「IT資産管理が必要とわかっていても、どこから手をつければよいかわからない」という情シス担当者は少なくありません。管理対象の範囲が広く、SaaSも含めると数十〜百種類以上の資産を扱うことになるため、整備の全体像が見えにくいことが課題になっています。

本記事では、IT資産管理を6つのステップに分けて整理し、各ステップで実施すべき具体的な手順を解説します。ツールを使わない手動管理の限界と、自動化による効率化の方向性も含めて説明します。情シス担当者・IT部門マネージャーの方に向けた内容です。

IT資産管理を始める前に確認すべきこと

IT資産管理の手順を整備する前に、現状の課題と組織の管理体制を確認しておくことが必要です。問題の所在を把握しないまま手順を整備すると、実態に合わない仕組みになります。どの部分に管理の空白があるかを先に把握することで、整備の優先順位が明確になります。

現状の課題を把握する

IT資産管理を始める前に、以下の問いに答えられるかを確認してください。

• 社内で使用しているSaaSの種類数を正確に把握しているか
• 退職者のアカウントが全件削除されているか確認できているか
• 未使用ライセンスや余剰SaaSアカウントがないか把握しているか
• 端末の所在と使用者を最新の状態で管理しているか
• パッチ適用状況とOSバージョンを全端末分把握しているか

答えられない項目が多いほど、管理の空白が大きい状態です。把握できていない領域から優先的に整備を進めます。実際にヒアリングを行ってみると、情シス担当者本人が「把握しているつもり」だった領域にも抜け漏れが見つかるケースがあります。まず現状の診断から始めることが、整備を無駄なく進めるための前提となります。

管理方針と責任体制の整備

IT資産管理を組織として機能させるには、管理方針の文書化と責任体制の明確化が必要です。「誰が何の資産の管理責任を持つか」を明示しないまま運用を始めると、問題が発生した際に対応が遅れます。情シスがすべての資産を一手に管理するのではなく、部門管理者が所管資産の一次管理責任を持ち、情シスが全体を統括する体制が現実的な。

特に重要なのは、SaaSの導入申請フローです。部門が独自にSaaSを契約する前に情シスへの申請・承認を義務づけるプロセスを明文化しておくことで、シャドーITの発生そのものを構造的に抑制できます。承認基準（セキュリティ評価の項目・決裁権限のレベル）も合わせて定義しておくと、申請者・承認者双方の判断基準が統一されます。

IT資産管理の対象範囲を定義する

IT資産管理と一口に言っても、対象範囲をどこまで設定するかによって整備の工数と優先度が変わります。一般的に管理対象となる資産は以下の通りです。

最初から全カテゴリを整備しようとすると工数が膨大になります。従業員が日常的に触れるPC・スマートフォンと業務上必須のSaaSから着手し、段階的に対象を広げる進め方が現実的です。

参考: IT資産管理とは？目的・必要性から管理ツールの機能・選び方までわかりやすく解説 | ISM Cloud One

Step1｜IT資産の全数把握と台帳作成

IT資産管理の出発点は、現在保有・利用しているすべての資産を一覧化することです。把握できていない資産を管理することはできません。台帳が整備されていない状態では、後続のすべてのステップが正確に機能しないため、最初に完成度を高めるべき工程です。

資産台帳に記録すべき項目

ハードウェア資産台帳には以下の項目を記録します。

• 資産名（機種名・型番）
• シリアル番号またはMACアドレス
• 購入日・取得金額
• 使用者・設置場所
• 保証期限・サポート終了予定日
• 廃棄予定日・廃棄記録

SaaS・ソフトウェアの台帳には以下を追加で記録します。

• サービス名・プラン名
• ライセンス数・実使用ユーザー数
• 契約者・利用部門
• 月次または年次費用
• 契約更新日・解約条件・解約申請方法

台帳の形式はスプレッドシートから始めても構いませんが、資産の数が50件を超えてきたら管理ツールへの移行を検討してください。スプレッドシートは柔軟性が高い反面、更新漏れ・記入ミス・バージョン管理の問題が生じやすく、人員交代時に引き継ぎコストが高くなります。

