LASSIC Media らしくメディア

LASSIC IT事業部｜元請（プライムベンダー）としてシステム保守・運用を受託

IT資産の棚卸しを外注することの意味

IT資産の棚卸しを外注するとは、自社が保有するハードウェア・ソフトウェア・ライセンス・契約・データの現状を、専門知識を持つ外部パートナーへ依頼し、体系的な台帳として整備してもらう取り組みです。内製で進めるケースと異なり、調査の客観性と網羅性を外部の視点で担保できる点に特徴があります。

内製との違い——把握漏れ・属人化のリスク

IT資産の棚卸しを内製で進める場合、担当者の異動や退職によって管理台帳が更新されなくなる「属人化リスク」が生じます。担当者本人しかわからない設置場所・契約状況が積み重なると、棚卸しそのものが形骸化します。

外注化の利点は、客観的な第三者の視点で棚卸しを実施できることに加え、ツールを活用した自動スキャンによってソフトウェアのインストール状況やライセンス消費数を網羅的に把握できる点にあります。内製では見落としがちな「シャドーIT（情報システム部門未承認のクラウドサービス等）」の検出にも、専門ツールの有無が大きく影響します。

一方、外注化にはコストと情報資産の開示が伴います。棚卸しの目的を事前に明確にしておかないと、費用をかけても「どの資産から手をつければいいかわからない台帳」が納品される結果になります。目的の明文化と調査範囲の確定が、外注化の成否を左右する最初の一手です。

棚卸しの前に決める「調査範囲」5領域

IT資産の棚卸し外注を依頼する前に、「何をどこまで調べるか」を確定しておく必要があります。調査範囲が曖昧なまま依頼すると、見積もりがぶれ、納品物の粒度も揃いません。以下の5領域を起点に、自社の優先課題に応じた範囲を設定してください。

ハードウェア——PC・サーバー・ネットワーク機器

PC・ノートPC・サーバー・NAS（ネットワーク接続ストレージ）・スイッチ・ルーターなどの物理機器を対象とします。機器の型番・シリアル番号・設置場所・購入年月・保守期限・管理担当者を台帳に記録します。

複数拠点がある場合は、拠点ごとに管理粒度が異なることが多く、本社と支社・工場で台帳フォーマットが統一されていないケースも見られます。棚卸し依頼時には拠点数と各拠点の機器概数を事前に外注先へ伝えると、作業工数の見積もり精度が向上します。

ソフトウェア——インストール済み・クラウドSaaS

オンプレミスの端末・サーバーへのインストール済みソフトウェアに加え、Microsoft 365・Google Workspace・Salesforceなどのクラウド型SaaS（ソフトウェア・アズ・ア・サービス）も対象とします。SaaSは契約者以外に実使用者が把握されていないことがあり、退職者アカウントの残存やゾンビサブスクリプション（使われていない有料契約）の発見につながります。

ソフトウェア棚卸しには、エンドポイント管理ツールや統合IT資産管理（ITAM）ツールを活用した自動スキャンが有効です。外注先がどのツールを使うかを確認しておくと、スキャン漏れのリスクを事前に評価できます。

ライセンス——購入済み・使用中・余剰

ソフトウェアの購入ライセンス数（契約ライセンス数）と実際の使用ライセンス数を突き合わせ、「過剰ライセンス（余剰分の費用削減余地）」と「不足ライセンス（コンプライアンスリスク）」の双方を明らかにします。

ライセンス管理が不十分なままソフトウェアを追加導入し続けると、ベンダーの監査（ソフトウェア監査）でコンプライアンス違反を指摘されるリスクがあります。IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」では、資産管理台帳（付録6）のサンプルとして購入ライセンス数・インストール台数・管理担当者を記録するフォーマットが公開されています。

契約——保守契約・SLA・更新時期

ハードウェア保守契約・ソフトウェアサポート契約・クラウドサービス契約のそれぞれについて、契約相手先・契約期間・SLA（サービスレベルアグリーメント）・更新日を台帳化します。「保守切れのサーバーが本番稼働している」「気づかないうちにサポート終了したOSを使い続けていた」といった状況は、棚卸しによって初めて全体像が見えます。

契約台帳は更新期限順に整理すると、翌年度の予算計画・ベンダー交渉の根拠として活用できます。外注先への依頼時には、電子契約・紙契約双方の有無と管理者情報を事前にまとめておくと作業効率が上がります。

データ——保管場所・分類・保有期限

顧客情報・従業員情報・財務データなどの個人情報や機密情報がどのサーバー・端末・クラウドに保管されているかを把握します。データの保管場所マッピングは、個人情報保護法対応・情報漏えいリスクの評価・バックアップポリシーの整備に直結します。

