PC、サーバー、スマートフォン、ネットワーク機器、周辺機器、SaaSライセンスまで、企業が抱えるIT資産は年々増加しています。情シス部門は年に1〜2回、これらを正確に把握する棚卸しを実施しますが、「現物が見つからない」「台帳と一致しない」「在宅勤務者の機器をどう確認するか」といった問題に直面し、多くの工数を要するケースがある、というのが少なくない現状です。

しかし、棚卸しは単なる作業ではなく、ISO27001、Pマーク、SOC2、J-SOXといった監査要件を満たし、内部統制を支える基盤業務です。手順が標準化されておらず、属人化したまま放置すると、毎回の棚卸しが負担となり、本来注力すべきSaaSガバナンスやセキュリティ運用の時間を奪われます。

IT機器棚卸しの目的、5ステップの実施フロー、現物確認の効率化、SaaSライセンスを含む新しい棚卸し手法、自動化ツールの活用ポイントを解説します。情シス部門で棚卸しを担当する現場担当者、IT統制責任者、情報セキュリティ管理者を主な対象とした内容です。

IT機器棚卸しの目的と頻度

IT機器棚卸しは、組織が保有・利用するIT資産の現状を定期的に確認し、管理台帳と現物の整合性を保つ業務です。単なる確認作業ではなく、財務会計、セキュリティ統制、ライセンスコンプライアンス、内部監査の根拠となる基盤業務として位置付けられます。

棚卸しの主な目的は次のとおりです。

• 資産台帳の正確性確保：管理台帳と現物の差異を是正する
• セキュリティリスクの低減：紛失・盗難・廃棄漏れの早期発見
• ライセンスコンプライアンス維持：ソフトウェアの過剰・違反利用を防止
• 内部統制対応：J-SOX、ISO27001、Pマーク、SOC2の証跡確保
• 投資判断の精度向上：保有資産の活用状況に基づく投資計画

実施頻度は組織規模と業界規制で変わります。一般的には年1〜2回が標準で、上場企業では決算期に合わせた年1回の正式棚卸しに加え、比較的高頻度の棚卸しを実施するケースがあります。金融・医療業界では半期ごとの実施が求められることもあります。

棚卸しの対象範囲は、ハードウェア（PC、サーバー、ネットワーク機器、モバイル端末、周辺機器）、ソフトウェア（インストールアプリ、ライセンス）、SaaSサービス（クラウドアカウント、ライセンス）の3分類です。近年は、SaaS利用の拡大により、SaaSアカウントとライセンスの棚卸しが重要性を増しています。

参考：J-SOX対応の情報資産棚卸し｜JIPDEC

参考：内部統制ガイドライン｜金融庁

IT機器棚卸しの5ステップ

棚卸し業務を効率的に進めるためには、計画から完了までの工程を5ステップで整理することが効果的です。各ステップで明確な担当者と期限を設定することで、属人化を防ぎながら品質を担保できます。

ステップ1：計画策定と対象範囲の定義

棚卸しの目的、対象範囲、実施期間、担当者、報告先を計画書に明記します。対象範囲は、PC・サーバー・モバイル端末・周辺機器・ソフトウェア・SaaSライセンスといった分類ごとに設定し、リース機器、廃棄予定機器、休眠機器の扱いも明確化します。経営層・経理部門・情シス部門の3者で計画を承認することが、後の混乱を防ぎます。

ステップ2：管理台帳の事前整備

棚卸し開始前に、管理台帳の最新化を実施します。直近の購入履歴、配置変更、利用者変更、廃棄記録を反映させ、現状把握のベースラインを確定します。Excel台帳の場合、複数バージョンの混在を整理し、唯一の正本（シングルソース）を確立することが重要です。

ステップ3：現物確認の実施

実際の機器とSaaSアカウントを確認し、台帳と照合します。物理機器は、シリアル番号、配置場所、利用者、状態（稼働中・休眠・故障）をチェックし、SaaSは利用者一覧、最終ログイン日、ライセンス使用状況を確認します。在宅勤務者の機器は、Web会議や写真提出による確認、もしくはMDMの自動収集データによる確認を行います。

ステップ4：差異分析と是正措置

台帳と現物の差異を一覧化し、原因別に分類します。配置変更の記録漏れ、廃棄手続きの不備、紛失・盗難、新規購入の登録漏れなど、原因によって対応が異なります。重大な差異（紛失、盗難、ライセンス違反）は即座に経営層と情報セキュリティ部門に報告し、再発防止策を検討します。

ステップ5：報告と次回計画への反映

棚卸し結果を経営層、経理部門、内部監査部門に報告し、次回計画への改善ポイントを反映します。差異が多発した領域、運用上のボトルネック、自動化が必要な箇所を特定し、ツール導入や運用フロー改善に繋げます。