ハードウェア資産の収集方法

ハードウェア資産の情報収集には、エージェント型の自動収集ツールを使う方法と、手動でQRコードや資産ラベルを活用して管理する方法があります。まず手動で現物確認を行い基礎台帳を作成した上で、ツールによる自動更新に移行するのが現実的な進め方です。

エージェント型ツールをPCに導入すると、以下の情報が自動的に台帳に登録されます。

• OSバージョン・パッチ適用状況
• インストール済みソフトウェア一覧
• メモリ・ストレージ容量・CPU
• ネットワーク接続状況・IPアドレス

現物確認を行う際は、部署ごとの棚卸し日を設定し、資産ラベルと台帳の突き合わせを実施します。ラベルが貼られていない資産や、台帳に記載がない資産が見つかった場合は、その場で記録を更新します。棚卸しを単発のイベントで終わらせず、四半期ごとの定例業務として仕組み化することが重要です。

SaaS・ソフトウェアの棚卸し方法

SaaSの棚卸しは3つの方法を組み合わせて実施します。

方法1：経費精算システムからの抽出

経費精算システムからSaaS利用料の支出を抽出して法人契約しているSaaSを一覧化します。クレジットカード明細との照合も行い、直接請求のSaaSを漏らさず捕捉します。

方法2：部門ヒアリング

各部門の責任者にヒアリングシートを配布して、部門で利用しているSaaSの申告を求めます。ヒアリングシートには「現在利用中のSaaS名・利用目的・契約形態（個人カード/法人契約）・月額費用の概算」を記入する形式が有効です。

方法3：シャドーIT自動検出

ブラウザ拡張機能または社内ネットワークのログ解析により、申告されなかったシャドーITを検出します。3つの方法で収集した情報を突き合わせることで、情シスが把握していなかったSaaSを漏れなく捕捉できます。

棚卸しの結果、100名規模の企業でも50〜100種類以上のSaaSが発見されることは珍しくありません。発見したSaaSは承認済み・未承認・評価中の3ステータスで分類し、対応方針を決定します。

参考: IT資産管理とは？管理ツールの主な機能や選び方、注意点などを解説｜freee IT 管理

Step2｜ライフサイクル管理の設計

IT資産は調達から廃棄まで一連のライフサイクルを持ちます。各フェーズで行うべき管理業務をプロセスとして定義することで、場当たり的な対応を排除できます。ライフサイクル管理が機能していない組織では、廃棄端末からのデータ漏洩や、使われていないライセンスへの費用支出といった問題が慢性化しやすくなります。

入社・在籍中・退職の各フェーズで必要な管理

入社時

役割に応じたPCの準備・SaaSアカウントの発行・権限の付与を一括で実施します。入社者ごとに必要な設定をチェックリスト化しておくと、担当者が変わっても同じ品質の対応が維持できます。この処理が漏れると、入社初日に使用できる環境が整わず業務に支障が生じます。

入社時に発行するアカウントとデバイスの標準セットを、役職・部門・雇用形態（正社員・派遣・業務委託）ごとにあらかじめ定義しておくと、対応速度が上がります。たとえば「営業職・正社員」であれば、PC1台＋スマートフォン＋Slack・Salesforce・Google Workspaceのアカウント、という形で標準パッケージを用意しておきます。

在籍中

異動・昇格に伴う権限変更と端末の所在更新を随時実施し、定期棚卸しで資産状態を確認します。異動情報は人事部門から情シスへの自動通知フローを構築しておくと、情シス側が個別に情報を追う負荷がなくなります。

退職時

PC・スマートフォンなどの端末回収、全SaaSアカウントの削除、社内メール・Slackのアクセス停止を退職日当日または前日に完了させます。退職者対応で最も発生しやすい問題は「SaaSのアカウントが削除されないまま残存する」ことです。利用しているSaaSが多いほど、手動での漏れリスクが高まります。

資産の調達から廃棄までのプロセス整備

調達プロセス

申請→承認→発注→検収→台帳登録の5つのステップをプロセスとして定義します。特に「発注」と「台帳登録」の間に「検収」ステップを設けることで、発注した資産が正しく納品されたことを確認した上で台帳に記録できます。

