「ITガバナンスを強化しなければ」とわかっていても、何から手をつければよいか見当がつかない。情報システム部門の担当者から繰り返し聞く声です。SaaSの乱立で管理対象は増え続け、J-SOX改訂への対応期限は迫り、情シスのリソースは限られている。この三重の圧力の中でガバナンス強化を進めるには、闇雲に施策を積み上げるのではなく、段階的なロードマップに沿って優先順位をつけることが必要です。

しかし、そのロードマップを具体的に示した情報は多くありません。「コストの適正化」「セキュリティ強化」といった方針論は多くても、「いつ・何を・どの順序でやるか」まで踏み込んだ実践ガイドは少ないのが実態です。

本記事では、ITガバナンス強化の6フェーズロードマップを提示し、現状アセスメントからSaaS可視化・ポリシー策定・アクセス権管理・監査ログ整備・KPI設計・経営報告体制の構築まで、情シス担当者が実際に動ける粒度で解説します。従業員500名以上の中堅・大手企業で情報システム部門を担う方を主な対象として想定しています。

ITガバナンス強化が急務となっている理由

ITガバナンス強化の強化は、かつての「いつかやるべきこと」から「今すぐやるべきこと」に変わっています。SaaS環境の変化・法制度の改訂・経営からの説明責任要求という3つの圧力が、同時に高まっているためです。それぞれの圧力がどのようなリスクをもたらしているか、具体的に整理します。

SaaS乱立で管理の死角が急拡大している

各部門が独自にSaaSを導入する分散型IT環境では、IT部門が全体像を把握することが構造的に困難です。複数の調査によれば、従業員の80%以上がIT部門の承認を得ずに職場でSaaSを利用していると報告されています（参考: ジョーシス「シャドーITとは何か」）。こうした未承認SaaSの存在は、情報漏洩リスク・コンプライアンス違反・無駄なライセンスコストという三重の問題を同時に引き起こします。

特に深刻なのは、シャドーITが監査対応の障害となることです。J-SOXのIT全般統制では、アクセス管理と操作ログの取得が必須要件とされていますが、IT部門が把握できていないSaaSからはログを取得できません。把握していなかったという事実は、監査の場では免責の理由になりません。

シャドーITとは

J-SOX改訂（2024年度）で求められるIT統制が高度化した

2024年度から適用が始まった改訂J-SOX（経済産業省「システム管理基準 追補版」）は、クラウドサービス・外部委託・リモートアクセス環境でのIT統制について、従来より詳細な要件を明示しました。内部監査・外部監査の指摘事項として多いのが、アクセス権管理の不備と監査ログの取得漏れです。

監査対応が後手に回ると、監査法人から改善指示を受け、翌年の監査で集中的に検証されるという悪循環が生じます。指摘を受けてから慌てて対応するより、先手でIT統制の体制を整える方が、長期的なコンプライアンスコストを抑えられます。

IT内部統制とは

経営層からIT投資の説明責任を求められる時代

DX推進の加速とコーポレートガバナンス強化の潮流により、IT投資のROIを経営層・株主に説明する責任が情シス部門に強く求められています。「なぜこのシステムに投資したか」「その投資はどんな経営成果をもたらしたか」を定量的に示せない情シスは、経営からの信頼を失うリスクがあります。

ITガバナンスの強化は、単なるコンプライアンス対応にとどまりません。情シス部門が経営のパートナーとして機能するための基盤整備でもあります。この認識を持って取り組むことで、ガバナンス強化の施策が経営層から予算・人員の支援を得やすくなります。

ITガバナンス強化の全体ロードマップ

ITガバナンスの強化は一度に完成するものではなく、段階を踏んで積み上げるものです。以下の6フェーズが基本的なロードマップとなります。各フェーズで取り組む主要施策と目安期間を示した上で、組織の状況に応じた優先度調整の考え方も解説します。