参考：ITサービスマネジメントの実装ガイド｜itSMF Japan

現物確認を効率化する手法

現物確認は棚卸しで最も負荷が大きい工程ですが、複数の手法を組み合わせることで効率化できます。組織の規模と機器配置に応じて、最適な方法を選んでください。

バーコード・QRコードラベルの活用

機器に貼付したバーコードやQRコードをスマートフォンで読み取り、台帳と照合する方法です。読み取り専用アプリを情シス担当者と現場確認者で共有することで、確認作業のスピードと正確性が大幅に向上します。資産タグの貼付ルールを統一することが前提条件です。

RFIDタグによる自動検出

RFIDタグを機器に貼付し、リーダーで一括読み取りする手法です。数十〜数百台規模の倉庫やオフィスフロアで効果を発揮し、RFIDを活用すると棚卸し効率を大幅に改善できます。導入コストは中規模以上の組織に適しています。

MDM/UEMによる自動収集

PCやスマートフォンをMDM（Microsoft Intune、Jamf Pro、Omnissa Workspace ONEなど）で管理している場合、デバイス情報、最終接続日時、利用者、インストールアプリを自動収集できます。ネットワークに接続中のデバイスは、現物確認をスキップしてMDMデータで代替する運用が一般的です。

Web会議・写真提出による在宅勤務者確認

在宅勤務者には、Web会議で現物を提示してもらう、もしくは機器の写真と資産タグの画像を提出してもらう方法があります。年1回の正式棚卸しでは併用が現実的な選択肢で、運用フローを事前に明示することが重要です。

ネットワーク検出ツールの活用

Lansweeper、Nmap、IT資産管理ツールなどでネットワーク内のデバイスを自動スキャンし、未登録機器を検出します。シャドーITやBYOD混入の発見にも有効で、ネットワークセキュリティと組み合わせた運用が一般的です。

参考：資産管理のRFID導入事例｜JEITA

SaaSライセンスを含む棚卸しの新しい考え方

SaaS利用が拡大する現代では、ハードウェアの棚卸しだけでなく、SaaSアカウントとライセンスの棚卸しが必須です。従来の棚卸しの枠組みだけでは、見落としやすい領域です。

SaaS棚卸しが必要な理由

SaaSは契約も解約も簡単に行えるため、現場部門が情シスに通さずに導入するシャドーITが頻発します。また、退職者のアカウントが残ったまま、ライセンス料が課金され続けるケース、複数のSaaSで重複機能を契約しているケースが日常化しています。SaaS棚卸しを定期的に実施しないと、相当な無駄コストが発生している可能性があります。セキュリティリスクも蓄積します。

SaaS棚卸しの主要項目

SaaS棚卸しでは、次の項目を確認します。

• 契約しているSaaSサービス名と提供ベンダー
• 契約数（ライセンス数）と実利用者数の差
• 最終ログイン日に基づく非アクティブユーザーの特定
• 退職者・異動者のアカウント残存有無
• 機能重複しているSaaSの存在
• セキュリティ要件（SAML対応、多要素認証、ログ取得）の充足度

これらを四半期〜半期ごとに確認することで、コスト最適化とセキュリティ統制が両立します。

SaaS棚卸しの自動化

SaaSアカウントを手作業で棚卸しするのは現実的ではありません。Josysのようなプラットフォームでは、350以上のSaaSアプリとAPI連携し、利用者一覧、ライセンス消費、退職者残存アカウントを自動で可視化します。Excel管理から脱却することで、棚卸し工数を大幅に削減できた事例も報告されています。（効果は個社の状況により異なります）

参考：SaaSセキュリティガイドライン｜JNSA

棚卸し業務の自動化と運用標準化

棚卸し業務を完全に手作業で行う組織は、台数が増えると負荷に耐えられなくなります。自動化ツールの導入と運用フローの標準化により、棚卸しを「常時運用」に近い形に進化させることが可能です。

常時棚卸しという考え方

年1〜2回の集中棚卸しではなく、ツールにより日常的に台帳と現物の整合性を保つ「常時棚卸し」が新しい標準となりつつあります。MDM、SaaS管理プラットフォーム、IT資産管理ツールを連携させることで、変化があれば即座に台帳に反映され、年次の棚卸し負荷が大幅に減少します。

自動化ツールの選定ポイント

棚卸し自動化のツール選定では、対応デバイス種別、SaaS連携数、自動収集精度、現物確認との組み合わせやすさ、レポート出力機能を確認します。価格モデル（ユーザー単価、デバイス単価）も組織規模との適合性を見ます。

運用フローの標準化

棚卸しを年次イベントから日常業務に変えるため、運用フローの標準化が必要です。新規購入時の台帳登録、配置変更時の即時更新、退職時のデバイス回収とアカウント削除、廃棄時の証憑取得を、定常業務として組み込みます。情シス部門が単独で担うのではなく、人事、経理、現場部門との分業体制を構築することが定着の鍵です。