データ棚卸しはすべての企業が初回から全領域を対象にする必要はありません。まず「顧客情報を含む可能性のあるシステム・端末」に絞り込み、その後範囲を広げていく段階的アプローチが現実的です。

外注先への依頼から納品までの5ステップ

IT資産の棚卸しを外注する流れは、大きく「目的・範囲の確定→RFP作成→外注先選定→実施→台帳納品・活用」の5段階に分けられます。各ステップで何を決め、何を外注先と合意しておくかを整理します。

ステップ1：目的と調査範囲の確定——外注前の社内合意

棚卸しを「なぜ実施するか」を社内で明文化します。DX推進のためのシステム現状把握なのか、セキュリティ監査の事前準備なのか、コスト最適化のためのライセンス精査なのかによって、調査範囲と成果物の形式が変わります。

目的が曖昧なまま外注先に発注すると、網羅性を重視した広範な調査になり費用が膨らむか、逆に必要な情報が台帳に含まれない結果になります。「誰が何の意思決定に使う台帳か」を情報システム部門・経営層・現場部門で確認してから外注先への依頼に進みましょう。

ステップ2：RFP（提案依頼書）の作成と提案依頼

外注先に「自社のIT資産棚卸しを依頼したい」と伝えるだけでは、提案内容や費用の比較ができません。RFP（Request for Proposal・提案依頼書）に以下の情報を盛り込むと、複数ベンダーからの提案を横並びで比較できます。

• 調査対象の領域（ハードウェア/ソフトウェア/ライセンス/契約/データのうちどれか）
• 拠点数・従業員規模・端末台数の概数
• 成果物の形式（Excel台帳・ITAMシステムへの登録・報告書など）
• 希望する完了時期
• 機密情報の取り扱い・NDA（秘密保持契約）の要否

提案依頼の段階で「費用の内訳と変動要因」を明示するよう求めると、追加費用が発生しにくくなります。

ステップ3：外注先の選定基準——実績・ツール・守秘義務

IT資産棚卸しの外注先を選定する際は、以下の3点を確認します。

実績：同業種・同規模の企業での棚卸し実績があるかを確認します。製造業・金融・医療など業種によって資産の種類と管理の複雑さが異なるため、業種適合性は重要な判断軸になります。

ツール：自動スキャンツールや統合ITAM（IT Asset Management）ツールを保有しているかを確認します。手動での台帳作成のみに頼る場合、網羅性に限界があります。ツール名・バージョン・対応OSを事前に確認しましょう。

守秘義務：棚卸し作業では自社の全IT資産情報が外注先に共有されます。NDA締結を前提とするのは当然として、担当者のセキュリティ教育体制・作業端末の管理方針・情報持ち出し制限を確認してください。

ステップ4：棚卸し実施と進捗管理

外注先が棚卸し作業を開始したら、自社の窓口担当者を1名確定し、定期的な進捗確認の場を設けます。拠点への入構許可・機器へのアクセス権限付与・ネットワークスキャンの承認など、外注先が動けるための社内調整を滞らせないことが期間短縮につながります。

棚卸し期間中に「スキャンできなかった端末」「アクセスできなかった管理者不在のサーバー」が発生するケースもあります。未把握資産の扱いを契約段階で取り決めておくと、納品後の差戻しを防げます。

ステップ5：台帳納品と刷新計画への接続

外注先から台帳が納品されたら、「老朽化・重複・未把握リソース」の3軸で内容を確認します。老朽化した機器・サポート切れのOSは優先的な対応候補です。重複ライセンスや未使用SaaSは即座にコスト削減につながります。未把握だった資産はセキュリティリスクの観点から早期に管理対象へ組み込む必要があります。

台帳は「完成させて終わり」ではなく、DX推進・システム刷新のロードマップを策定するための入力データとして活用することが目的です。次章で、棚卸し結果の読み取り方を整理します。

費用の判断軸——何が変動要因になるか

IT資産棚卸しの外注費用は、調査対象の規模・複雑さ・成果物の形式によって幅があります。ここで示す金額帯は市場参考値であり一次資料ではないため、個別見積もりの取得を前提に判断軸として参照してください。

費用の主な変動要因

費用の変動に最も影響するのは「調査対象の端末台数・拠点数」です。単一拠点で端末数が限られている場合と、全国に複数拠点がある場合では、移動費・対応工数・調整コストが大きく異なります。

次に影響するのは「成果物の形式」です。Excel台帳の提出のみで完了する場合と、ITAM（IT Asset Management）ツールへの登録・連携設定・操作研修まで含む場合では、費用規模が変わります。