廃棄プロセス

廃棄時は以下の手順を必ず実施してください。

1. データ消去の実施（NIST SP 800-88またはDoD 5220.22-M規格準拠）
2. データ消去証明書の取得・保存
3. 台帳上での廃棄ステータスへの更新
4. 廃棄記録の保存（廃棄日・廃棄方法・担当者）

廃棄端末からのデータ漏洩は廃棄時の手順不備によって発生するため、廃棄フローの明文化が必要です。データ消去を外部業者に委託する場合は、適切な認定を受けた業者を選定し、証明書の発行を契約に含めます。

端末のリプレースサイクルの計画

IT資産管理では、端末の計画的なリプレースも重要な業務です。PCのリプレース目安は一般的に4〜5年とされますが、組織の業務特性に応じて設定します。リプレース計画を台帳と連動させておくと、予算策定の際に必要投資額を事前に見積もれます。OSのサポート終了スケジュール（Windows 11の次のサポート終了日など）も考慮して、計画的な移行を進めます。

参考: IT資産管理とは？目的・メリット・手順・ツール選定までを徹底解説 | Hammock

Step3｜SaaS管理の体系化

SaaSの利用数が増えた現代では、ハードウェア管理と同等またはそれ以上の重要度でSaaS管理を整備する必要があります。SaaSは契約・利用開始が容易なため、気づかないうちに組織内の利用数が膨らみます。コスト・セキュリティ・コンプライアンスの各観点から、体系的な管理の仕組みが不可欠です。

SaaS棚卸しの実施手順

Step1で作成したSaaS台帳を基に、四半期ごとに棚卸しを実施します。棚卸しでは各SaaSの以下の情報を確認します。

• アクティブユーザー数と契約ライセンス数の差
• 過去90日間でログインしていないアカウントの数
• 利用率が低いSaaSの継続・縮小・解約判断
• 契約更新日が迫っているSaaSの対応方針

長期間ログインされていないアカウント（目安：90日以上）は、使用者に利用状況を確認した上で削除または権限を縮小します。「使っていないが念のため残している」状態のアカウントは、コストの無駄遣いであるとともに、セキュリティリスクでもあります。

棚卸しの結果を部門責任者にフィードバックすることで、コスト意識が部門側にも醸成されます。「自部門のSaaS利用費が月額○○円かかっている」という情報は、不要なツールの整理を促す有効なきっかけになります。

シャドーITの検出と対応

定期的なシャドーIT検出を実施し、新たに発見されたSaaSへの対応方針を決定します。対応の選択肢は3つです。

承認・法人契約化

セキュリティ評価を実施した上で承認し法人契約に切り替えます。セキュリティ評価のチェック項目は、ISO 27001の取得有無・データ保存場所（国内/海外）・SOC 2レポートの存在・過去のインシデント履歴が基本です。

代替ツールへの移行案内

公式に承認済みの代替ツールへの移行を案内します。利用者がシャドーITを選んだ理由（使いやすさ・機能の充足度）を理解した上で、同等の機能を持つ承認済みツールを提案することが重要です。

利用禁止と代替手段の提供

リスクが高いと判断した場合は利用を禁止し、代替手段を提供します。シャドーITの禁止だけを徹底しても、従業員が必要と感じる機能を他の手段で使い続けるため、なぜそのツールを選んだかを理解した上で対応する姿勢が重要です。

利用状況とコストの最適化

SaaSの月次支出と実際の利用状況を対応させることで、コスト削減の機会を発見できます。50名分のライセンスを契約しているSaaSで実際に月次利用しているユーザーが30名であれば、20名分のライセンスを解約または一時停止することでコストを削減できます。

コスト最適化の取り組みとして、以下のような観点でSaaS利用状況を分析します。

IT調査会社Garterの調査によると、企業は購入したSaaSライセンスの約25%を使用していないと報告されています。定期的な棚卸しだけで、年間のSaaS支出の10〜20%を削減できる可能性があります。

