IPO準備のIT資産管理・SaaS棚卸し|台帳整備・ライセンスコンプライアンス・シャドーIT排除
IT資産管理はIPO審査の基礎資料
IT資産管理は、内部統制のアクセス管理・外部委託管理の前提となる基礎的な統制活動です。監査法人の内部統制監査では、IT資産台帳とその運用状況が必ず確認されます。
不備があれば、アクセス管理の妥当性を証明できず、統制不備(重要な欠陥)として上場スケジュールに直接影響します。IPO準備企業にとって、IT資産管理の仕組み化は避けて通れない領域です。
IT資産管理で対象とする範囲
IPO準備で管理すべきIT資産は以下の5カテゴリです。
| カテゴリ | 具体例 | 管理項目 |
|---|---|---|
| ハードウェア | PC、スマホ、タブレット、プリンタ | 製造番号、利用者、配備場所、購入日、廃棄記録 |
| ソフトウェアライセンス | Office、Adobe、OS、業務アプリ | ライセンス数、有効期限、利用者、契約書 |
| SaaS・クラウドサービス | M365、GWS、Salesforce、Slack | 契約者、管理者、利用者数、データ保存場所 |
| ネットワーク機器 | ルーター、スイッチ、無線AP、FW | 設置場所、管理者、保守契約 |
| データ資産 | 顧客DB、従業員情報、知財情報 | 機密レベル、保管場所、アクセス権、保管期間 |
ハードウェア管理の実務
PC・スマホ台帳の整備
全業務端末について以下を台帳化します。
- 製造番号(シリアル番号)
- モデル・仕様
- 利用者(アカウントと紐付け)
- 配備場所(本社・拠点・在宅)
- 購入日・購入金額・会計資産番号
- 保証期限・リース期限
- 廃棄日・廃棄証明書
Excel管理は限界があるため、MDM(Microsoft Intune・Jamf)と資産管理ツール(LanScope・SKYSEA)の組み合わせが標準です。
入退社に伴う管理
- 入社時:端末配備→MDM登録→アカウント発行→利用者登録
- 異動時:端末回収・再配備、権限変更
- 退職時:端末回収→MDMワイプ→台帳反映→廃棄またはリユース
これらすべてが記録されていることが監査で確認されます。人事システム連携で自動化することが推奨されます。
紛失・盗難対応
紛失・盗難発生時の報告・対応プロセスを規程化。MDMでのリモートワイプ、個人情報保護委員会への報告判断、関係者への連絡網を整備します。
ソフトウェアライセンス管理
ライセンスコンプライアンス
保有ライセンス数>実際の利用数であることを証明できる状態を維持します。Microsoft・Adobe・Autodesk等はライセンス監査を実施することがあり、監査時に不足が見つかると追徴課税・罰金の対象となります。
ライセンス管理ツール
- Microsoft 365:管理センターで利用状況確認
- Adobe Creative Cloud:Admin Console
- OS・業務アプリ:Snow Software、Flexera、LanScope
ライセンスの棚卸しサイクル
四半期に1回以上の棚卸しを実施。退職者・利用停止者のライセンスを回収し、余剰ライセンスをコスト削減に回します。
SaaS管理の実務
SaaS台帳の整備
全SaaSについて以下を台帳化します。
| 項目 | 具体例 |
|---|---|
| サービス名 | Slack、Salesforce、HubSpot |
| 契約者・契約部門 | 情シス部、営業部、経理部 |
| 管理者(特権ID) | 氏名・部門 |
| 利用者数・ライセンス種別 | 50名、Pro |
| 月額・年額費用 | 30万円/月 |
| データ保存場所 | 米国、日本 |
| SOC2取得状況 | Type II取得済 |
| ISMS取得状況 | 取得済 |
| 契約開始日・更新日 | 2024/4/1、2026/3/31 |
| データ機密レベル | 機密・社外秘・公開 |
シャドーSaaSの排除
承認されていないSaaSの利用(シャドーSaaS)は、情報漏えい・コンプライアンス違反の温床です。以下の手段で排除します。
- 経費精算・クレジットカード明細とSaaS台帳を突合
- CASB(Microsoft Defender for Cloud Apps等)でネットワーク経由のSaaS利用を可視化
- SaaS管理ツール(Joseys、Zylo等)で全社利用状況を一元把握
- 社内ルールで個人カード決済のSaaS契約を禁止
SaaS別のアクセス権レビュー
全SaaSで、四半期または半期ごとにアクセス権レビューを実施。「その利用者は本当にそのSaaSにアクセスする必要があるか」「権限レベルは適切か」を部門長が確認し、不要な権限は削除します。
データ資産の分類と管理
情報分類ポリシーを策定し、データを機密度別に分類します。
- 極秘(Restricted):開示すると事業存続に影響する情報(M&A情報、暗号鍵)
- 秘(Confidential):限定公開の機密情報(顧客情報、人事情報、財務情報)
- 社外秘(Internal):社内関係者のみアクセス可能
- 公開(Public):外部公開可能
Microsoft Purview・Google Workspace DLPで機密レベルに応じた保護(暗号化・外部共有禁止・ダウンロード禁止等)を自動適用します。
アカウントライフサイクルの自動化
従業員入退社プロセス
人事システム(SmartHR、カオナビ、勘定奉行等)とIDaaS(Entra ID、Okta)を連携し、以下を自動化します。
- 入社:人事登録→IDaaS自動プロビジョニング→SSO連携先SaaSも自動発行
- 異動:所属変更→SaaSグループ自動更新
- 退職:人事退職登録→IDaaS即時無効化→連携SaaSも停止
手動プロセスのままだと、退職者アカウントの削除漏れが必発し、内部統制不備となります。
退職時のチェックリスト
- IDaaSアカウント無効化
- 連携SaaSアカウント削除または無効化
- MDM登録端末ワイプ・回収
- メールボックスの関係者引き継ぎ
- Teams/Slack等のチャット履歴エクスポート判断
- 共有フォルダ・ファイル権限削除
- 物理入退室カード返却・無効化
- 端末台帳・資産台帳への反映
監査対応で求められるエビデンス
監査法人の内部統制監査では、IT資産管理について以下のエビデンスが求められます。
- IT資産台帳(現時点・期首時点の版)
- 入社・退社時のアカウント発行・削除記録(サンプリング対象期間分)
- 四半期アクセス権レビューの実施記録・承認記録
- ライセンス棚卸し結果
- SaaS利用状況レポート
- 特権ID利用ログ
「台帳はあるがメンテナンスされていない」「レビューは実施したが記録がない」状態だと不備指摘されます。運用と記録をセットで仕組み化する必要があります。
情シスアウトソーシングの活用
IT資産管理の仕組み化・運用は外部委託が可能です。
- 初期棚卸し(PC・SaaS一斉棚卸し)
- MDM・IDaaS・SaaS管理ツール導入
- アカウントライフサイクル自動化設計
- 四半期アクセス権レビュー代行
- ライセンス棚卸し代行
- 監査エビデンス整備
情シス365エンタープライズでは、IPO準備企業向けにIT資産管理の設計・運用代行を提供しています。詳細はエンタープライズプランをご覧ください。
まとめ
IT資産管理は、PC・ライセンス・SaaS・データを網羅的に台帳化し、入退社プロセスと連動させて運用する仕組みを構築することが本質です。シャドーITを排除し、四半期レビューを仕組み化することで、内部統制監査にも耐えうる統制体制が整います。
手動運用では限界があるため、MDM・IDaaS・SaaS管理ツール・DLPの組み合わせで自動化することが現実的な解です。