LASSIC Media らしくメディア

2026.06.30 らしくコラム

ソフトウェアライセンス監査(SAM)のコスト最適化

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

software license management

この記事のポイント

  • SAM(ソフトウェア資産管理)は、オンプレミスのパッケージソフトを含むソフトウェア資産全般を対象に、ベンダーのライセンス監査リスクに備え、過少・過剰ライセンスを是正する取り組みです
  • ISO/IEC 19770というIT資産管理の国際規格を参考に、棚卸し・台帳整備・利用実態の突き合わせ・継続管理という流れで進めます
  • 専門知識と工数が同時に必要なため、初回棚卸しや監査対応のタイミングで外注を活用する判断軸を整理します

目次

SAMとは:ソフトウェア資産管理がベンダー監査リスクへの備えになる理由

IT compliance audit office

SAM(Software Asset Management=ソフトウェア資産管理)とは、組織が保有・利用するソフトウェアとそのライセンスを継続的に把握し、契約に沿った状態を保ちながらコストを適正化する取り組みです。OSや業務パッケージ、開発ツール、サーバー製品といったオンプレミスのソフトウェア資産も含めて全体を管理対象とする点が特徴です。

本記事は、データベース製品(Oracle・SQL Serverなど)に特化したライセンスコスト最適化や、SaaS(クラウドサービス)の利用管理とは切り口が異なり、パッケージソフトを含むソフトウェア資産全般のSAMと、ベンダーによるライセンス監査(ソフトウェア監査)への対応に焦点を当てます。

STEP 1 棚卸し 資産の検出 利用状況把握 範囲確定 STEP 2 台帳整備 契約・証書 保有数の集約 一元化 STEP 3 突き合わせ 保有と利用 差異の可視化 過少/過剰判定 STEP 4 是正 過少の充足 過剰の整理 規定適合確認 継続管理 定期レビュー 変更時更新 監査対応準備 規格改訂追跡
図:SAM(ソフトウェア資産管理)の基本フロー(棚卸し→台帳整備→突き合わせ→是正→継続管理)

多くの企業では、部門ごとの調達やインフラ更改、組織変更を経るうちに、どのソフトウェアをどれだけ保有し、どこでどれだけ利用しているのかが分かりにくくなりがちです。この「保有」と「利用」のずれが放置されると、ベンダー監査で非準拠を指摘されるリスクと、使っていないライセンス費を払い続けるムダの、両方が生まれます。SAMは、このずれを継続的に把握して適正化することで、コンプライアンスとコストの両面に備える役割を担います。

SAMが「監査リスクへの備え」になる理由

ソフトウェアの利用は、ベンダーとのライセンス契約に基づいて許諾されています。契約条件に対して利用実態が逸脱していると、ベンダーから監査(ソフトウェア監査)を通じて指摘を受けることがあります。SAMによってソフトウェア資産の台帳が整っていれば、監査通知を受けた際に利用実態と保有状況を速やかに示しやすくなり、準備にかかる工数や認識の食い違いを抑えやすくなります。

ライセンス監査(ソフトウェア監査)の仕組みと非準拠が生むコスト

ソフトウェアベンダーの多くは、ライセンス契約の中に「監査条項」を設けており、ライセンスが契約条件に沿って利用されているかを確認する権利を保持しています。これがライセンス監査(ソフトウェア監査)と呼ばれるもので、ベンダー側または委託された第三者が、顧客のソフトウェア利用状況を確認します。

監査条項と通知のプロセス

監査の範囲・通知期間・対象システム・実施方法などは、契約書の監査条項に定められていることが一般的です。監査の通知を受けてから慌てて利用状況を調べるのではなく、契約条項の内容を平時から把握し、利用実態を台帳として整えておくことが落ち着いた対応につながります。条項の解釈や対応範囲に疑義がある場合は、ベンダーやライセンスの専門家に確認することが大切です。

非準拠(コンプライアンス違反)が生むコスト

監査の結果、保有ライセンスより多く利用している(過少ライセンス)状態が見つかった場合、不足分のライセンス購入費や、過去に遡った利用に対する費用を求められることがあります。こうした費用は計画外の支出となり、予算面で大きな負担となる可能性があります。SAMで日頃から保有と利用の差異を把握しておくことは、こうした計画外コストの発生リスクを抑えることにつながります。

