はじめに
「IT保守ベンダーを変更することになった」――情シス担当者なら、一度は経験する局面です。
ところが、いざ引き継ぎが始まると、
- ドメイン管理者パスワードが見つからない
- 誰がどのSaaSの管理者か分からない
- 過去のサーバー証明書更新履歴が引き継がれない
- LANケーブルがどこに繋がっているか図面がない
といったトラブルが発生しがちです。
本記事では、情シス担当者・新ベンダーが旧ベンダーから受け取るべき引き継ぎ項目を30個にまとめ、技術的な観点でチェックリスト化しました。コマンド例も含めて実用的に書いています。
引き継ぎ全体のタイムライン
契約終了の3ヶ月前 ────────────► 切替日 ────────► 完了
│ │
├ T-90: 全契約・全資産の棚卸し │
├ T-60: 認証情報・管理者権限の整理 │
├ T-30: ドキュメント精査・実機確認 │
├ T-14: 新ベンダーへの引き継ぎ会議 │
├ T-7 : 権限切り替えのリハーサル │
└ T-0 : 権限切り替え当日 ├ T+7: 旧ベンダー権限の完全削除
└ T+30: 引き継ぎ漏れの最終確認
カテゴリ1:認証・アカウント情報(最重要)
旧ベンダーが管理者権限を持っているアカウントを完全に把握することが、最優先のタスクです。
✅ 1. Active Directory / Entra ID の Domain Admin / Global Admin 一覧
# AD Domain Admins メンバー一覧
Get-ADGroupMember -Identity "Domain Admins" | Select-Object Name, SamAccountName
# AD Enterprise Admins メンバー一覧
Get-ADGroupMember -Identity "Enterprise Admins" | Select-Object Name, SamAccountName
# Entra ID Global Administrator 一覧(Microsoft Graph PowerShell)
Connect-MgGraph -Scopes "RoleManagement.Read.Directory"
$role = Get-MgDirectoryRole -Filter "displayName eq 'Global Administrator'"
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id
✅ 2. 全管理者権限ロールの棚卸し
Entra ID には Global Admin 以外にも、Exchange Administrator, SharePoint Administrator, Intune Administrator など多数のロールがあります。
# 全ディレクトリロールと割り当てメンバーを出力
Get-MgDirectoryRole | ForEach-Object {
$role = $_
Get-MgDirectoryRoleMember -DirectoryRoleId $role.Id | ForEach-Object {
[PSCustomObject]@{
Role = $role.DisplayName
Member = $_.AdditionalProperties.displayName
UPN = $_.AdditionalProperties.userPrincipalName
}
}
} | Export-Csv -Path "EntraID_Roles.csv" -NoTypeInformation
✅ 3. SaaSサービスの管理者アカウント
代表的なSaaSと、確認すべき管理者画面:
| サービス | 管理者URL | 確認項目 |
|---|---|---|
| Microsoft 365 | admin.microsoft.com | Global Admin、ライセンス管理者 |
| Google Workspace | admin.google.com | 特権管理者、ユーザー管理者 |
| Slack | [workspace].slack.com/admin | Owner、Admin |
| Zoom | zoom.us/account | Owner、Admin、Billing Admin |
| Adobe Creative Cloud | adminconsole.adobe.com | System Admin、Product Admin |
| HubSpot | app.hubspot.com | Super Admin |
| AWS / Azure / GCP | 各クラウド管理コンソール | Root / Owner、IAMロール |
✅ 4. サービスアカウント・APIキーの一覧
人間以外のアカウント(バックアップ用、監視用、CI/CD用)も漏れなく確認。
# ServicePrincipalName が設定されたADアカウント一覧
Get-ADUser -Filter * -Properties ServicePrincipalNames |
Where-Object { $_.ServicePrincipalNames } |
Select-Object Name, ServicePrincipalNames
✅ 5. パスワードボルトの引き継ぎ
旧ベンダーが1Password Business / Bitwarden / LastPass などを使ってパスワードを管理している場合、
- ボルト全体のエクスポート(CSV/1PUX/JSON)
- 各社員アカウントの所有権移管
- 新ベンダー側ボルトへのインポート方法
を明確化しておくこと。
カテゴリ2:ネットワーク構成
✅ 6. ネットワーク構成図(物理 / 論理)
最新版が存在しない場合は、引き継ぎ前に必ず作成依頼してください。**「現物見ながら描く」**ことを契約に含めるのが理想です。
✅ 7. IPアドレス払い出し一覧(IPAM情報)
社内VLAN 10.x.x.x/24:
10.x.x.1 ルータ
10.x.x.10 AD DC1
10.x.x.11 AD DC2
10.x.x.20 ファイルサーバー
10.x.x.100-149 DHCPプール
CSVまたはExcelで管理されているのが理想です。
✅ 8. ファイアウォール(UTM)のルール一覧
# FortiGate例
show firewall policy
show vpn ipsec phase1-interface
show vpn ssl settings
ルールエクスポート → 新ベンダーが解読できる形式(コンフィグファイル + 解説Excel)で受領。
✅ 9. DNSレコード(社内・外部)