このロードマップは直線的に進めることが理想ですが、J-SOX対応が喫緊の課題であればPhase 5から先行着手するなど、組織の優先事項に応じてフェーズの順序を調整することも現実的です。全体像を把握した上で、自社の状況に合わせてカスタマイズしてください。

Phase 1〜2: 現状アセスメントと優先課題の特定

どこに向かうかを決める前に、今どこにいるかを正確に把握することが出発点です。現状アセスメントの質が、その後のロードマップ全体の精度を左右します。SaaS環境特有のギャップを踏まえた4領域のアセスメント手法と、優先課題を経営層と合意するための目標設定パターンを解説します。

IT環境の現状アセスメント

アセスメントでは、IT資産・リスク・体制・コストという4つの領域を網羅的に把握します。SaaS環境では、IT部門が認識している資産と実際に利用されている資産の間に大きなギャップが生じていることが多く、調査票・担当者インタビュー・ツール棚卸しを組み合わせたアプローチが有効です。

把握すべき主な項目は次のとおりです。

• IT資産: 全SaaSの名称・契約主体・利用者数・月額コスト・セキュリティ認証の有無
• リスク: シャドーITの存在・アクセス権の過剰付与・監査ログ取得漏れ・退職者アカウントの残存
• 体制: ITポリシーの整備状況・承認フローの有無・IT委員会の設置有無
• コスト: IT支出総額・利用率の低いライセンス・重複機能を持つSaaSの存在

COBIT 2019の成熟度モデルを活用すると、現在のガバナンスレベルを客観的に評価できます。レベル0（プロセスが存在しない）からレベル5（最適化済み）までの6段階で自己評価し、強化目標を設定する際の基準点として使います。

優先課題の特定と目標設定

アセスメントで把握した課題を発生確率と影響度のリスクマトリクスで整理し、優先順位を付けます。少人数の情シス体制では、すべての課題を同時に解決しようとすること自体が現実的ではありません。

優先課題を特定したら、経営層と合意した上で強化目標を設定します。目標のパターンとして代表的なものは次の3つです。

• J-SOX対応型: IT全般統制の不備を解消し、監査指摘をゼロにする
• シャドーIT解消型: 未承認SaaSを全廃し、IT資産の可視化率95%以上を達成する
• コスト最適化型: 重複・未利用ライセンスを削減し、IT支出を削減する

目標を数値化することで、経営層への説明と進捗報告がはるかに明確になります。

Phase 3: 組織体制・承認フローの整備

ガバナンスを仕組みとして機能させるには、誰が何を決定し、誰が実行するかという体制の設計が先決です。体制のないルールは、誰にも守られないまま形骸化します。中堅企業でも現実的に着手できる体制設計の最小単位と、シャドーITを防ぐSaaS導入承認フローの6ステップを解説します。

ITガバナンスを担う組織体制の設計

大手企業では専任CIOを置き、その下にIT委員会・情報システム部門が連携する体制が標準的です。中堅企業では専任CIOを置くリソースが限られることが多く、現実的な体制設計が求められます。

中堅企業での現実的なアプローチとして、2点から着手することを推奨します。

まず、経営会議の定例アジェンダにIT投資・ITリスクの報告項目を追加します。月1回、10〜15分の報告で構いません。これだけで「経営層がITを監督する」という最低限のガバナンス構造が生まれます。経営層がITリスクを認識し、意思決定できる状態を作ることが目的です。

次に、月次IT定例として、IT部門と関連部門の責任者が集まる定期会議を設置します。SaaSの新規導入申請・インシデント状況・コスト状況を定期的に共有することで、IT部門と現場の情報格差を埋め、シャドーITが生まれにくい文化を醸成できます。