3つ目の変動要因は「調査領域の範囲」です。ハードウェアのみの棚卸しと、ソフトウェア・ライセンス・契約・データを含む全領域の調査では、作業工数と専門知識の要求水準が異なります。

費用の妥当性を判断するには、見積もり時に「工数内訳（現地作業・ツールスキャン・台帳整備・報告書作成の各時間配分）」を明示するよう求めることを推奨します。工数の大半が現地作業（移動・手作業）に集中している場合は、ツール活用の比率が低く、網羅性の観点でリスクになります。

棚卸し結果を刷新計画につなげる読み取り方

台帳が納品されたあと、「データを見ても次のアクションが見えない」という状況に陥ることがあります。棚卸し結果を活用するには、3つの軸で資産を読み解き、そのままDX推進・予算計画・セキュリティ対策の入力データとして使えるように整理することが大切です。

老朽化資産の可視化——保守切れ・EOS対応の優先順位づけ

導入から5年以上経過したサーバー・ネットワーク機器や、EOS（End of Support・サポート終了）に達したOSが稼働中の場合、セキュリティパッチが提供されない状態で本番運用していることになります。棚卸し台帳を「購入年月順」「保守終了日順」でソートすると、翌年度の更新優先度が見えます。

IPA「DX動向2025」（2025年公表、日米独比較）では、DXを推進する企業が直面する課題の一つとして、既存システムの可視化不足が挙げられています。レガシー資産の現状把握は、DX推進の前提条件として位置づけられています。

重複・余剰資産の削減——コスト最適化の根拠をつくる

ライセンス棚卸しで「購入ライセンス数と実使用ライセンス数の差」を明らかにすると、過剰購入分の削減交渉や、翌年度の調達数見直しに活用できます。SaaS契約では特に「退職者アカウントの残存」「部門独自で契約したサービスの本社未把握」が余剰費用の発生源になります。

複数部門・複数拠点で同じ用途の別製品を個別に契約しているケースも、棚卸しによって初めて可視化されます。重複契約を一本化・集中管理することで、ボリュームディスカウントの適用やサポート窓口の一元化が期待できます。

未把握リソースの管理組み込み——シャドーITの整理

情報システム部門が把握していないクラウドサービスやデバイス（シャドーIT）は、セキュリティポリシーの管理対象外となります。棚卸しで検出された未把握リソースは、「継続使用する場合は正式に管理台帳へ登録」「廃止する場合は手続きを経て削除」のどちらかを速やかに決定します。

未把握リソースをそのまま放置すると、次回棚卸し時に再び「把握漏れ」として同じ問題が繰り返されます。定期棚卸しの頻度（年1回・半年1回）と申請フローを整備することで、台帳の鮮度を維持できます。

外注を失敗しやすいパターン3つと防止策

IT資産棚卸しの外注では、事前の確認不足が後工程のコスト・手戻りに直結します。実務上よく見られる失敗パターンを3つ整理し、それぞれの防止策を示します。

失敗1：調査範囲未確定のまま発注——後から「含まれていなかった」が発生

「IT資産を全部洗い出してほしい」という依頼では、外注先が「ハードウェアのみ」と解釈して対応する場合があります。クラウドSaaSやライセンス管理が対象に含まれているかどうかは、依頼者が明文化しなければ認識の齟齬が生じます。

防止策は、ステップ1で整理したとおり「調査対象の5領域のうちどれを含めるか」をRFPに明記し、契約書・仕様書に反映させることです。後から追加範囲を依頼する場合は、追加費用と追加期間の見積もりを事前に取得してから承認する手順を社内で決めておきましょう。

失敗2：NDAと情報持ち出し制限の確認不足——情報漏えいリスク

IT資産棚卸しでは、自社のサーバー構成・ライセンス保有状況・データ保管場所など、競争上の機密情報が外注先に開示されます。NDA（秘密保持契約）を締結するだけでなく、外注先担当者が作業中に持ち込む端末・USB・クラウドストレージへの情報持ち出し制限が設けられているかを確認する必要があります。

「NDAは結んだがデータの取り扱い規程が不明確だった」「作業担当者が個人端末で資産データをコピーしていた」といったリスクは、選定時の体制確認と契約書での明文化によって低減できます。

失敗3：台帳を受け取ったあと活用されない——「棚卸しで終わる」パターン

外注によって台帳が整備されても、受け取り後の活用方針が決まっていないと、ファイルサーバーに保存されたまま更新されない資産になります。棚卸しの最終目的が「DX推進のための現状把握」であれば、台帳納品後に「誰がどの頻度で更新するか」「どの意思決定（予算計画・刷新計画）に使うか」を事前に設計しておく必要があります。