# 内部DNS(AD統合)のエクスポート
Get-DnsServerResourceRecord -ZoneName "example.local" |
Export-Csv "internal_dns.csv"
外部DNSは、AWS Route53 / お名前.com / VALUE-DOMAINなどのコンソール権限を移管。
✅ 10. SSL証明書の管理状況
- 各証明書の発行先・有効期限・更新方法
- 自動更新(Let's Encrypt / ACME)の設定有無
- 証明書秘密鍵の保管場所
カテゴリ3:サーバー・端末
✅ 11. サーバー一覧と役割
| サーバー名 | OS | 役割 | IP | 物理/仮想 | 保守満了日 |
|---|---|---|---|---|---|
| DC01 | Windows Server 2022 | ADドメインコントローラ | 10.x.x.10 | 仮想 | 2027/3 |
| FILE01 | Windows Server 2019 | ファイルサーバー | 10.x.x.20 | 物理 | 2026/9 |
| ... |
✅ 12. ハイパーバイザー設定
VMware ESXi / Hyper-V / Proxmox 等のホスト設定、ライセンス、vCenter情報。
✅ 13. バックアップ設定
# Veeam Backup & Replication ジョブ一覧
Get-VBRJob | Select-Object Name, ScheduleEnabled, NextRun
- バックアップ先(NAS、クラウド、テープ)
- リテンション設定
- 復旧テストの実施履歴
✅ 14. PC資産台帳
- メーカー、機種、シリアル番号、購入日、保守期限
- 利用者、配備拠点
- BitLocker回復キー(Entra IDまたはADにエスクロー済みか)
# AD上の全コンピュータアカウントのOS情報
Get-ADComputer -Filter * -Properties OperatingSystem, LastLogonDate |
Select-Object Name, OperatingSystem, LastLogonDate |
Export-Csv "pc_inventory.csv"
✅ 15. MDM登録状況(Intune / Jamf / Kandji)
# Intune管理対象デバイス一覧
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice |
Select-Object DeviceName, OperatingSystem, ComplianceState |
Export-Csv "intune_devices.csv"
カテゴリ4:ライセンス・契約
✅ 16. 全ソフトウェアライセンスの一覧
- 製品名、ライセンス種別(永続/サブスクリプション)、本数、有効期限
- ライセンスキー、アクティベーションサーバー情報
✅ 17. SaaSサブスクリプション
- 契約者名義、課金プラン、自動更新の有無、解約条件
- 課金カード(旧ベンダー名義になっていないか要確認)
✅ 18. ハードウェア保守契約
- 各機器の保守業者、保守期間、24時間/平日対応の区分
カテゴリ5:ドキュメント・ナレッジ
✅ 19. 設定変更履歴
- いつ、誰が、何を変更したか
- 変更理由(特に「なぜそういう構成になっているか」)
✅ 20. インシデント対応履歴
過去2〜3年のインシデント記録(再発リスクの把握)。
✅ 21. 運用手順書
- 月次・日次・週次の運用作業
- 緊急時の連絡フロー
✅ 22. 業務アプリケーション固有の設定
- 業務システム(販売管理・会計・人事等)の設定ファイル保管場所
- ベンダーサポート連絡先
カテゴリ6:セキュリティ
✅ 23. アクセス権マトリクス
ファイルサーバー、SharePoint、共有フォルダの権限一覧。
# 特定共有フォルダのACL確認
Get-Acl "\\fileserver\share" | Select-Object -ExpandProperty Access |
Select-Object IdentityReference, FileSystemRights, AccessControlType
✅ 24. EDR / アンチウイルス設定
- 管理コンソールURL、管理者アカウント
- 例外設定の一覧(誤検知対策)
- 検知通知の宛先
✅ 25. ログ収集状況
- どのログがどこに保管されているか
- 保管期間(コンプライアンス要件と整合しているか)
✅ 26. インシデント対応の体制
- セキュリティインシデント発生時のエスカレーション先
- 外部対応窓口(弁護士、JPCERT/CC、警察)
カテゴリ7:物理設備
✅ 27. サーバールーム情報
- 鍵の所在
- 入退室管理(誰が入室記録を持っているか)
- 電源・空調・UPSの保守業者
✅ 28. 配線図
- LANケーブルがどの機器に繋がっているか
- パッチパネル番号と用途
- 拠点間WANの物理ルート
✅ 29. 各拠点の機器設置場所
複数拠点ある場合、各拠点のラック・機器の写真・図面。
✅ 30. 廃棄予定機器
旧ベンダーが「次回廃棄予定」と認識していた機器の一覧(廃棄漏れを防ぐ)。
引き継ぎ後にやるべきこと
旧ベンダーの権限を完全削除
引き継ぎ会議が終わっても、旧ベンダーのアカウントが残っているケースがあります。契約終了後7日以内に以下を実施してください。
# Entra IDの旧ベンダーアカウント無効化
Update-MgUser -UserId "vendor-admin@yourcompany.com" -AccountEnabled $false
# AD上の旧ベンダーアカウント無効化
Disable-ADAccount -Identity "vendor-admin"
引き継ぎ漏れの最終確認
T+30(切替30日後)に、以下を確認:
- 旧ベンダーへの問い合わせが0件で運用できているか
- 月次運用作業がすべて新ベンダーで完結しているか
- 引き継ぎ漏れインシデントが発生していないか
- 旧ベンダーへの最終支払いが完了しているか
まとめ
IT保守ベンダーの切り替えは、**「契約解除」ではなく「情報の引き渡し」**です。
引き継ぎ漏れがあると、
- 旧ベンダーが退場した後にトラブル対応の責任者不在
- セキュリティインシデント発生時に対応者がいない
- ライセンス契約の自動更新で意図しない請求
といった問題が数ヶ月後に顕在化します。
契約の3ヶ月前から計画的に進めることをお勧めします。
著者
亀田 英佑 / 株式会社BTNコンサルティング 代表取締役
中小企業向け情シスアウトソーシング「情シス365」運営
ベンダー切り替え支援、引き継ぎテンプレート提供も対応しています。