「自社でどんなソフトウェアを何本使っているか、正確に把握できていますか？」

従業員500名規模の中堅企業でも、管理すべきソフトウェアライセンスは数十〜数百種類に上ります。オンプレのOfficeやAdobeに加え、クラウドSaaSの普及でアカウントは爆発的に増加しています。にもかかわらず、担当者1〜3名体制の情シスが全体を把握しきれていないケースは珍しくありません。

BSA（ビジネスソフトウェアアライアンス）の調査によると、日本企業におけるソフトウェアの不正コピー率は依然として高く、ライセンス過不足による無駄コストや法的リスクは見過ごせない状況です。また、J-SOX対応やセキュリティ監査の観点からも、ソフトウェア資産の適切な管理は経営課題として認識されるようになっています。

この記事では、ソフトウェア資産管理（SAM）の基本概念から対象範囲・リスク・SaaSとの違い、および実務での効率化方法まで、情シス担当者が押さえるべきポイントをわかりやすく解説します。

ソフトウェア資産管理（SAM）とは何か

ソフトウェア資産管理（SAM：Software Asset Management）とは、組織が保有・利用するすべてのソフトウェアライセンスを体系的に管理するプロセスです。具体的には、以下を一元的に把握・統制します。

• 導入済みソフトウェアの棚卸し（インストール数・利用状況）
• 保有ライセンス数・契約条件の管理
• ライセンス使用状況の継続的モニタリング
• ライセンス更新・調達の最適化

単なる「台帳管理」に留まらず、調達→展開→利用→更新→廃棄というライセンスのライフサイクル全体を管理する点が特徴です。

ISO/IEC 19770：SAMの国際標準

SAMには国際標準として ISO/IEC 19770 が存在します。ISO/IEC 19770-1はSAMプロセスの要求事項を定め、ISO/IEC 19770-2はソフトウェア識別タグ（SWID）の仕様を規定しています。

大企業や外資系企業ではこの標準に準拠したSAM体制を整備しているケースが多く、中堅企業でも取引先や監査要件を踏まえて意識しておく価値があります。

ITAMとの違い

SAMは ITAM（IT Asset Management：IT資産管理） の一部です。ITAMはハードウェア（PC・サーバー等）とソフトウェアの両方を管理対象とし、SAMはその中のソフトウェア領域に特化しています。

参考: BSA グローバルソフトウェア調査

参考: ISO/IEC 19770 概要（ISO公式）

参考: ITAM Forum – SAM Best Practice

なぜ今ソフトウェア資産管理が重要なのか

コスト最適化の観点

ライセンスは「購入したきり放置」になりがちです。使われていないライセンスに毎年費用を払い続けるのは、中堅企業にとって看過できない無駄です。

典型的な無駄の例：

コンプライアンスとライセンス監査（BSA監査）

BSA（ビジネスソフトウェアアライアンス）は、Microsoft・Adobe・Autodesk等の主要ソフトウェアベンダーの利権団体であり、企業のライセンス遵守状況を監査します。BSA監査の対象になると、不正利用が発覚した場合に多額の罰金や訴訟リスクが生じます。

「知らなかった」は通じません。適切なSAMを実施していることが、ライセンスコンプライアンスの証明になります。

J-SOX対応（内部統制）

上場企業またはその連結子会社では、J-SOX（金融商品取引法に基づく内部統制報告制度）への対応が求められます。IT全般統制の観点から、「誰がどのソフトウェアにアクセスできるか」「ライセンス管理プロセスが整備されているか」が監査対象になります。

情シスとしては、SAMのプロセスと記録を監査に耐えられる状態で整備することが必要です。

セキュリティリスクの低減

管理されていないソフトウェアは、脆弱性対応（パッチ適用）が漏れるリスクがあります。シャドーITとして導入されたソフトウェアがサイバー攻撃の侵入口になるケースも増えています。