外注先との契約に「納品後のレビュー会議（棚卸し結果の読み解きセッション）」を含めると、受け取り側の担当者が台帳の読み方・活用方法を理解した状態で引き渡しを受けられます。

まとめ——IT資産棚卸し外注の3つの判断軸

本稿では、IT資産の棚卸しを外注する際の進め方として、調査範囲の設定から依頼・実施・台帳活用までを整理しました。要点を3つの判断軸に集約すると次のとおりです。

第一に、「目的と範囲の先行確定」。棚卸しの目的（DX推進・コスト最適化・セキュリティ対応のいずれか）と調査対象の5領域（ハードウェア・ソフトウェア・ライセンス・契約・データ）を外注先への発注前に社内で合意しておくことが、費用・品質・期間のすべてに影響します。

第二に、「外注先の3点確認」。同業種・同規模の棚卸し実績、自動スキャンツールの保有状況、そして情報管理体制（NDA・持ち出し制限・担当者教育）を選定基準にすると、後工程のリスクを事前に抑えることができます。

第三に、「台帳を刷新計画の入力データとして設計する」。台帳は完成したら終わりではなく、老朽化資産・重複コスト・未把握リソースの3軸で読み解き、DXロードマップや次年度予算計画に直結させることが外注投資を回収する道筋になります。

よくある質問

IT資産の棚卸しはどのくらいの期間で完了しますか？

調査対象の規模・領域・拠点数によって異なりますが、単一拠点かつハードウェアのみを対象とする場合は数週間程度で完了することもあります。ソフトウェア・ライセンス・契約を含む全領域かつ複数拠点にまたがる場合は、数か月を要するケースも見られます。社内の調整工数（担当者不在・システムアクセス権限の取得待ちなど）が期間を左右するため、外注先との契約前に「社内で用意する情報・権限の準備リスト」を確認しておくと期間短縮につながります。

IT資産の棚卸しを外注する際に秘密保持契約（NDA）は必須ですか？

必須と考えてください。棚卸し作業では自社のサーバー構成・ライセンス保有状況・データ保管場所など、経営上の機密情報が外注先に開示されます。NDAの締結に加えて、作業担当者が持ち込む端末の制限・クラウドへのデータ持ち出し禁止・作業完了後のデータ廃棄手続きを契約書に明記することを推奨します。外注先候補の選定段階で情報管理体制を確認する際に、担当者のセキュリティ教育実施状況も合わせて確認するとよいでしょう。

棚卸し後にITAMツールを導入すべきですか？

棚卸し後の資産台帳をExcelで管理し続けるか、ITAM（IT Asset Management）ツールで管理するかは、資産の規模・更新頻度・IT担当者のリソースによって判断が分かれます。端末台数が多く定期的に変動がある環境では、手動更新のExcel台帳は陳腐化しやすく、ITAMツールによる自動スキャン・更新が台帳品質の維持に有効です。一方で、小規模組織でITAMツールの導入・運用コストが見合わない場合は、更新ルールを明確化したExcel台帳と定期棚卸しの運用で対応することも選択肢になります。

IT資産の棚卸しはどの頻度で実施するのが適切ですか？

業種・規模・資産の変動頻度によって異なりますが、年1回以上の棚卸しを実施し、購入・廃棄・契約変更のたびに台帳を更新するフローを設けることが基本的な考え方です。IPA「中小企業の情報セキュリティ対策ガイドライン第4.0版」でも資産管理台帳の整備が情報セキュリティ対策の基礎として位置づけられており、定期的な棚卸しと台帳の鮮度維持が推奨されています。外注で初回の台帳を作成した後は、継続的な更新フローを社内で構築することで、次回の棚卸しコストを抑えることができます。

IT資産の棚卸しを外注する前に社内で用意しておくべきものは何ですか？

外注先がスムーズに作業を進めるために、以下を事前に整理しておくと期間短縮と費用抑制につながります。まず、既存の資産台帳・購入記録・契約書の保管場所と形式を確認してください。次に、調査対象の拠点一覧・各拠点の担当者・機器へのアクセス権限を整理します。そして、棚卸しの目的と優先領域（ハードウェアを優先するか、ライセンスを優先するかなど）を社内で合意しておきましょう。この3点が整っていると、外注先への依頼精度が上がり、見積もり内容の比較もしやすくなります。

著者：テレリモ総研編集部　鈴木 亮佑

---

ご不明な点はお問い合わせフォームからもご連絡いただけます。

1. *1　出典：IPA（独立行政法人情報処理推進機構）「中小企業の情報セキュリティ対策ガイドライン第4.0版」（2026年）
2. *2　出典：IPA（独立行政法人情報処理推進機構）「DX動向2025」（2025年）