SaaS導入承認フローの設計

SaaS導入の承認フローを明文化することは、シャドーIT防止の最も直接的な施策です。基本となるのは次の6ステップです。

1. 申請: 利用部門の担当者が所定のフォームで申請（SaaS名・目的・利用者数・月額コスト・取り扱いデータ種別を記載）
2. セキュリティ審査: 情シスがSOC2認証・ISO27001・データ保存場所・ログ取得機能を確認
3. コスト審査: IT部門が全社IT支出との整合性・既存SaaSとの重複を確認
4. 承認: IT部門長または経営層指名の承認者が可否を決定
5. 契約・利用開始: 承認後、情シスが契約手続きと初期設定を実施
6. フォローアップ: 利用開始後3〜6ヶ月でKPIを確認し、継続利用の適否を評価

無料トライアルについても申請を義務化することが重要です。とりあえず試してみるところから本番利用に移行するケースが、シャドーITの代表的な発生パターンだからです。

Phase 4: SaaS可視化とITポリシーの策定

組織体制と承認フローが整ったら、現時点での管理対象の全量把握とルールの明文化を同時に進めます。この2つが揃って初めて、実効性のあるITガバナンスが動き始めます。シャドーITを洗い出す手動・自動の2段階アプローチと、SaaS利用規程に含めるべき項目を解説します。

全社SaaSの可視化（シャドーIT排除）

SaaS可視化は、手動と自動の2段階で進めるのが現実的です。まず調査票を全部門に配布し、現在利用中のSaaSを自己申告させます。主要なSaaSはこの段階で概ね把握できます。続いて、ブラウザ拡張機能やネットワーク監視ツールを活用して、自己申告で漏れたシャドーITを検出します。

ジョーシスのプラットフォームでは、ブラウザ拡張機能とAPI連携を組み合わせることで、従業員が業務で利用しているSaaSを自動検出・可視化できます。以前は担当者が定期的に各部門へのヒアリングと手作業での集計を繰り返していた状態から、ジョーシスのプラットフォームを導入後はリアルタイムでSaaS利用状況を把握できるようになった企業の事例が報告されています。把握できていなかったSaaSが数十種類あったという発見は、多くの企業で共通して起きています。

発見したシャドーITは、次の3パターンで処理します。

• 廃止: セキュリティ要件を満たさない・業務上の必要性が低いSaaSは即廃止
• 承認済みへ移行: 業務上必要であれば承認フローを経て正式な管理対象に移行
• 代替ツールに統合: 既存の承認済みSaaSで機能代替できる場合は統合してライセンスを削減

廃止・移行・統合のいずれを選ぶかは、セキュリティリスクの大きさと業務への影響度を照らし合わせて判断します。

シャドーITとは

SaaS棚卸し やり方

ITポリシー・SaaS利用規程の策定

可視化と並行して、ITポリシーとSaaS利用規程を整備します。既存の情報セキュリティポリシーがある場合は、SaaS特有のルールを追加する形で拡張するのが効率的です。

SaaS利用規程に含めるべき主な項目は次のとおりです。

• 利用申請・審査・承認フロー（前項の内容を文書化）
• 無料トライアル開始時の申請義務
• 使用を許可するSaaSカテゴリと禁止カテゴリの定義
• 個人情報・機密情報の入力を禁止するSaaSの指定
• アカウント発行・削除の手順とタイムライン
• 違反時の対応フロー

規程を策定したら全社への周知が不可欠です。新入社員研修・年1回の全社アナウンス・社内イントラへの掲示を組み合わせ、ルールが存在するという事実を組織全体に浸透させてください。

Phase 5: アクセス権管理と監査ログの整備

J-SOX対応において最も指摘を受けやすく、整備の難易度も高いのがアクセス権管理と監査ログの領域です。この2つを確実に整備することが IT統制の核心であり、監査対応の要です。設計・棚卸し・定期レビュー・即時対応の4プロセスで進めるアクセス権強化手順と、取得すべきログ種別・保管期間の目安を解説します。