過少ライセンスと過剰ライセンス:双方向の差異がコストを生む

ソフトウェア資産のずれは「足りない」方向と「余っている」方向の両方に発生します。SAMでは、この双方向の差異を把握し、適正な保有量に近づけることをめざします。それぞれの問題を整理します。

状態 内容 主なリスク・影響
過少ライセンス 保有しているライセンス数より、実際の利用数が多い状態。インストール数の増加や利用範囲の拡大に台帳が追いついていないケースなどで生じます。 ベンダー監査で非準拠と判定された場合、不足分の購入費や遡及的な費用を求められるリスクがあります。
過剰ライセンス 利用していないのに保有し続けているライセンス。退職者ぶんや廃止システムぶんが整理されずに残っているケースなどで生じます。 コンプライアンス上の問題は生じにくい一方、使われていない費用を払い続ける原因になります。
把握不能 どのソフトをどれだけ保有・利用しているかが台帳化されておらず、判断材料がない状態。 過少・過剰のいずれも見えず、監査時の準備工数が膨らみやすく、是正の判断もできません。

「過剰ライセンスを減らせばコストを抑えられる」と考えがちですが、減らす前提として「本当に使っていないか」を利用実態から確認する必要があります。利用実態を把握しないまま削減を進めると、今度は過少ライセンス(非準拠)の方向へ振れてしまうおそれがあります。双方向の差異を同時に見られる状態を整えることが、SAMの土台になります。

ISO/IEC 19770の考え方:IT資産管理を体系化する国際規格

SAMを場当たり的にではなく体系的に進めるための参照枠組みとして、ISO/IEC 19770というIT資産管理(ITAM:IT Asset Management)に関する国際規格群があります*1。これはISO(国際標準化機構)とIEC(国際電気標準会議)が共同で策定している規格群です。

規格群の位置づけ

ISO/IEC 19770は複数のパートで構成されています。代表的なものとして、IT資産管理システムの要求事項を定めるISO/IEC 19770-1や、ソフトウェアの識別情報(Software Identification)に関するパートなどが挙げられます*1。これらは、ソフトウェア資産を含むIT資産を、プロセスとして継続的に管理するための考え方を提供します。各パートの正確な内容や最新の版番号は、規格の原典を確認することが大切です。

規格を「参考にする」という現実的な進め方

ISO/IEC 19770の認証取得を直接の目的としなくても、規格が示す「資産を識別し、台帳を整え、利用と保有を突き合わせ、継続的にレビューする」という枠組みは、自社のSAMを設計する際の有用な指針になります。いきなり全社で完璧な仕組みをめざすのではなく、規格の考え方を参考にしながら、自社の規模と体制に合わせて段階的に整えていくアプローチが現実的です。

SAMの進め方:棚卸し→台帳整備→突き合わせ→是正→継続管理

business software inventory

SAMは「現状把握」から始めます。以下の5ステップで進めることが基本的な流れになります。

ステップ1:ソフトウェア資産の棚卸し(検出と利用状況の把握)

まず、組織内でどのソフトウェアがどこにインストールされ、どれだけ利用されているかを検出します。サーバー・クライアントPC・仮想環境などを横断して、製品名・バージョン・エディション・インストール数を把握します。資産管理ツールやインベントリ収集の仕組みを用いると、手作業よりも網羅的に検出しやすくなります。

ステップ2:ライセンス台帳の整備(保有状況の集約)

次に、保有しているライセンスの種類・数量・契約形態(永続・サブスクリプション等)・契約条件を、契約書・発注書・ライセンス証書をもとに一元化します。調達・経理・法務部門と連携して原本を突き合わせる作業になります。この段階で初めて「契約上の保有ライセンス」が正確に見えてきます。

ステップ3:保有と利用の突き合わせ(コンプライアンス・ポジションの可視化)

棚卸しした利用実態(ステップ1)と、整備した保有状況(ステップ2)を製品ごとに突き合わせ、過少・過剰の差異を可視化します。この「保有と利用の差分」は、コンプライアンス・ポジションやライセンス・ポジションなどと呼ばれ、SAMの中核となる成果物です。差異の根拠(どのインストールがどのライセンスでカバーされるか)まで明確にしておくことが、監査対応や是正判断の精度を高めます。

ステップ4:是正(過少の充足・過剰の整理)と規定適合確認

可視化した差異をもとに、過少ライセンスは追加調達などで充足し、過剰ライセンスは契約条件を確認したうえで整理します。製品ごとにライセンスの数え方や移管・再割り当ての可否はベンダーの規定によって異なるため、是正の実行前に各ベンダーの最新のライセンス規定を確認することが欠かせません。規定の解釈に疑義がある場合は、ベンダーや専門家に確認します。