参考: IT資産管理ツールとは？導入目的・仕組みをわかりやすく紹介 | アスピック

Step4｜アクセス権限管理の整備

SaaS利用が増えた環境では、アクセス権限の管理が情シス業務の中心的な課題になります。役割に応じた権限設計を整備することで、過剰権限と放置アカウントを構造的に防げます。権限管理の不備は、情報漏洩・内部不正・セキュリティインシデントの直接的な原因になります。

ロール設計と権限マッピング

ロールベースアクセス制御（RBAC）では、職種・役割・部署ごとに使用するSaaSと権限レベルを定義します。社内の役割（営業・マーケティング・エンジニア・人事・経営など）を洗い出し、各役割が業務上必要なSaaSと権限レベル（管理者・編集・閲覧）を対応表で整理します。

ロール設計の実践的な進め方として、以下のステップを推奨します。

1. 社内に存在する役割を一覧化する（正社員・派遣・業務委託の区別も含める）
2. 各役割が業務で必須のSaaSとオプションのSaaSを分類する
3. 各SaaSでの権限レベル（管理者・一般ユーザー・閲覧のみ）を定義する
4. 役割変更（異動・昇格・部門異動）が発生した際の権限更新フローを明文化する

最初から完全なロール設計を目指すのではなく、主要な役割5〜10種類からシンプルに始め、運用しながら調整するのが現実的です。完璧なロール設計よりも、「今あるものを動かして改善していく」姿勢の方が実態に合った権限管理につながります。

定期的な権限棚卸しの仕組み化

ロール設計後も、権限は放置すると実態とずれていきます。異動・昇格・役割変更に伴う権限更新が都度適切に行われているか、また不要になった権限が残存していないかを確認するために、四半期ごとに権限棚卸しを実施します。

棚卸しで確認すべき主な項目は以下のとおりです。

• 管理者権限保有者の一覧確認: 管理者権限は最小限の人数に絞る原則を守れているか
• 長期未使用アカウントの洗い出し: 90日以上ログインのないアカウントはアクティブか確認
• 業務実態に合わない権限の修正: 異動後も元部署のSaaSへのアクセスが残っていないか
• 退職者アカウントの残存チェック: 退職処理後に削除漏れがないか最終確認

棚卸し結果を部門責任者に承認させるフローを組み込むと、情シスだけの負担にならない体制を作れます。「自部門の誰が、どのシステムにアクセスできるか」の責任を部門側にも持たせることで、権限管理が組織全体の取り組みになります。

SSO（シングルサインオン）の活用

SaaSが増えた環境で権限管理を効率化する手段として、SSO（シングルサインオン）の導入が有効です。SSOを導入すると、1つの認証基盤で複数のSaaSへのアクセスを管理できるため、以下のメリットがあります。

• 退職時のアカウント無効化をSSOの無効化のみで一括対応できる
• 全SaaSへのMFA強制をSSOの設定から一元的に実施できる
• 利用しているSaaSへのアクセスログをSSOで集約して監視できる

Microsoft Entra ID（旧Azure AD）やOktaが代表的なSSOソリューションです。Google Workspaceを利用している場合は、Google Identity Providerを活用する選択肢もあります。

参考: IT資産管理とは？IT資産管理ツールの機能や選定ポイントを解説 - パナソニック コネクト

Step5｜退職者・異動者対応の自動化

退職・異動時の対応は手動管理では漏れが発生しやすい業務です。プロセスを設計し、可能な限り自動化することで対応漏れを防げます。特に退職者アカウントの削除漏れは、セキュリティリスクとして直結するため、最優先で仕組み化すべき領域です。