参考: BSA日本法人（ BSA The Software Alliance 日本）

参考: 金融庁 財務報告に係る内部統制の評価及び監査の基準

参考: IPA「情報セキュリティ白書2025」

ソフトウェア資産管理の対象範囲と主な管理項目

オンプレミス型ソフトウェアの管理

PCやサーバーにインストールするタイプのソフトウェアです。代表的なものには以下があります。

• Microsoft 365 / Office（永続ライセンス or サブスクリプション）
• Adobe Creative Cloud（個人・チームプラン）
• AutoCAD、ARES Commander 等のCADソフト
• セキュリティソフト（EDR、アンチウイルス）
• 業務系ソフトウェア（会計ソフト、ERPクライアント等）

管理ポイント：

SaaS（クラウド型）の管理

近年急増しているのがSaaSの管理です。Slack、Zoom、Salesforce、HubSpot、Notion など、部署ごとに個別導入されるSaaSは把握が困難になりがちです。

SaaSの管理では特に以下が重要です：

• 契約中のSaaSの棚卸し（種類・契約者・月額費用）
• アカウント数の管理（利用ユーザー・未使用アカウント）
• 入退社時のアカウント棚卸し・削除
• シャドーIT（未申請のSaaS導入）の検知
• 利用状況に基づくプラン最適化

ライセンス台帳の主な管理項目

どのような形式であれ、最低限以下を台帳で管理することが求められます。

参考: Microsoft ボリュームライセンス概要

参考: Adobe エンタープライズライセンス

参考: Gartner「Managing SaaS Spend」レポート（英語）

ソフトウェア資産管理を怠った場合のリスク

リスク1：ライセンス過剰使用による法的・財務リスク

ライセンス数を超えてインストール・利用した場合、契約違反となります。BSA監査を受けた場合、過去の使用実態に遡って調査され、バックペイメント（追徴金）＋ペナルティが科されるケースがあります。

国内企業でも年間数百万〜数千万円規模の和解金が発生した事例が報告されています。中堅企業であっても例外ではありません。

リスク2：過剰調達による予算の無駄

逆に、実際の利用数より多くのライセンスを購入し続けるケースも多く見られます。特に、退職者のアカウントが削除されないまま継続課金されているSaaSは、中堅企業でも年間数百万円規模の無駄になり得ます。

典型的な「過剰調達」の発生シーン：

• 部署異動後も元部署のライセンスが残存
• 入退社手続きと連携せずアカウントが放置
• 利用実態を確認せず自動更新のまま継続

リスク3：セキュリティインシデントのリスク増大

管理外ソフトウェア（シャドーIT）は、脆弱性パッチが適用されないリスクがあります。また、退職者アカウントが有効なまま残存すると、内部不正・情報洩の温床になります。

リスク4：J-SOX監査での指摘

IT全般統制の評価において、ソフトウェア管理プロセスの不備は「重要な欠陥」として指摘される可能性があります。特に、アクセス管理（誰がどのソフトウェアを利用できるか）とその記録が整備されていない場合、監査法人から改善勧告を受けるリスクがあります。

参考: BSA ライセンス不正使用のリスクと監査対応

参考: IPA「不正競争防止法の概要と知的財産管理」

ソフトウェア資産管理とSaaS管理の違い・関係

SAMとSaaS管理は何が違うのか

従来のSAM（ソフトウェア資産管理）は、主にオンプレミスソフトウェアのインストール管理・ライセンス台帳管理を中心に発展してきました。

一方、SaaS管理（SaaS Management Platform）は、クラウドサービスのアカウント・利用状況・コスト・セキュリティリスクを一元管理することに特化しています。

なぜ両方の管理が必要か

現代の中堅企業では、オンプレとSaaSが混在しています。どちらか一方だけを管理しても、全体像は把握できません。

• Microsoft 365（SaaS）＋Adobe（サブスク）＋Zoom（SaaS）＋AutoCAD（オンプレ）...