ステップ5:継続管理の体制構築

SAMは一度整えれば終わりではありません。新規調達・システム廃止・組織変更・バージョンアップのたびに台帳を更新し、定期的なレビュー(例えば年1回以上)を行う体制を整えることが大切です。変更管理のプロセスにソフトウェア資産の登録・更新を組み込んでおくと、台帳と実態のずれが生まれにくくなります。

外注の使いどころ:棚卸し・監査対応・体制構築の委託判断軸

SAMやライセンス監査対応を内製だけで進めることが難しい場面は複数あります。外注が有効な局面と、委託先を選ぶ際の判断軸を整理します。

内製が難しい理由:専門知識と工数の両方が必要

SAMには、ベンダーごとに異なるライセンス規定の読み込み・資産検出ツールの運用・契約条件の解釈・ISO/IEC 19770を参考にしたプロセス設計という複数の専門スキルが同時に必要です。情報システム部門がこれらすべてに習熟している企業は多くなく、規定の解釈を誤ったまま進めると、かえって非準拠リスクが高まることもあります。加えて、初回の棚卸しから台帳整備・突き合わせまでには相応の工数が発生し、通常業務と並行して進めるのは負担になりがちです。

外注が有効な場面

  • 初回の棚卸し・台帳整備:社内に知見が蓄積されていない、または台帳が整っていない状態から始める場合は、外注の棚卸しサービスを活用することで現状把握を進めやすくなります
  • ベンダー監査の通知への対応:監査が通知された際、準備から利用実態の整理・対応までを外注で支援してもらうことで、内製では見落としがちな規定解釈のミスをカバーしやすくなります
  • コンプライアンス・ポジションの可視化:保有と利用の突き合わせは専門性が高く、第三者の視点を入れることで差異の根拠を整理しやすくなります
  • 継続管理の仕組みづくり:ISO/IEC 19770を参考にした管理プロセスや台帳の設計を外注でスタートし、後から内製へ移管するアプローチも有効です

委託先を選ぶ際の判断軸

SAM・ライセンス監査対応の委託先を選ぶ際は、以下の軸で確認することをおすすめします。

  • ライセンス専門性:主要ベンダーのライセンス規定に習熟し、製品ごとの数え方の違いを踏まえた助言ができるか
  • 資産検出の手段:インベントリ収集や資産管理ツールの運用経験があり、網羅的な棚卸しができるか
  • コンプライアンス重視:コスト削減だけを優先するのではなく、規定適合の確認を含むプロセスを持っているか
  • 成果物の明確さ:棚卸しレポート・台帳・コンプライアンス・ポジション・是正案など、具体的な成果物と納品基準が契約前に明示されているか
  • 中立性:特定ベンダーの製品販売と結びつかない立場から助言を受けられるか

SAMは単発で終わるものではなく、インフラや組織の変化のたびに継続的な確認が必要なテーマです。スポット契約で初回棚卸しから始めるか、継続的な管理サポートを含む契約にするかは、社内の体制と変更頻度に合わせて判断することが大切です。

LASSICでは、ITシステムの保守・運用を元請(プライムベンダー)として受託する立場から、インフラ構成とソフトウェア資産管理の両方を視野に入れた支援体制を整えています。SAMの棚卸しや監査対応のご相談は、お問い合わせフォームからお気軽にお声がけください。

まとめ:SAMでコスト最適化とコンプライアンスを両立する

本稿では、オンプレミスのパッケージソフトを含むソフトウェア資産全般を対象に、SAM(ソフトウェア資産管理)によるベンダー監査リスクへの備えとコスト最適化について整理しました。要点を3つに集約します。

第一に、ソフトウェア資産は「保有」と「利用」のずれが放置されやすく、過少ライセンス(非準拠リスク)と過剰ライセンス(ムダな費用)の両方向でコストを生みます。まず棚卸しと台帳整備で双方向の差異を可視化することが出発点です。

第二に、SAMを体系的に進める参照枠組みとしてISO/IEC 19770という国際規格があり、認証取得を目的としなくても、その「識別・台帳・突き合わせ・継続レビュー」という考え方は自社の仕組みづくりの指針になります。是正の実行前には各ベンダーの最新のライセンス規定との適合確認が欠かせません。

第三に、SAMは専門知識と工数を同時に必要とするため、初回棚卸しやベンダー監査対応のタイミングで外注を活用し、コンプライアンスリスクを抑えながら費用の適正化を進めるアプローチが有効です。委託にあたってはスコープと成果物を明確にし、中立性とコンプライアンス重視の姿勢を持つ委託先を選ぶことが大切です。

よくある質問

SAM(ソフトウェア資産管理)とライセンス監査はどう違いますか?