アクセス権管理の強化手順

アクセス権管理の強化は、設計・棚卸し・定期レビュー・即時対応という4つのプロセスで構成されます。順を追って進めることで、整備の抜け漏れを防げます。

設計では、最小権限の原則に基づくロールベースアクセス制御（RBAC）を構築します。職種・役職・業務内容ごとにロールを定義し、各ロールに対して必要最低限のアクセス権を割り当てます。全人員を個別管理するのではなくロールで管理することで、人事異動・入退社時の対応が格段に効率化されます。

棚卸しでは、現在付与されているすべてのアクセス権を洗い出します。誰がどのSaaS・システムに、どの権限でアクセスできるかを全量把握し、RBACの設計と照合して過剰権限を特定・削除します。初回の棚卸しは工数がかかりますが、一度整備すれば以後の定期レビューの負担は大幅に下がります。

定期レビューは半年〜年1回実施し、人事異動・昇降格・役割変更に伴うアクセス権変更が正確に反映されているかを確認します。レビュー結果は記録として保管し、監査証跡として活用できる状態にしておく必要があります。

即時対応として、退職者のアカウントは退職当日に削除するフローを確立します。退職者のアカウントが残存する孤立アカウントは、不正アクセスの温床となります。人事システムとの連携または定期的な突合確認で、削除漏れをゼロにする体制を作ります。

アクセス権限 棚卸し 方法

監査ログの取得・保管体制の整備

J-SOXのIT統制対応では、誰がいつ何にアクセスし、何を操作したかの記録を取得・保管することが必須です。ログが取れていなければ、内部監査・外部監査の証跡として機能しません。

取得すべき主なログの種類は次のとおりです。

• ログイン・ログアウト記録（成功・失敗の両方）
• ファイルアクセス・ダウンロード・共有記録
• 管理者権限を使用した操作記録
• アカウント作成・変更・削除記録
• システム設定変更記録

SaaSごとにログ取得機能と設定方法が異なるため、利用中のSaaSのセキュリティ設定画面でログ取得が有効化されているかを確認する必要があります。ログの保管期間はJ-SOX対応の観点から最低3〜5年が目安です（適用される規制要件により異なります）。

ジョーシスのプラットフォームでは、連携するSaaSの操作ログを一元収集・保管し、監査レポートとして出力できます。以前は各SaaSの管理画面を個別に確認してログをCSV出力し、手動で集計していた状態から、ジョーシスのプラットフォームを導入後はダッシュボード上で横断的にログを確認・エクスポートできるようになり、監査準備にかかる工数を大幅に削減した事例があります。

監査ログ 取り方 SaaS

Phase 6: KPI設定と経営層への報告体制

ガバナンスは整備して終わりではなく、継続的に成熟度を高めていくものです。KPIの設定と経営層への定期報告が、ガバナンスを生きた仕組みとして維持するための柱となります。測定可能なKPI例5つと、月次・四半期・年次の3段階で設計する経営報告体制の具体的な組み立て方を解説します。

ITガバナンスKPIの設定方法

KPIを選定する際に重要なのは、測定可能であることと、経営層が理解できることの2点です。ITの専門用語を並べた指標では、経営会議での議論が噛み合いません。

主要なKPI例を5つ挙げます。

• 可視化率: 全社SaaSのうちIT部門が把握・承認済みの割合（目標: 95%以上）
• 孤立アカウント即日削除率: 退職者のアカウントが即日削除できた割合（目標: 100%）
• アクセス権レビュー実施率: 対象アカウントのうちレビュー完了の割合（目標: 100%・半期ごと）
• IT統制テスト合格率: J-SOXの内部統制テストでの指摘事項ゼロ達成
• ポリシー認識率: SaaS利用規程を確認・同意した従業員の割合（目標: 100%）

COBIT 2019の成熟度モデルを使った定期評価も有効です。半年〜年1回、現在のガバナンスレベルを測定することで強化の進捗を客観的に把握し、次のアクションを決定できます。

経営層への定期報告体制の整備

経営層への報告は、月次・四半期・年次の3つの粒度で設計することを推奨します。

月次報告では、インシデント状況・新規SaaS申請件数・孤立アカウント検出件数などの運用指標をコンパクトに共有します。5分以内で要点を伝えられる資料に絞ることが、定着化のポイントです。

