故
対応不備:復旧や原因究明の遅れ
被害拡大:業務停止、顧客対応の混乱
信用失墜:報道・取引先からの信頼低下
4.トラブルや被害
4-1.トラブルや被害(一次被害)
データ復旧不可
業務システム停止
セキュリティインシデント未検知
誤設定や誤操作
4-2.トラブルや被害(二次被害)
顧客からのクレーム・取引停止
法令違反による行政指導
社員の心理的負担増加
信頼喪失・ブランド価値低下
5.要因(なぜ起きるのか?)
人的要因:知識不足、引き継ぎ不十分、確認不足
組織要因:内部統制の欠如、属人化した運用
技術要因:監視システム未整備、ツール未導入
管理要因:手順書不備、権限設計不適切、変更管理の欠如
文化的要因:「大丈夫だろう」という思い込み、改善軽視の風土