【サイバーセキュリティ】IT資産管理台帳の作り方 ― 自社のIT環境を「見える化」する実践ガイド
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
~ PC・ソフトウェア・クラウドサービスをすべて把握し、セキュリティの土台を固める ~
「会社にPCが何台あるか、正確に答えられますか?」
この質問に即答できる中小企業の経営者やIT担当者は、実は多くありません。「だいたい30台くらい」「たぶん全部Windows 11に上げたはず」「あのソフトのライセンスって何本買ったっけ」――こうした曖昧な状態は、セキュリティ対策の致命的な盲点になります。
IT資産管理台帳は、自社が保有するPC、サーバー、ネットワーク機器、ソフトウェア、クラウドサービスをすべて一覧化し、その状態を常に最新に保つための台帳です。NISTサイバーセキュリティフレームワークの「特定(Identify)」フェーズに位置し、「何を、どこで守るか」を決める基盤となります。
本記事では、IT資産管理台帳の基本から、具体的な作成手順、そしてツールの活用方法まで、中小企業の担当者が「これを読めば作り始められる」と思える情報をまとめました。
💡 セキュリティ対策の全体像
本記事は、NISTサイバーセキュリティフレームワークに基づく対策体系の「特定(Identify)」フェーズに該当します。対策の全体像については「【サイバーセキュリティ】セキュリティ対策の全体像がわかるようになる」をご覧ください。
この記事でわかること
- IT資産管理台帳とは何か、情報資産管理台帳との違い
- 台帳に記載すべき項目と分類方法
- 具体的な作成手順(4ステップ)
- Excel管理の限界とIT資産管理ツールの選び方
- 助成金との関係
1. IT資産管理台帳とは何か ― 「IT機器の住民票」
そもそもIT資産管理台帳とは?
IT資産管理台帳とは、自社が保有するハードウェア(PC、サーバー、ネットワーク機器など)とソフトウェア(OS、業務アプリ、クラウドサービスなど)を一覧化し、その状態を管理する台帳です。
「住民票」にたとえるとわかりやすいでしょう。住民票には住所、氏名、生年月日が記録されているように、IT資産管理台帳にはPCの設置場所、使用者、OSバージョンなどが記録されます。住民票がなければ行政サービスが成り立たないように、IT資産管理台帳がなければセキュリティ対策は成り立ちません。
情報資産管理台帳との違い
混同されやすい「情報資産管理台帳」との違いを整理しておきます。
| 項目 | IT資産管理台帳 | 情報資産管理台帳 |
|---|---|---|
| 管理対象 | ハードウェア・ソフトウェア(入れ物) | データ・文書(中身) |
| 主な記載内容 | PCの台数、OSバージョン、ライセンス数 | データの種類、重要度、保管場所 |
| 主な目的 | 機器・ソフトの状態管理、ライセンス管理 | セキュリティ対策の優先順位付け |
| 例 | 「PC-001はDell Latitude、Windows 11、営業部の田中さんが使用」 | 「顧客マスタデータは基幹システムDBに保管、重要度A」 |
IT資産管理台帳は「入れ物」を管理し、情報資産管理台帳は「中身」を管理するという関係です。セキュリティ対策においては両方が必要であり、IT資産管理台帳がなければ「このPCのOSは最新か?」「パッチは適用されているか?」といった基本的な確認すらできません。
2. なぜ中小企業にIT資産管理台帳が必要なのか
「把握していないものは守れない」
セキュリティ対策の大前提は、守るべき対象を知っていることです。しかし、多くの中小企業では以下のような状況が見られます。
- 退職者のPCがそのまま放置されている(アカウントも有効なまま)
- 私物のスマートフォンが業務ネットワークに接続されているが、把握していない
- 古いWindows PCが現役で使われているが、サポート切れに気づいていない
- 使われていないSaaSライセンスに毎月課金されている
- USBメモリやポータブルHDDの所在がわからない
これらすべてがセキュリティリスクであり、同時に無駄なコストでもあります。IT資産管理台帳を整備すれば、これらの問題を可視化し、対策を打つことができます。
IT資産管理台帳が必要な4つの理由
① 脆弱性管理の基盤になる
