【IT経営コラム】IT資産棚卸(ITデューデリジェンス)の進め方と資産価値の算出方法
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
「自社にどんなIT機器があり、どんなソフトウェアを使っていて、どこにどんなデータが保管されているか。正確に答えられますか?」
この質問に自信を持って「はい」と答えられる中小企業の経営者は、残念ながらごく少数です。アクセルパートナーズが中小企業の経営者やIT担当者とお話しする中でも、「パソコンの台数は把握しているが、入っているソフトは正確にはわからない」「誰がどのSaaSを使っているか管理できていない」「退職した社員のアカウントが残っている気がする」――こうした声を頻繁にいただきます。
IT環境が見えていない状態は、鍵のかかっていないドアの数すら把握できていない家に住んでいるようなものです。サイバー攻撃者にとっては、まさに格好の標的になります。
しかし、IT資産の棚卸は「セキュリティ対策」としてだけでなく、コスト削減や経営判断の精度向上にも直結する「攻めの経営施策」でもあります。
本記事では、IT資産棚卸(ITデューデリジェンス)の具体的な進め方と、IT資産の価値をどう算出するかを、中小企業の実務に即した形で解説します。
この記事でわかること
- IT資産棚卸とは何か、なぜ今すぐ必要なのか
- 棚卸を進める具体的な3ステップ
- IT資産の「価値」を金額で算出する方法
- 完璧を目指さず、明日から始められる実務のポイント
1. なぜ今、中小企業に「IT資産棚卸」が必要なのか?
見えていないものは、守れない
サイバーセキュリティ対策の国際標準であるNISTサイバーセキュリティフレームワーク(CSF)では、対策の第1段階を「特定(Identify)」と定めています。つまり、「守るべきものを把握すること」が、すべての対策の出発点です。
しかし現実には、多くの中小企業でIT資産の全体像が見えていません。
- サポートが終了したOS(Windows 10は2025年10月にサポート終了)がまだ業務で使われている
- 退職者のアカウントがSaaSやクラウドサービスに残ったまま放置されている
- 部門が独自に導入したSaaS(いわゆるシャドーIT)が管理外で使われている
- 私物のスマートフォンやUSBメモリが業務データにアクセスしている
これらは「見えていないIT資産」であり、攻撃者にとっては侵入経路(攻撃対象面=アタックサーフェス)そのものです。警察庁の報告(令和6年)によると、ランサムウェア被害の約7割が中小企業で発生しており、その多くは「管理されていないIT資産」が侵入口となっています。
