共有アカウント撲滅し隊の苦悩
序文という名の駄文(読み飛ばし可)
苦悩しています。
共有アカウント、ダメ。ゼッタイ。
共有アカウントの撲滅は泥臭く地道にやるか、大鉈振るうしかねえべ、つうかそもそも共有アカウント作らないでっていう感じの話をつらつら書くと思います。ポエムなので具体的なハウツーは期待しないでください。このnoteでは、苦悩して眉間に皺を寄せながら、基本的にGoogle Workspaceを念頭に書き殴っています。有識者や経験者、同様に悩んでいる方がいらしたら、ぜひにコメントをお寄せいただけると嬉しいです。
このnoteの見出し画像は「Our struggle to eradicate shared accounts」の呪文で自動生成しました。かっこいいですね。
このnoteは個人の考えであり、特定の組織、団体を指し示すものではありませんので悪しからず。
共有アカウントはなぜ悪なのか
前提として、共有アカウントはアカン、という認識が必要です。
「共有アカウントはなぜ悪なのか」については、世界の吉田さんのnoteを10回熟読して10回音読してください。
「本当にだめ?必要じゃない?使いたくない?」
そんな声が聞こえてきました。だめです。システム上、やむを得ず作成せざるを得ない場合もあることは致し方ないとしても、それを拡大解釈しないでください。基本、原則、だめです。
世界の吉田さんのnoteにもあるように、例外として運用する場合は、その扱いに注意です。
共有アカウントはどのようにして作られるのか
特権管理者について、つらつら書いたnoteはこちらです。
アカウントを節約したいとか、便利だからとか、退職時の引き継ぎが面倒だからとか、色々な背景があるとは思う。思うけど、だめです。
共有アカウントをどのようにして撲滅していくのか
以下はGoogle Workspaceのアカウントを想定しての話です。
基本的な解決の方向性としては、そのアカウントが持っている役割や責務をアカウントから引き剥がし、アカウントを解体していきたい。
共有アカウントへの対応は、その利用状況や掛けられる工数などの様々な要因を加味しつつも、基本的にまずは調査し、結果としては概ね下記の3点に集約されると考える。調査については後述する。
アカウントの停止、削除
グループへの移行
保留
1.アカウントの停止、削除
そのアカウントがもう利用されていないものであれば、削除すれば良いので話は早い。と、思われがちだが、実はそのアカウントが色々持っていたというトラップがありうる。一足飛びに削除するより、まずは調査し、その上である程度の状況が見えたら、念の為に削除前に停止して様子を見る方が賢明と思う。
アカウント(ユーザー)を停止することで、そのアカウントへのメールを送信しても配信されずに戻ってくる。停止しても課金対象であることは要注意。
削除するときは、データエクスポートしてから、という場合もあるだろう。
2.グループへの移行
そのアカウントについての主たる用途がメールアドレスとしてのメール送受信の場合、アカウントを削除したうえでそのアドレスのグループを作る方向を取る場合がある。アカウントとグループで同じ名称を同一ドメインで同時に持つことは出来ない。ので、アカウント削除→グループ削除 となる。特段の処置を取らない場合は、この切り替え時、ほんのわずか、1分程度のダウンタイムは許容する必要がある。ダウンタイムを許容できない場合は、なんやかんや対応が必要、たぶんExchangeとか使うんでしょうか、やったことないので知らんけど。(参考 https://zenn.dev/cestquigucci/articles/0641bfee3c3b8b)
なお、ドメインが違う場合はグループの名前被りは許容される。
この辺はGWSテナント統合や引っ越しの際にも検討する事項になる。
3.保留
調べていくうちに、こらもうあかん、一旦、停止も削除もグループへの移行も諦めて保留にしておこう、の判断も十分にありうる。
過去からの遺産を受け継いており、システム深くに密結合的に絡み合っているような場合、丁寧に解きほぐし、責務を分離していく地道な作業が必要になる。
どうやって調査していくか
順番が前後したが、共有アカウントについて、どう調査していくか。
ヒアリング
まあ順当にヒアリングである。このアカウントは、どなたが、なんの目的で、いつ、どのように、使っているんですか〜?と社内に聞きまくる。ヒアリングしていくうちに、管理者不在、担当者不在のアカウントであることがわかってきたりもする。