OSやソフトウェアのセキュリティパッチが公開されたとき、「自社にそのソフトウェアが入っているPCは何台あるか」がわからなければ、パッチ適用の対象範囲すら特定できません。IT資産管理台帳があれば、影響範囲を即座に把握できます。
② ライセンスコンプライアンスを確保する
ソフトウェアの不正コピーやライセンス数の超過は、法的リスクだけでなくセキュリティリスクでもあります。正規ライセンスでないソフトウェアはアップデートが適用できず、脆弱性が放置される原因になります。
③ インシデント発生時の迅速な対応を可能にする
「ランサムウェアに感染した可能性がある」という報告を受けた際、IT資産管理台帳がなければ「社内に同じOSバージョンのPCが何台あるか」「そのPCは誰が使っているか」を確認するだけで何時間もかかります。
④ IT投資の最適化につながる
「まだ使えるPCを早期に入れ替えてしまう」「逆に、限界を超えた古いPCを使い続ける」といった非効率を防ぎ、計画的なIT投資を実現できます。
3. IT資産管理台帳に記載すべき項目
ハードウェア管理項目
| No. | フィールド名 | 説明 | 記入例 |
|---|---|---|---|
| 1 | 資産ID | 一意の管理番号 | HW-PC-001 |
| 2 | 資産種別 | PC/サーバー/ネットワーク機器/周辺機器 | ノートPC |
| 3 | メーカー・型番 | 製品の特定情報 | Dell Latitude 5540 |
| 4 | シリアルNo. | メーカーのシリアル番号 | ABC123456789 |
| 5 | OS / バージョン | 搭載OS | Windows 11 Pro 24H2 |
| 6 | 使用者 | 現在の使用者 | 営業部 田中太郎 |
| 7 | 設置場所 | 物理的な設置場所 | 本社2F 営業部エリア |
| 8 | IPアドレス | 割り当てられたIPアドレス | 192.168.1.101 |
| 9 | 購入日 | 購入日(リース開始日) | 2024/04/01 |
| 10 | 保証期限 | メーカー保証の期限 | 2027/03/31 |
| 11 | リース/購入 | 調達方法 | リース(5年) |
| 12 | ステータス | 使用中/保管中/廃棄待ち | 使用中 |
ソフトウェア・ライセンス管理項目
| No. | フィールド名 | 説明 | 記入例 |
|---|---|---|---|
| 1 | ソフトウェアID | 一意の管理番号 | SW-001 |
| 2 | ソフトウェア名 | 製品名 | Microsoft 365 Business Standard |
| 3 | バージョン | 現在のバージョン | 最新(自動更新) |
| 4 | ライセンス種別 | サブスク/買い切り/無料 | サブスクリプション(月額) |
| 5 | 保有ライセンス数 | 購入したライセンス数 | 35 |
| 6 | 使用ライセンス数 | 実際に使用中の数 | 30 |
| 7 | 利用対象PC | インストール先のPC | HW-PC-001~030 |
| 8 | 契約更新日 | ライセンスの更新日 | 毎年4/1自動更新 |
| 9 | 年間費用 | 年間のライセンスコスト | 約65万円/年 |
クラウドサービス(SaaS)管理項目
| No. | フィールド名 | 説明 | 記入例 |
|---|---|---|---|
| 1 | サービスID | 一意の管理番号 | SaaS-001 |
| 2 | サービス名 | SaaS名 | Salesforce Sales Cloud |
| 3 | 利用目的 | 業務上の利用目的 | 顧客管理・営業管理 |
| 4 | 契約プラン | 契約中のプラン | Professional |
| 5 | ユーザー数 | 利用ユーザー数 | 15名 |
| 6 | 管理者 | アカウント管理者 | 情シス担当 鈴木 |
| 7 | 認証方式 | ログイン方法 | SSO(Microsoft Entra ID連携) |
| 8 | 月額費用 | 月額のサービス料金 | 約18万円/月 |
| 9 | データ保管地域 | データセンターの所在地 | 東京リージョン |
4. IT資産管理台帳の作成手順 ― 4つのステップ
ステップ1:現状のIT環境を棚卸しする(1~2週間)
まずは、自社に存在するすべてのIT資産を洗い出します。
ハードウェアの棚卸し方法:
- 目視確認: オフィス内を歩き回り、PC、モニター、プリンター、ネットワーク機器、サーバーなどの物理的な機器をリストアップする
- ネットワークスキャン: 社内ネットワークに接続されている機器を検出する(Windowsの場合、コマンドプロンプトで
arp -aを実行すれば、同一ネットワーク上の機器一覧を確認できます) - 経理データとの照合: 固定資産台帳やリース契約一覧との照合で、漏れがないか確認する
ソフトウェアの棚卸し方法:
- PCの設定画面から確認: 各PCの「設定」→「アプリ」→「インストールされたアプリ」を確認する
- クラウドサービスの確認: 各SaaSの管理画面からユーザー数と利用状況を確認する
- クレジットカード明細の確認: SaaSの月額課金が発生しているサービスを特定する
💡 見落としやすいIT資産
- 複合機(コピー機)のHDD:印刷データが保存されている
- Wi-Fiルーター・アクセスポイント:ファームウェアの更新が放置されがち
- IoT機器(監視カメラ、スマートロックなど):ネットワークに接続されているが管理対象外にされがち
- 退職者が使っていたPCの保管品
- 個人のスマートフォン(BYOD)
ステップ2:棚卸し結果を台帳フォーマットに整理する(2~3日)
ステップ1で収集した情報を、先述のフォーマットに整理します。
命名規則の統一が重要です。
| 資産種別 | IDプレフィックス例 | 例 |
|---|---|---|
| デスクトップPC | HW-DT- | HW-DT-001 |
| ノートPC | HW-NB- | HW-NB-001 |
| サーバー | HW-SV- | HW-SV-001 |
| ネットワーク機器 | HW-NW- | HW-NW-001 |
| 周辺機器 | HW-PR- | HW-PR-001 |
| ソフトウェア | SW- | SW-001 |
| SaaS | SaaS- | SaaS-001 |
ステップ3:ステータスの確認と是正(1週間)
台帳が完成したら、以下のポイントを確認し、問題があればただちに是正します。
セキュリティ観点のチェック項目:
| チェック項目 | 内容 | よくある問題 |
|---|---|---|
| OSバージョン | すべてのPCがサポート期間内のOSか | Windows 10のサポート終了(2025年10月)に未対応 |
| パッチ適用状況 | 最新のセキュリティパッチが適用されているか | Windows Updateが無効化されている |
| ウイルス対策 | すべてのPCにEPP(ウイルス対策)が導入されているか | 一部のPCにインストールされていない |
| 暗号化 | ノートPCのHDD/SSDが暗号化されているか | BitLockerが有効化されていない |
| 退職者のPC | 退職者のアカウントが無効化されているか | 退職後もアカウントが有効なまま |
| 私物端末 | BYODのルールが明確か | 個人スマホが無制限でWi-Fi接続されている |
ステップ4:定期的な更新サイクルを確立する
IT環境は常に変化します。新しいPCの購入、従業員の入退社、ソフトウェアのバージョンアップなど、台帳を最新に保つための更新サイクルを確立してください。
| タイミング | 更新内容 |
|---|---|
| 随時 | PC購入・廃棄、従業員の入退社、SaaS契約変更 |
| 月次 | ライセンス利用状況の確認、SaaS課金額の確認 |
| 四半期 | OSバージョン・パッチ適用状況の一括確認 |
| 年1回 | 全IT資産の棚卸し(情報資産管理台帳の見直しと同時実施を推奨) |
5. Excel管理の限界と IT資産管理ツールの活用
Excel管理でどこまでできるか
従業員30名以下の小規模企業であれば、Excelでの管理は十分に実用的です。しかし、以下の問題が発生し始めたら、ツールの導入を検討すべきタイミングです。
- PCの台数が50台を超えた
- 複数拠点があり、棚卸しに出張が必要
- OSバージョンやパッチ適用状況をリアルタイムで把握したい
- USBデバイスの接続制御など、セキュリティポリシーの強制適用が必要
- Excel台帳の更新が追いつかなくなった
IT資産管理ツールの主な機能
| 機能 | 内容 | Excel比較 |
|---|---|---|