オフボーディングフローの設計

退職者対応のフローを次のように整備します。

退職確定時（退職日の2週間以上前）

HRシステムから情シスへの退職情報の自動通知を設定します。退職日・対象者・所属部門・役職の情報を情シスが確実に受け取れる仕組みを整えます。

退職日3日前

オフボーディングチェックリストを担当者に送付します。リストには対象者が利用しているSaaS・システムの一覧と、各アカウントの削除担当者・期限を記載します。

退職日前日〜当日

全SaaSのアカウントを一括停止し、社内メール・Slackへのアクセスを無効化します。端末回収の実施確認と台帳上での返却記録を行います。

退職日翌日

削除処理の完了確認を行い、漏れがある場合は即日対応します。処理完了をチェックリスト上に記録として残します。

チェックリストは担当者が変わっても同じ対応ができるように、具体的な操作手順（どのサービスのどの画面で削除するか）まで記載しておくと引き継ぎコストが下がります。

自動化で排除できる手動作業

HRシステムとIT資産管理ツールを連携させると、退職情報を受け取ったタイミングでアカウント削除を自動的にトリガーできます。従来、100種類のSaaSを手動で1つずつ削除していた作業が、1クリックで一括実行できるようになります。人為的なミスが排除され、対応の確実性が上がります。

自動化で削減できる主な手動作業は以下のとおりです。

自動化の導入により、退職者1名あたりの情シス対応時間を大幅に削減できます。SaaS数が多いほど削減効果は大きくなります。

異動者の権限切り替えフロー

退職者対応と同様に、異動者の権限切り替えも自動化の対象として設計します。異動では「削除」だけでなく「旧部署の権限削除＋新部署の権限付与」の2つの処理が発生します。どちらか一方が漏れる「半異動」状態（旧権限が残ったまま新権限も追加される）は、過剰権限の温床になります。

異動情報をHRシステムから受け取り、ロール設定に基づいて旧ロールの権限を削除し新ロールの権限を付与する一連の処理を自動実行できると、正確で迅速な対応が可能になります。

参考: 【2025年版】おすすめのIT資産管理ツール16選を徹底比較！ | 起業LOG SaaS

Step6｜定期監査と継続的な改善

管理プロセスを整備しても、運用が実態に即しているかを定期的に確認しなければ形骸化します。定期監査を仕組みとして組み込むことで、管理の質を維持できます。また監査結果を経営層に報告することで、情シス投資の正当性を示すエビデンスとしても機能します。

監査の頻度と確認項目

四半期ごとに実施する定期監査で確認すべき主な項目は次のとおりです。

ハードウェア資産

• 台帳の最新性（使用者変更・廃棄処理の未反映がないか）
• OSバージョンとパッチ適用状況の確認
• 保証期限・サポート終了が近い端末のリストアップ

SaaS・アカウント管理

• SaaS棚卸しの実施状況と新規検出されたシャドーIT
• 長期間ログインされていないアカウント（90日以上）の一覧と対応状況
• 退職者・異動者のアカウント処理完了確認
• 管理者権限保有アカウントの正当性確認
• 各SaaSのMFA有効化状況の確認

コスト管理

• ライセンス使用率と未使用ライセンスの把握
• 契約更新が3か月以内のSaaSの対応方針確認
• 前四半期比でのSaaS支出変動の分析

監査結果の活用方法

監査結果は記録として保存し、前回との差分で改善・悪化の傾向を把握します。コスト削減の実績や対応漏れ件数の推移を数値でまとめ、経営陣・部門責任者への報告に活用すると、IT資産管理への投資の正当性を示せます。

監査報告をダッシュボードで可視化できると、経営層が定期的に状況を把握する習慣が生まれます。情シス担当者の努力を「見える化」することで、管理業務の重要性に対する組織の理解が深まります。

改善サイクルの設計

定期監査の結果をもとに、管理プロセスの改善を継続的に行います。発見した問題を「一時的な対応」で終わらせず、プロセスの見直しや自動化によって再発を防ぐことが重要です。

改善の優先順位は「発生頻度が高い問題」と「発生した際のリスクが大きい問題」の掛け合わせで決定します。たとえば「退職者のアカウント削除漏れが毎回数件発生する」という問題は、頻度・リスクともに高く、最優先で自動化への投資を検討すべきです。

参考: IT資産管理とは？必要性やIT資産管理ツールの活用メリットを解説 | ITトレンド

IT資産管理ツールの活用で効率化する

SaaSが30種類を超えてくると、前述の各ステップを手動で実施し続けることに限界が生じます。IT資産管理ツールを導入することで、管理の精度を保ちながら工数を削減できます。ツールの選定では「自社が抱える課題の解決に直結する機能を持つか」を中心に評価することが重要です。