セキュリティだけじゃない ― 経営判断にも直結する
IT資産棚卸の効果は、セキュリティリスクの低減だけにとどまりません。
コスト最適化
- 使っていないSaaSライセンスの解約 → 年間数十万円~数百万円の削減効果
- 機能が重複するツールの統合 → 管理工数と費用の圧縮
- サポート切れ機器の計画的な更新 → 突発的な故障対応コストの回避
M&A・事業承継への備え
- 買い手企業がITデューデリジェンス(IT精密調査)を求めるケースが増加
- IT資産が整理されていないと、企業価値の評価が下がる要因になる
補助金・助成金の申請
- 東京都サイバーセキュリティ対策促進助成金など、申請時に「IT資産一覧」や「現状のセキュリティ対策状況」の記載が求められるケースが増えている
IT資産棚卸は「守りのセキュリティ対策」であると同時に、経営の意思決定を支える土台でもあるのです。
2. IT資産棚卸とITデューデリジェンス ― 何が違う?
IT資産棚卸とITデューデリジェンスは、しばしば混同されますが、目的と深さが異なります。
IT資産棚卸=「現状の可視化」
IT資産棚卸とは、社内に存在するすべてのIT資産(ハードウェア・ソフトウェア・データ)を一覧化し、「今、何がどこにあるか」を把握する作業です。いわば「健康診断」のようなもの。定期的に行うことで、異常の早期発見や予防につなげます。
ITデューデリジェンス=「評価・分析」まで踏み込む
ITデューデリジェンスは、棚卸で可視化した情報をもとに、リスク・コスト・ビジネス整合性を多角的に評価・分析する作業です。いわば「精密検査+治療方針の策定」。M&Aや事業承継、大規模なIT投資の意思決定時に行われます。
| 項目 | IT資産棚卸 | ITデューデリジェンス |
|---|---|---|
| 目的 | 現状把握(As-Is) | 評価・分析+将来設計(To-Be) |
| 対象 | モノ・サービスの一覧化 | リスク・コスト・整合性の評価 |
| 成果物 | 資産台帳 | 評価レポート+改善計画 |
| 実施タイミング | 定期(年1回等) | M&A・事業承継・大規模投資時 |
| たとえるなら | 健康診断 | 精密検査+治療方針の策定 |
本記事では、まずIT資産棚卸(現状の可視化)を中心に解説し、その延長線上にあるITデューデリジェンス(評価・分析)の進め方も紹介します。
3.【ステップ1】目的とスコープの明確化 ― まず「地図」を描く
IT資産棚卸を「やるぞ」と決めたら、最初に行うべきは目的とスコープ(対象範囲)の明確化です。「全部やろう」と欲張ると、途中で挫折します。まずはゴールを絞りましょう。
何のためにやるのか?ゴールを決める
棚卸の目的は企業ごとに異なります。自社の状況に合った優先順位をつけることが重要です。
| 目的 | 具体例 | 優先度の目安 |
|---|---|---|
| セキュリティリスクの洗い出し | サポート切れOS、未管理アカウントの特定 | すべての企業で最優先 |
| コスト削減 | 使っていないライセンス、重複SaaSの解約 | IT費用を見直したい企業 |
| M&A・事業承継対応 | 買い手・後継者への引き継ぎ資料の整備 | M&Aや事業承継を検討中の企業 |
| 補助金申請の準備 | IT資産一覧、セキュリティ対策状況の整理 | 助成金の申請を予定している企業 |
対象範囲を3つのカテゴリで整理する
棚卸の対象となるIT資産は、大きく3つのカテゴリに分類できます。
| カテゴリ | 具体例 |
|---|---|
| ハードウェア | PC、サーバー、ネットワーク機器(ルーター、スイッチ、UTM)、複合機、モバイル端末、IoT機器 |
| ソフトウェア・サービス | OS、業務アプリケーション、SaaS(Microsoft 365、Google Workspace、会計ソフト等)、クラウドサービス(AWS、Azure等) |
| データ | 顧客情報、契約書、設計図・仕様書、マニュアル類、財務データ |
初回の棚卸では、すべてを完璧に網羅する必要はありません。まずはハードウェアとSaaS・クラウドサービスから始めるのが現実的です。
体制づくり ― 各部門のキーマンを巻き込む
IT資産棚卸は、情シス部門(IT担当者)だけで完結できる作業ではありません。「誰が何を使っているか」は、現場の各部門しか知らないからです。
- 営業部門:顧客管理のSaaS、名刺管理ツール、営業用タブレット
- 経理部門:会計ソフト、電子請求書サービス、ネットバンキング
- 総務部門:勤怠管理システム、複合機、セキュリティカメラ
各部門から1名ずつ「棚卸担当」を選出し、ヒアリングと情報提供に協力してもらう体制を作ることが成功の鍵です。
4.【ステップ2】情報収集と可視化 ― 棚卸しを実行する
スコープが決まったら、いよいよ実際の棚卸作業に入ります。ポイントは、複数の情報源を突き合わせることです。1つの情報源だけでは必ず漏れが出ます。
台帳の作成・突合 ― 4つの情報源を突き合わせる
| 情報源 | 把握できること | 注意点 |
|---|---|---|
| 既存の資産管理台帳(あれば) | 過去に登録されたIT資産 | 更新されていない可能性が高い |