アカウントの管理権、パスワードを入手する
アカウントのパスワードをどうにかこうにか入手して、そのアカウントのマイドライブやメールやらなんやらを確認する。パスワードが誰もわからない、調べられない場合は特権管理者としてパスワードリセットもやむなし。
奥の手はIP
よっぽどのことがあれば、監査ログからそのアカウントの利用ユーザのIPアドレスを割り出して照合することもありうる気がする。警察かよ。
停止して様子見
先にも述べたが、アカウントを停止して一定期間、様子を見るのも手だと思う。
アカウントが持ちがちなもの
そういえばアカウントの概念って難しいかもしれない。おばあちゃんにアカウントって何、聞かれても、うまく説明できる気がしない。
アカウント=メールアドレスと思われがちな気もするけど、違うんだよなあ。
メール機能
そういうわけで、基本的にはメールアドレスとして利用したくて共有アカウントを使っている場合、これが多い、気がする。基本的にはアカウントとしては削除して、グループに移行していく方向になる。
で、問題となるのは、転送。
代表として、共有アカウントのアドレスが窓口となってメールを受けるが、それをチームメンバーに転送、なんていうのもありがち。
フィルタで転送している場合もある。
この辺の転送の関係性を把握、理解していくのが大変だったりする。
マイドライブ
外部共有設定が追いついていない場合、マイドライブにあるデータに対して、社外パートナーとデータを共有していることもある。また、マイドライブにあるデータに対して、社内のユーザを招待して共有している場合もある。
業務で使うデータは共有ドライブに置いてーっていう啓蒙をしつつも、新規にデータ作った時にマイドライブに作成されるし、ここは地道にやるしかないのか?
GASトリガー
これなー。業務にクリティカルな影響のあるものをGASで構築しないほうがいいのでは?なんていうか、仮設的、一時的、ちょっとした効率化でGASは有効なんだけど、GASありきでシステム設計も違うような気がしてる。
あるいは、もう、GASトリガー用の共有アカウントを作って、そいつでトリガーを引くか?あれ、共有アカウント撲滅は?うーん。
自分がどのトリガーを引いたか、一覧で出せればいいのかなあ?
YouTube
GWSのコアサービスじゃないやつその1。
動画データとしてDLしてチャンネルは閉鎖する場合もあるし。
ブランドアカウントとしてチャンネルを運用して、そのオーナーを共用アカウントから剥がす、という場合もあるだろう。
YouTubeのアカウントやチャンネルの概念が難しい。
Looker Studio
GWSのコアサービスじゃないやつその2。データポータルから名前が変わったやつ。
無料の共有アカウント
このワードだけで既に胃もたれしますね。
ビジネスをしているんですよね?なんで無料のサービスを使っているんですか?無料サービスを使うのは、良しとしても、一つのアカウントを複数人で使うってのは規約違反ですよ?そんなことしてると、いつそのアカウントが使えなくなるともしれませんよ?そんな体制で、そんなマインドでビジネスするんですか??
もし無料の共有アカウントに遭遇したら、こんな感じのことを思うわたくしです。
よくある苦悩
今困ってなくない?
これを言われるとつらい。共有アカウントがあることによる工数や手間、無駄、リスク、そのあたりをうまく伝えたい。
情シスがラクしたいだけでは?とか言われちゃうとさらにつらい。実際にラクしたいです。ラクすること否定されちゃうともう。ラクしたその分をさらなる業務効率化に充てたい。課題があったら解決したいじゃないですかー。
どうして…
なんでこんなことになってるんだ?と、頭が頭痛してくることがよくある。
経緯には敬意を持ちつつ、誰も悪くないし、しょうがないんだけど、あーってなることがある。
業務を回すこと優先で、ここまできちゃったんだろうな〜とか、当時はこの仕組みが無かったのかもな〜、とか。
巡り巡って、それが今仕事になっていると思って、深刻にならず、でも真摯に取り組めたら。
地道にやる。
時間が経てば解決する、こともある。
そんな感じで苦悩しています。
でも、すでにn個は撲滅したよ!!!
料金的にもその撲滅した分は浮くわけだしね!!!
えらい!!!!!!
天才!!!!!!
よくやった!!!!!!!
いただいたサポートで、書籍代や勉強費用にしたり、美味しいもの食べたりします!