| 自動収集 | PCのOS、ソフトウェア、パッチ状況を自動で収集 | Excelは手動入力のみ |
| リアルタイム監視 | 常に最新の状態をダッシュボードで確認 | Excelは更新タイミングに依存 |
| アラート機能 | サポート切れOS、未適用パッチを自動通知 | Excelは目視チェック |
| USB制御 | USBメモリの接続を検知・ブロック | Excelでは不可能 |
| レポート出力 | 経営層向けのレポートを自動生成 | Excelでは手作業 |
| ソフトウェア配布 | 全PCに一括でソフトウェアをインストール | Excelでは不可能 |
中小企業向けIT資産管理ツールの例
| ツール名 | メーカー | 特徴 | 対象規模 |
|---|---|---|---|
| SKYSEA Client View | Sky株式会社 | 国内シェアNo.1。日本企業向けに最適化 | 中小~大企業 |
| LANSCOPE エンドポイントマネージャー | エムオーテックス | クラウド型で導入が容易。MDM機能も搭載 | 中小~中堅 |
| AssetView | ハンモック | 機能が豊富でカスタマイズ性が高い | 中小~大企業 |
| ISM CloudOne | クオリティソフト | クラウド完結型。中小企業向けの価格帯 | 小規模~中小 |
| ManageEngine Desktop Central | Zoho Corp. | グローバル実績豊富。コストパフォーマンスが高い | 中小~中堅 |
これらのツールの多くは、東京都のサイバーセキュリティ対策促進助成金の対象経費に含まれます。
6. IT資産管理で見落としやすい3つのポイント
ポイント①:「シャドーIT」の存在
シャドーITとは、IT部門が把握していない状態で業務に使われているITサービスのことです。従業員が個人的に契約したDropbox、Slack、ChatGPTの有料プランなど、IT部門の管理外にあるクラウドサービスがシャドーITの典型です。
シャドーITの問題は、セキュリティポリシーの適用外にあることです。データの暗号化、アクセス制御、ログの取得といった対策が一切適用されないまま、業務データが外部に置かれてしまいます。
対処法: 「業務で使用しているクラウドサービスをすべて申告してください」というアンケートを全従業員に実施する。申告されたサービスは台帳に追加し、利用を公認するか禁止するかを判断する。
ポイント②:「EOL(End of Life)」の管理
EOLとは、メーカーによるサポート(セキュリティパッチの提供)が終了する日のことです。最も身近な例はWindows 10のサポート終了(2025年10月14日)です。
EOLを過ぎたOSやソフトウェアは、新しい脆弱性が発見されてもパッチが提供されないため、攻撃者にとって格好の標的になります。IT資産管理台帳にEOL日を記載しておけば、計画的な移行やリプレイスが可能になります。
ポイント③:「廃棄」の管理
不要になったPCやHDDを適切に廃棄しなければ、情報漏えいのリスクがあります。2019年に発生した「神奈川県HDD転売事件」では、リース返却されたHDDからデータが復元可能な状態で転売され、大きな社会問題になりました。
対処法: IT資産管理台帳に「廃棄日」「廃棄方法」「廃棄証明書の有無」を記録する。物理破壊またはデータ消去ソフトによる完全消去を行い、廃棄証明書を必ず取得する。
7. 助成金との関係
IT資産管理ツールの導入費用は、東京都のサイバーセキュリティ対策促進助成金の対象経費に含まれます。
| 項目 | 内容 |
|---|---|
| 助成率 | 対象経費の1/2 |
| 上限額 | 500万円 |
| 対象要件 | SECURITY ACTION 二つ星を宣言済みの都内中小企業 |
| 対象経費 | IT資産管理ツール、UTM、EDR、バックアップシステムなどのセキュリティ機器・ソフトウェア |
たとえば、SKYSEA Client ViewやLANSCOPEの導入費用が年間100万円の場合、助成金で50万円が補助される可能性があります。
💡 おすすめの進め方
まずはExcelで基本的な台帳を作成 → SECURITY ACTION二つ星を取得 → 助成金を申請 → 採択後にIT資産管理ツールを導入、という流れが最も経済的です。
8. よくある質問(Q&A)
Q1. IT資産管理台帳と固定資産台帳は何が違いますか?