| Active Directory / Microsoft Entra ID | ドメイン参加しているPC・ユーザーアカウント | 管理外の端末は見えない |
| MDM(モバイルデバイス管理) | 管理対象のモバイル端末 | BYODは対象外の場合が多い |
| 請求書・契約書 | SaaS・クラウドサービスの契約状況 | 個人のクレジットカード決済は把握しにくい |
これら4つの情報源に加え、各部門へのヒアリングを行うことで、台帳に載っていない「隠れたIT資産」をあぶり出します。
シャドーITを見逃さない
棚卸の中で最も重要かつ見落としやすいのが、シャドーIT(管理外のIT利用)です。
- 営業担当が個人のDropboxで顧客資料を共有している
- チーム内で無料のチャットツール(個人アカウント)を業務連絡に使っている
- 個人のスマートフォンから会社のメールやクラウドストレージにアクセスしている
シャドーITは「便利だから」という善意の行動から生まれますが、情報漏えいの最大のリスク源になります。棚卸の際には「正式に許可されていないツールを使っていませんか?」と、罰則ではなく改善の姿勢で各部門にヒアリングすることが大切です。
ネットワーク構成とデータフローを図にする
IT資産の一覧表ができたら、次は「どこに何があり、どうつながっているか」を可視化します。
- システム構成図:社内ネットワークの全体像(インターネット接続、VPN、クラウド接続等)
- データフロー図:重要なデータ(顧客情報、財務データ等)がどのシステムを経由して、どこに保存されているか
大規模なものである必要はありません。PowerPointやExcelで描いた簡易な図でも、「全体像を1枚で見渡せる」だけで大きな価値があります。
5.【ステップ3】分析と評価 ― リスク・コスト・整合性の3軸で見る
棚卸で可視化した情報をもとに、3つの軸で分析・評価を行います。ここからがITデューデリジェンスの領域です。
セキュリティ・リスク評価
| チェック項目 | 確認内容 | リスクの例 |
|---|---|---|
| EOS/EOL | サポートが終了した(または終了予定の)OS・ソフトウェアがないか | Windows 10(2025年10月終了)、Office 2016など |
| アクセス権限 | 退職者のアカウントが残っていないか、過剰な権限付与がないか | 退職者が社外からクラウドにアクセスできる状態 |
| 脆弱性管理 | OSやソフトウェアのセキュリティパッチが適用されているか | 既知の脆弱性が放置され、攻撃に悪用される |
| 暗号化 | ノートPCやUSBメモリのデータが暗号化されているか | 紛失・盗難時に情報が丸見えになる |
コスト・冗長性の評価
- 休眠アカウント:過去3か月以上ログインしていないSaaSアカウントは解約候補
- 重複SaaS:同じ機能を持つツールが複数導入されていないか(例:ZoomとTeamsの両方に有料契約)
- オーバースペック:社員30名の会社にエンタープライズプランは必要か
ある製造業の中小企業(従業員50名)では、棚卸の結果、年間約120万円分の未使用ライセンスが見つかり、契約の見直しだけでコスト削減に成功したケースがあります。
ビジネス整合性の評価
- 事業規模に対して、ITインフラがオーバースペック(過剰投資)またはアンダースペック(投資不足)になっていないか
- 現在の業務プロセスとITツールが適切に連携しているか
- 今後の事業戦略(拠点展開、リモートワーク推進、新規事業等)に対応できるIT基盤になっているか
この評価を行うことで、IT資産棚卸が単なる「一覧表づくり」ではなく、経営戦略を支えるIT戦略の策定にまでつながります。
6. IT資産の「価値」をどう算出するか?
IT資産棚卸の結果をもとに、資産の「価値」を金額で把握しておくことは、経営判断やリスクマネジメントにおいて非常に有用です。
ハードウェアの価値 ― 3つの視点
ハードウェア(PC、サーバー、ネットワーク機器等)の価値は、目的に応じて3つの視点で算出します。
| 評価視点 | 算出方法 | 用途 | 算出例(サーバー) |
|---|---|---|---|
| 帳簿価額 | 取得価額 − 減価償却累計額 | 会計報告・税務申告 | 取得200万円、5年経過 → 帳簿価額0円(償却済) |
| 再調達原価(時価) | 同等スペック機器の現在市場価格 | システム刷新・M&A時の参考 | 同等スペックの中古市場価格 → 約30万円 |
| 利用価値・リスク価値 | 業務停止時の1日あたり損害額 × 復旧日数 | BCP計画・リスクマネジメント | 売上停止1日50万円 × 復旧5日 → リスク価値250万円 |
帳簿上は「0円」でも、業務にとって不可欠なサーバーが故障すれば数百万円の損害が発生する――このギャップを認識するために、利用価値・リスク価値の視点が重要です。
ドキュメント・データの価値 ― 3つのアプローチ
ソフトウェアやデータといった「形のない資産」の価値は、以下の3つのアプローチで算出できます。
| アプローチ | 考え方 | 算出例 |
|---|---|---|
| コスト・アプローチ | その情報を再作成するのにいくらかかるか(再作成コスト) | 設計書100ページ × 再作成4時間/ページ × 時給5,000円 = 200万円 |