このような環境では、SAMとSaaS管理を統合したアプローチが現実解になります。

SaaSが増えると何が起きるか

SaaSの種類が増えるほど、次の問題が顕在化します：

1. 全体の契約コストが見えにくくなる（ SaaS Sprawl）
2. 入退社時のアカウント削除漏れが増える
3. 部署ごとに類似SaaSを二重契約する
4. セキュリティ審査を経ずに導入される（シャドーIT）

中堅企業の情シスが少人数体制でこれらを手動管理するのには限界があります。

参考: Gartner「SaaS Management Platforms」マーケットガイド（英語）

‍参考: IT Leaders「SaaS管理プラットフォームの選び方」

参考: Josys「SaaS管理とは」解説記事:

ジョーシスでソフトウェア資産管理を効率化する方法

Josysとは

Josys（ジョーシス） は、SaaS管理・デバイス管理・アカウント管理を一元化するSaaSプラットフォームです。少人数の情シス体制でも、ソフトウェア資産の把握と管理業務の自動化を実現します。

Josysで解決できる課題

1. SaaSの棚卸しと可視化

Josysに接続するだけで、社内で利用中のSaaSの種類・アカウント数・コスト・利用状況を自動で可視化します。「何を使っているかわからない」状態から脱却できます。

• 契約中SaaSの一覧化（種類・月額・ライセンス数）
• 利用率の低いSaaSの検知（コスト最適化）
• シャドーIT（未申請SaaS）の検知

2. 入退社時のアカウント自動化

入退社・異動時のSaaSアカウントの発行・削除・変更を自動化します。これにより、退職者のアカウント放置リスクを大幅に低減できます。

従来の課題Josysでの解決退職時のSaaS削除漏れ退社申請と連動して自動削除入社時のアカウント発行に時間がかかるテンプレートで一括発行部署異動時の権限変更が手動ロール変更を自動適用

3. アカウント管理の一元化

複数のSaaSにまたがるアカウント管理を一画面で実施できます。誰がどのSaaSに何種類のアカウントを持っているかを把握することで、過剰権限やゴーストアカウントの削除が効率化されます。

4. J-SOX・セキュリティ監査への対応支援

Josysは、いつ・誰が・どのSaaSにアクセスできたかの履歴を記録します。これにより、IT全般統制の監査証跡として活用でき、J-SOX対応や内部監査の工数削減に貢献します。

Josysが向いている企業

• 従業員300〜2,000名規模の中堅企業
• 情シス体制が1〜5名で、管理工数を削減したい
• SaaSの種類が10種類以上あり全体像が把握しきれていない
• 入退社のたびにアカウント作業が発生している
• コンプライアンス・セキュリティ体制を強化したい

参考: Josys 公式サイト

参考: Josys「SaaS管理ツールの選び方」

参考: Josys「入退社アカウント自動化」

まとめ

この記事では、ソフトウェア資産管理（SAM）の基礎から実務での活用方法まで解説しました。要点を整理します。

• SAMとは、組織が保有するソフトウェアライセンスをライフサイクル全体で管理するプロセスであり、ISO/IEC 19770が国際標準として定められている
• 重要性が高まっている背景として、SaaSの急増によるコスト肥大化・BSA監査リスク・J-SOX対応の必要性・セキュリティリスクの増大がある
• SAMの対象範囲は、Office・Adobe等のオンプレソフトウェアから、Slack・Zoom等のSaaSまで広く、アカウント数・コスト・利用状況・契約期限の管理が求められる
• SAMを怠った場合のリスクは、ライセンス違反による制裁・過剰調達による無駄コスト・セキュリティインシデント・J-SOX監査での指摘と多岐にわたる
• 少人数の情シス体制でソフトウェア資産管理を効率化するには、Josysのようなプラットフォームを活用して棚卸しの自動化・入退社フローとの連携・監査証跡の記録を実現することが有効