四半期報告では、KPIの進捗・コスト削減効果・リスク低減状況を定量的に示します。IT統制の改善がいくらの損失リスクを回避したかをリスク金額換算で示すことで、経営層の関心を引きやすくなります。

年次報告では、COBIT成熟度の評価結果・翌年のガバナンス強化計画・予算要求を取締役会や監査委員会に報告します。ITガバナンスが経営議題として位置づけられることで、継続的な予算・人員確保が容易になります。

SaaS管理プラットフォームを使ったガバナンス強化の加速

6フェーズのロードマップを手動で進めようとすると、少人数の情シス体制では工数面での限界に直面します。Phase 4〜5の作業だけで月20〜30時間以上を要することも珍しくありません。SaaS管理プラットフォームを活用することで繰り返し作業を自動化し、少ない人員でもガバナンスを維持できる体制を構築できます。

ロードマップ各フェーズでの活用ポイント

SaaS管理プラットフォームは特定のフェーズのみに役立つのではなく、ロードマップ全体を通じてガバナンス強化を支援します。各フェーズでの課題と解決の対応関係は次のとおりです。

フェーズを経るごとにプラットフォームの恩恵が積み重なり、ガバナンス運用の工数は段階的に下がっていきます。

ジョーシスのプラットフォームが変えること

ジョーシスのプラットフォームは、SaaS管理・デバイス管理・アイデンティティ管理を一元化することで、ITガバナンスの実装を支援します。

導入前は、入社のたびに複数のSaaSアカウントを手動作成し、退職時の削除漏れが定期的に発生していたケースがあります。ジョーシスのプラットフォームを導入した後は、人事システムとの連携によりアカウント発行・削除が自動実行されるようになり、入退社処理の工数を大幅に削減し、アカウント削除漏れ率をゼロにした事例が報告されています。

シャドーITを含む全SaaSのリアルタイム可視化・監査ログの自動収集・アクセス権レビューの自動通知という機能群により、少人数の情シス体制でもPhase 4〜5の施策を持続的に運用できます。ITガバナンスの「知る・管理する・統制する」という流れを、仕組みの力で継続して回すことが可能です。

まとめ

ITガバナンス強化を前進させるカギは、全体像を把握した上で優先順位を付け、段階的に積み上げることにあります。6フェーズのロードマップを要点でまとめます。あわせて、今すぐ着手できる優先アクションを3点挙げます。

• Phase 1〜2: 現状アセスメントで今の位置を把握し、優先課題を経営層と合意する
• Phase 3: 組織体制と承認フローを整備し、ガバナンスを仕組みとして機能させる基盤を作る
• Phase 4: 全社SaaSを可視化してシャドーITを排除し、ITポリシーを明文化・周知する
• Phase 5: アクセス権管理とログ整備でJ-SOX対応の核心を固める
• Phase 6: KPIと経営報告体制を整え、ガバナンスを継続改善サイクルに乗せる

今すぐ着手できる優先アクションを3点挙げます。

1. 全社SaaSの棚卸しを実施する（Phase 4の入口）: 調査票配布と情シスによる確認で、把握できていなかったSaaSの全量を把握する
2. アクセス権の現状棚卸しを行う（Phase 5の入口）: 誰がどのシステムに何の権限でアクセスできるかを一覧化し、退職者のアカウント残存を確認する
3. 経営会議にIT報告アジェンダを追加する（Phase 3の第一歩）: 月1回10分の報告枠を確保するだけで、経営層のIT関与が生まれる

ITガバナンスは、技術環境・法制度・組織変化に合わせて継続的にアップデートするものです。まず今日できることから動き始めることが、次の監査サイクルに間に合う唯一の道です。

参考資料

• KPMGジャパン「DX時代のITガバナンス〜ITとDX、両戦略の整合性がカギ」

‍