| リスク・アプローチ | その情報が消失・漏えいした場合の想定損害額 | 個人情報10,000件 × 1件あたり賠償額5,000円 = 5,000万円 |
| インカム・アプローチ | その情報が将来生み出すキャッシュフロー | 顧客データベースが年間売上3,000万円に貢献 → 3年分で 9,000万円 |
特にリスク・アプローチは、経営層に対して「なぜセキュリティ投資が必要か」を説明する際に、説得力のある根拠となります。
7. 実務で使える運用のポイント
全部を金額換算しなくてよい ― メリハリの効かせ方
IT資産の価値算出は重要ですが、すべてを厳密に金額換算する必要はありません。実務では以下のステップで「メリハリ」をつけるのが効果的です。
- まず重要度を「高・中・低」でラベリングする
- 高:業務停止や情報漏えいに直結する資産(基幹システム、顧客データ等)
- 中:業務効率に影響はあるが、代替手段がある資産
- 低:なくても当面の業務に支障がない資産
- 「高」に分類された資産だけ、金額を算出する
- すべてを計算しようとすると、棚卸自体が止まってしまう
- 重要な資産に集中することで、費用対効果の高い対策が打てる
- 「まず60点の台帳」を作る
- 完璧な台帳を目指すと、永遠に完成しない
- 抜け漏れがあっても、「一覧表がある」と「ない」では雲泥の差
棚卸は「一度きり」ではなく「定期的」に
IT資産は日々変化します。新しいPCの導入、社員の入退社、SaaSの契約変更――棚卸を一度やって終わりにすると、半年後には台帳と現実が乖離します。
推奨する棚卸の頻度
| タイミング | 内容 |
|---|---|
| 年1回の定期棚卸 | 全IT資産の一斉確認、台帳の更新 |
| 入退社時 | アカウントの作成・削除、端末の貸与・回収 |
| 新規ツール導入時 | 台帳への追加、セキュリティ確認 |
| 契約更新時 | SaaS・クラウドサービスの利用状況の見直し |
台帳を「生きたドキュメント」として維持し続ける仕組みを作ることが、IT資産棚卸の本当のゴールです。
ツールの活用で負荷を下げる
棚卸の作業負荷を軽減するために、目的と規模に応じてツールを活用しましょう。
| 企業規模 | 推奨ツール | 特徴 |
|---|---|---|
| 10名以下 | Excel台帳 + 定期ヒアリング | コストゼロで始められる。まずはここから |
| 10~50名 | Microsoft Intune / Jamf(Mac環境) | Microsoft 365との連携で端末管理を自動化 |
| 50名以上 | LANSCOPE / SKYSEA Client View | 端末の操作ログ取得、ソフトウェア配布管理まで対応 |
重要なのは、ツールを入れること自体が目的ではないということです。まずは手作業でも棚卸を始め、「管理対象が増えて手作業では限界」と感じた段階でツール導入を検討する。この順番が、中小企業にとって最もコストパフォーマンスの高い進め方です。
8. まとめ ― IT資産棚卸は「守り」と「攻め」の両方に効く
本記事では、IT資産棚卸(ITデューデリジェンス)の進め方と資産価値の算出方法を解説しました。最後に、全体の流れを振り返ります。
IT資産棚卸の3ステップ
| ステップ | やること | 成果物 |
|---|---|---|
| ステップ1 | 目的とスコープの明確化 | 棚卸計画書(対象範囲・体制・スケジュール) |
| ステップ2 | 情報収集と可視化 | IT資産台帳、ネットワーク構成図 |
| ステップ3 | 分析と評価 | リスク評価レポート、コスト最適化提案 |
IT資産棚卸がもたらす効果
守りの効果(セキュリティ)
- サポート切れ機器・ソフトの特定と対策
- シャドーITの発見と管理下への移行
- 退職者アカウントの削除による不正アクセス防止
- インシデント発生時の影響範囲の迅速な特定
攻めの効果(経営)
- 未使用ライセンス解約によるコスト削減
- IT投資の意思決定精度の向上
- M&A・事業承継時の企業価値向上
- 補助金・助成金申請の準備効率化
まずは「一覧にしてみる」ことから
IT資産棚卸は、特別な専門知識がなくても始められます。最初の一歩は、社内のパソコン・スマートフォン・使っているSaaSの名前を、Excelに書き出してみることです。この「一覧にしてみる」という行為だけで、「あれ、このソフトは誰が契約しているんだろう」「このPCはもう使っていないのでは?」といった気づきが必ず生まれます。
その気づきが、セキュリティ対策の第一歩であり、IT投資の最適化の第一歩です。
「IT資産の棚卸をやりたいけれど、自社だけでは進め方がわからない」「棚卸の結果をもとにセキュリティ対策を整備したい」――そうしたお悩みがありましたら、アクセルパートナーズにご相談ください。
アクセルパートナーズでは、中小企業のIT環境の現状把握からセキュリティ対策の計画策定、東京都サイバーセキュリティ対策促進助成金をはじめとする補助金・助成金の申請サポートまで、ワンストップでご支援しています。まずは無料相談から、お気軽にお問い合わせください。
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