SAM(Software Asset Management)は、組織が保有・利用するソフトウェア資産とライセンスを継続的に把握・管理する社内の取り組みです。一方、ライセンス監査(ソフトウェア監査)は、ソフトウェアベンダー側がライセンス契約に基づいて利用状況の正当性を確認する行為を指すことが一般的です。SAMを整備しておくことで、ベンダー監査の通知を受けた際に、利用実態とライセンス保有状況を速やかに提示できる状態を保ちやすくなります。

ISO/IEC 19770とはどのような規格ですか?

ISO/IEC 19770は、ISO(国際標準化機構)とIEC(国際電気標準会議)が定めるITアセットマネジメント(IT資産管理)に関する一連の国際規格群です。ISO/IEC 19770-1ではIT資産管理システムの要求事項が定められており、ソフトウェア資産を含むIT資産を体系的に管理するためのプロセスの枠組みを提供しています。詳細な要求事項は最新版の規格文書を確認することが大切です。

過剰ライセンスと過少ライセンスはどちらがリスクですか?

両方ともリスクですが、性質が異なります。過少ライセンス(保有数より利用数が多い状態)は、ベンダー監査で非準拠(コンプライアンス違反)と判定された場合に、不足分の購入費や遡及的な費用を求められるリスクにつながります。過剰ライセンス(利用していないのに保有している状態)は、コンプライアンス上の問題は生じにくい一方で、使われていない費用を払い続ける原因になります。SAMでは両方向の差異を把握し、適正な保有量に近づけることをめざします。

ソフトウェア監査の通知が来たらどう対応すればよいですか?

まず契約書で監査条項(監査の範囲・通知期間・対象など)を確認し、社内のライセンス保有状況と利用実態を整理します。慌てて自己申告する前に、保有ライセンスと利用実態を突き合わせた台帳を整え、不明点はベンダーや専門家に確認することが大切です。日頃からSAMで台帳を整備しておくと、監査時の準備工数や認識の食い違いを抑えやすくなります。

SAMやライセンス監査対応を外注すると何を依頼できますか?

一般的には、ソフトウェア資産の棚卸し・台帳整備、利用実態とライセンス保有の突き合わせ(コンプライアンス・ポジションの可視化)、過少・過剰の是正案の作成、ISO/IEC 19770を参考にした管理プロセスの設計、ベンダー監査が通知された際の準備・対応支援などを依頼できます。委託前にスコープと成果物を明確にしておくことが、後工程のトラブル回避につながります。

著者:テレリモ総研編集部 鈴木 亮佑

LASSICに相談するメリット

LASSICは元請(プライムベンダー)として企業のITシステム保守・運用を受託する立場から、インフラ構成とソフトウェア資産管理を一体で捉えた体制を持っています。ソフトウェア資産の棚卸し・台帳整備・コンプライアンス・ポジションの可視化において、ベンダーごとのライセンス規定への適合確認を含む支援が可能です。中立的な立場からのSAM・監査対応支援の知見を活かし、コスト最適化とコンプライアンスの両立をお手伝いします。

ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:ISO(International Organization for Standardization)「ISO/IEC 19770-1 Information technology — IT asset management」(ISO公式サイト)
LINEで送る

こちらの記事もおすすめ

Amazon Linux 2 サポート終了への対応|EOL対策とAL2023移行の進め方

2026.06.22
らしくコラム

海外リモートワーク、また始めました【スウェーデン編】-Vol.5

2017.08.09
リモートワークコラム

「今月はPHP」「来月はAndroid」「来月1ヵ月のみ2名増員」的な体制の柔軟性がうれしい。結構助かる「LASSICのLABサービス」

2014.08.27
事例紹介

CloudWatch Logsのコストを削減する外注の進め方【保管期間/S3エクスポート】

2026.06.24
らしくコラム

バックナンバー

Category
Home/らしくメディア/らしくコラム/ソフトウェアライセンス監査(SAM)のコスト最適化
View