A. 固定資産台帳は会計上の管理(減価償却)が目的であり、IT資産管理台帳はセキュリティと運用管理が目的です。固定資産台帳には「OSバージョン」「パッチ適用状況」「使用者」といった情報は記載されていません。両者は目的が異なるため、別々に管理する必要があります。
Q2. 従業員10名以下ですが、ツールは必要ですか?
A. 10名以下であれば、Excelで十分です。PC台数が10台程度であれば、四半期に1回の手動棚卸しで管理できます。ツールの導入はPCが50台を超えたあたりから検討すれば良いでしょう。
Q3. クラウドサービス(SaaS)もIT資産管理台帳に含めるべきですか?
A. はい、含めるべきです。現代のIT環境では、業務データの多くがSaaS上に存在します。Microsoft 365、Google Workspace、Salesforce、freee、Slackなど、利用しているSaaSはすべて台帳に記載してください。特にユーザー数と月額費用は、コスト管理の観点でも有用です。
Q4. 個人のスマートフォン(BYOD)も管理対象ですか?
A. 業務で使用している場合は対象です。「会社のメールをスマホで見ている」「業務チャット(Slack等)をスマホで利用している」場合、そのスマートフォンは業務データにアクセスしているため、管理対象とすべきです。MDM(モバイルデバイス管理)の導入と合わせて検討してください。
Q5. リース品とレンタル品はどう管理すべきですか?
A. リース品もレンタル品も台帳に記載します。所有形態の欄に「リース」「レンタル」「購入」を明記し、契約期間と返却期限も記録してください。リース返却時のデータ消去を確実に行うためにも、台帳管理が重要です。
Q6. IT資産管理台帳の作成を外部に委託できますか?
A. 可能です。IT資産管理ツールの導入を支援するベンダーに依頼すれば、棚卸しから台帳作成、ツール導入までを一括で対応してもらえます。ただし、日常的な更新(PCの追加・廃棄など)は社内で行う体制を整える必要があります。
Q7. 台帳を作る前にIT資産管理ツールを先に導入してもいいですか?
A. ツールを先に導入することは可能ですが、ツールが自動収集するのはネットワークに接続された機器の情報だけです。保管中のPC、紙の保証書、ライセンス契約書などはツールでは収集できません。最初に一度は手動で棚卸しを行い、その結果をツールと統合するのが確実な方法です。
まとめ:IT資産管理台帳は「セキュリティの足場」
IT資産管理台帳は、セキュリティ対策のすべてを支える「足場」です。この足場がなければ、UTMもEDRもバックアップも、その効果を十分に発揮できません。
本記事のポイントを整理します。
- IT資産管理台帳は、ハードウェア・ソフトウェア・SaaSを一覧化する台帳
- 情報資産管理台帳が「中身」なら、IT資産管理台帳は「入れ物」を管理する
- 4つのステップ(棚卸し→整理→確認・是正→定期更新)で作成する
- Excel管理は50台までが目安。それ以上はIT資産管理ツールの導入を検討
- IT資産管理ツールは東京都の助成金の対象経費
「何から始めればいいかわからない」なら、まずはご相談ください。
アクセルパートナーズでは、IT資産管理台帳の作成支援から、SECURITY ACTION二つ星の取得、助成金を活用したITセキュリティ環境の整備までワンストップで対応しています。
- ルール整備・SECURITY ACTION取得 → サイバーセキュリティ やり切りパック
- IT資産管理ツールの導入(助成金活用) → 東京都サイバーセキュリティ対策促進助成金 申請サポート
初回相談(60分・Zoom)は無料です。「自社のIT環境を一度整理したい」というところから始めましょう。
お問い合わせ:0120-659-057(平日 9:30~18:00)
編集:アクセルパートナーズ
出典・参考資料:
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