ツールが解決する主な課題

IT資産管理ツールが自動化・効率化する主な業務は以下の5点です。

1. ハードウェア情報の自動収集: エージェントによるインベントリの最新化で、台帳更新の手作業を排除
2. SaaS利用状況の一元表示: 複数のSaaSをまたがった利用状況をダッシュボードで可視化
3. アカウント管理の自動実行: 入社・退職・異動に連動したアカウントの発行・削除を自動化
4. シャドーITの自動検出: ブラウザ拡張機能やログ解析で未承認SaaSを継続的に発見
5. 監査レポートの自動生成: 定期棚卸しと監査ログの記録を仕組みとして運用

ツール導入前の検討では、無料トライアルを活用して自社の環境で動作するかを確認することを推奨します。対応しているSaaSの種類・HRシステムとの連携有無・日本語対応の有無は、導入後の運用に直結する項目です。

ツール選定で確認すべきポイント

IT資産管理ツールを選定する際に確認すべき主な観点を整理します。

JosysによるIT資産管理の実践

Josysはデバイス・アカウント・SaaSの利用状況を一元管理できるSaaS管理プラットフォームです。350種類以上のクラウドサービスとの連携に対応しており、ワンクリックでアカウント発行・削除を実行できます。タスクの自動スケジュール機能により、権限棚卸しや定期監査の実施を仕組みとして組み込めます。

Gartnerの調査によれば、新技術の64%がIT人材不足により採用が妨げられているとされており、少人数の情シス組織でも、Josysを活用することでIT資産管理の実務を効率的に運用できます。HRシステムとの連携で入退社情報を自動取得し、退職者のアカウントを指定日に一括無効化する機能は、情シスの手作業を大幅に削減します。

参考IT資産管理とは

参考SaaSセキュリティ 対策

IT資産管理で情シスが陥りやすい失敗パターン

IT資産管理を整備しようとする際、多くの情シス部門が共通した失敗パターンに陥ります。あらかじめ把握しておくことで、同じ轍を踏まずに済みます。

台帳を作ったが更新されない

最初に力を入れて台帳を作成しても、更新の仕組みがなければ数か月で実態と乖離します。台帳は「作ること」よりも「最新状態を保つ仕組み」の設計が重要です。更新のトリガー（入社・退職・異動・端末調達・廃棄）ごとに「誰が、いつ、どのように台帳を更新するか」を明文化します。

全ての対策を一度に整備しようとする

完璧な管理体制を一気に構築しようとすると、整備の途中で頓挫するリスクが高まります。Step1の台帳作成からStep6の定期監査まで、6つのステップを段階的に進めることを推奨します。まず最低限の台帳を整備し、退職者対応のフローを固め、その後にSaaS管理の体系化と監査の仕組み化を順番に進めます。

情シスだけが管理責任を負う構造

情シスが全管理業務を一人で抱えると、担当者の異動・退職時に業務が止まります。部門責任者が所管資産の一次管理責任を持つ体制を作り、情シスは統括・監査・自動化に集中する役割設計が持続可能な体制につながります。

IT資産管理の自動化で情シスの工数を削減する

IT資産管理は一度仕組みを整えれば終わりではなく、資産の変化（新規調達・退職・異動）のたびに更新が必要な継続的な業務です。手動対応を前提にした仕組みでは、SaaSの利用数・従業員数が増えるほど担当者の負荷が積み上がります。

まず自社の現状把握（Step1）から始め、退職者アカウント対応の自動化（Step5）と定期棚卸し（Step3・Step6）の仕組み化を優先的に整備することで、最も発生しやすいリスクと工数を同時に削減できます。IT資産管理を「属人的な手作業」から「仕組みによる継続的な管理」へ移行することが、情シスが本質的な業務に集中するための前提となります。

Josysでは、IT資産管理・SaaS管理の一元化に向けた詳細資料を無料でご提供しています。自社の管理体制の見直しを検討している場合は、以下よりご確認ください。

資料ダウンロード: Josys製品資料 - IT資産管理・SaaS管理