KPIによる継続改善

棚卸し業務を継続的に改善するKPIとしては、棚卸し所要時間、差異件数、再発防止率、ツール自動化率、SaaSコスト最適化金額などが用いられます。データに基づいた振り返りで、運用フローやツール設定を継続的に進化させます。

参考：ITサービスマネジメントの実装ガイド｜itSMF Japan

IT機器棚卸し関連の用語集

棚卸し業務と社内コミュニケーションで頻出する用語を整理しておきます。

• 棚卸し：資産の現状を確認し、台帳との整合性を保つ業務
• 資産台帳：保有・利用する資産の情報を一元管理する帳簿
• シングルソース：唯一の正本となるデータ
• バーコード：機器を識別するための一次元コード
• QRコード：機器を識別する二次元コード
• RFID（Radio Frequency Identification）：無線で識別情報を読み取る技術
• MDM（Mobile Device Management）：モバイル端末を中心とした統合管理ツール
• UEM（Unified Endpoint Management）：PC・モバイル・IoTを統合管理する基盤
• SaaS管理プラットフォーム（SMP）：SaaSアカウントとライセンスの管理に特化した基盤
• シャドーIT：情シス部門の関与なく現場が導入したIT
• J-SOX：金融商品取引法に基づく財務報告に係る内部統制報告制度
• ISO27001：情報セキュリティマネジメントの国際規格
• ライセンス監査：ソフトウェアベンダーによる利用状況の確認
• 棚卸し差異：台帳と現物の不整合
• 廃棄証明書：廃棄処理の完了を証明する書類

参考：IT用語辞典 e-Words

JosysでIT機器棚卸しを自動化する

IT機器棚卸しを自動化したい情シス部門には、Josysが現実的な選択肢になります。Josysは、SaaS、デバイス、アカウントを統合管理するAI駆動型アイデンティティガバナンスプラットフォームで、デバイス情報、SaaSアカウント、ライセンス利用状況を一元的に可視化します。

国内外700社以上の導入実績があり、事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります。（効果は個社の状況により異なります）350以上のSaaSアプリとAPI連携し、人事システム、IDaaS、MDMとの連動運用で、棚卸し業務を年次イベントから常時運用に変えられます。シャドーIT検知、退職者アカウント自動検出、ライセンス未使用検出など、棚卸しの主要項目を自動でカバーします。

資料ダウンロード（無料）

無料デモを申し込む

よくある質問

IT機器棚卸しの実務でよく寄せられる質問にお答えします。

Q1：棚卸しはどれくらいの頻度で実施すべきですか

一般的な企業では年1〜2回が標準で、上場企業では決算期に合わせた年1回の正式棚卸しに加え、比較的高頻度の棚卸しを実施するケースがあります。SaaSは月次〜四半期ごとの確認が推奨され、アカウントの動きに合わせた高頻度の確認が望ましいです。

Q2：在宅勤務者のIT機器をどう確認すればいいですか

MDMで自動収集できるデバイスは、ネットワーク接続状況とインストールアプリで現物確認を代替できます。MDM未管理の機器や周辺機器は、Web会議での提示、または写真提出による確認が現実的です。事前にルールを明示し、年1回の正式棚卸しに組み込みます。

Q3：棚卸し差異の許容範囲はどう決めるべきですか

業界規制と組織のリスク許容度によりますが、原則として差異ゼロを目標にすることが基本です。差異が発生した場合、原因別に重大度を分類し、紛失・盗難・ライセンス違反は即時報告、配置変更や記録漏れは是正措置で対応します。許容範囲ではなく、原因分析と是正措置の徹底が重要です。

Q4：SaaS棚卸しはどう始めればいいですか

最初は契約しているSaaSの一覧化から始めます。経理部門の請求書、カード明細、各部門へのヒアリングで主要SaaSを特定し、利用者数とライセンス数を確認します。本格的な運用にはSaaS管理プラットフォームの導入が必要で、Josysなどのツールで自動化を進めることが効率的です。

Q5：棚卸し業務を効率化するために最初に何を変えるべきですか

管理台帳の正本を1つに統合し、シングルソース化することが最初のステップです。次に、新規購入・配置変更・廃棄・退職時の更新ルールを標準化します。これらが整ってから、MDMやSaaS管理プラットフォームの自動化機能を導入することで、ツール価値を最大化できます。

まとめ

IT機器棚卸しは、年次イベントから常時運用へと進化しています。ここまで紹介した5ステップ、現物確認の効率化手法、SaaS棚卸しの新しい考え方、自動化ツールの活用ポイントを起点に、自社の運用フローを見直してください。SaaSとデバイス、アカウントを横断管理したい中堅・準大企業の情シス部門には、Josysが現実的な選択肢となります。

関連記事：IT資産台帳の作り方｜実務で使える項目設計と運用ルール

関連記事：IT資産管理の方法｜SaaS時代の標準化と自動化のポイント

関連記事：IT資産管理ツールの選び方｜情シス担当者が押さえるべき7つの評価軸と導入ステップ