情シスアウトソーシングの比較チェックリスト15項目 ― ベンダー選定で失敗しないための実務ガイド【2026年版】
「情シスアウトソーシングを検討しているが、どのベンダーも似たようなことを言っていて違いが分からない」 ―― 中小企業の経営者・情シス担当者からよく寄せられる相談です。
ホームページや営業資料を見比べても、表面的なメッセージは似ています。実際の違いは契約条件・対応範囲の細部・運用品質に隠れているため、表面比較では見抜けません。
本記事では、情シスアウトソーシングのベンダー選定で確認すべき15項目のチェックリストを、6カテゴリで整理します。RFP(提案依頼書)を作成する際のチェック項目としても使えます。
なぜ15項目チェックが必要なのか
失敗パターン1|「対応範囲」の認識ズレ
「ヘルプデスクは対応します」と聞いていたが、実際にはL1相当のパスワードリセットしか対応してくれず、サーバ・クラウド・ネットワークの実作業は別料金だった、というケース。
失敗パターン2|費用の見え方の違い
月額10万円と月額30万円の見積もりを比べて「安い方」を選んだら、後から作業料・派遣料・機器代が積み上がり、年間総額では30万円側より高くなった、というケース。
失敗パターン3|担当者の質の不揃い
契約時の営業担当は優秀だったが、実際の運用担当者はL1相当のオペレーターで、技術的な相談ができなかったケース。
失敗パターン4|契約縛りで身動き取れない
最低契約期間3年、違約金あり、解約通知6ヶ月前必須、といった条件で、合わないと分かっても切替できないケース。
これらを事前に防ぐのが、15項目チェックの目的です。
カテゴリA|対応範囲(4項目)
項目1|対応範囲の網羅性
確認すべきこと:以下の6領域すべてに対応するか、それとも一部だけか。
- ヘルプデスク(PC/パスワード/アカウント)
- クラウド運用(M365/GWS/業務SaaS)
- ネットワーク(社内LAN/Wi-Fi/VPN/ファイアウォール)
- サーバ運用(オンプレ/IaaS)
- セキュリティ(MFA/EDR/インシデント対応)
- IT資産管理/ライセンス管理
判断基準:6領域すべて月額内に含まれるか、特定領域は別契約/別料金か。「全部対応」と謳いながら個別に契約条件が分かれていないかを確認します。
項目2|L1〜L4の体制
確認すべきこと:問い合わせのレベル別に、どの担当者が対応するのか。
- L1(パスワードリセット等):オペレーター対応
- L2(サーバ/クラウド設定):運用エンジニア対応
- L3(設計/アーキテクチャ):シニアエンジニア対応
- L4(戦略/コンサル):CIO相当が対応
判断基準:L1〜L4のすべてが月額内に含まれているか、L3/L4は別料金(コンサルフィー)か。月額型を謳いながらL3/L4を別契約にしているベンダーは、実質的に範囲が狭いです。
項目3|物理対応(オンサイト)の可否
確認すべきこと:以下のような物理作業に対応するか。
- PC初期セットアップ・キッティング
- ネットワーク機器の設置・配線
- オフィス移転時のIT対応
- 工場・店舗の現地常駐
判断基準:リモート対応のみか、必要時オンサイト派遣が可能か。派遣料は時間単価いくらか。月額に何時間/月のオンサイト対応が含まれるか。
項目4|業務システム連携
確認すべきこと:以下のような業務系システムの運用に対応するか。
- 販売管理/会計(freee/弥生/勘定奉行 等)
- 勤怠管理(KING OF TIME/ジョブカン 等)
- 営業管理(Salesforce/HubSpot 等)
- 業界特化システム(電子カルテ/POS/CAD 等)
判断基準:「インフラだけ」のベンダーか、業務システムの運用支援も含むか。業界特化システムへの対応実績があるか。
カテゴリB|費用・契約条件(3項目)
項目5|料金体系の透明性
確認すべきこと:
- 月額料金が固定か、変動するのか
- 月額に含まれる作業範囲が明文化されているか
- 別料金になる作業項目の単価表があるか
- ライセンス・機器販売の手数料率を開示しているか
判断基準:月額固定+追加分は時間単価で精算型がもっとも透明。「月額+作業料+派遣料+臨時対応費」の積み上げ型はブラックボックス化リスクが高いです。
項目6|契約期間・解約条件
確認すべきこと:
- 最低契約期間は何ヶ月か
- 解約通知期間(◯ヶ月前まで通知)
- 違約金の有無
- 中途解約時の精算条件
判断基準:
- 健全:最低契約期間3〜6ヶ月、解約通知1〜3ヶ月前、違約金なし
- 注意:最低契約期間1年以上、解約通知6ヶ月前、違約金あり
- 危険:最低契約期間3年以上、自動更新条項あり
項目7|成果物・引継ぎ条件
確認すべきこと:
- 運用ドキュメント(構成図/手順書/パスワード一覧)の所有権
- 契約終了時の引継ぎ範囲
- 後継ベンダーへの情報共有義務
- 管理アカウントの返却プロセス
判断基準:契約終了時に、ドキュメント・管理アカウントを所有権ごと引き渡す条項が明記されているか。これがないと、解約時に「ベンダーロックイン」が発生します。
カテゴリC|セキュリティ対応(3項目)
項目8|セキュリティの設計思想
確認すべきこと:セキュリティ強化の提案順序を質問する。
チェック対話例:「弊社のセキュリティを強化したいのですが、何から始めるべきですか?」
- 回答A:「まずUTMの上位機種に入れ替えましょう」 → ハードウェア販売型
- 回答B:「まずMFAを全社員に展開し、次にEDR、その後に条件付きアクセス…」 → クラウド時代の正解
判断基準:ID中心型・多層防御の発想を持っているか。境界防御一辺倒のベンダーは、現代のリスクに対応しきれません。
項目9|MFA・EDR・条件付きアクセスの運用
確認すべきこと:以下のサービスの設計・運用実績があるか。
- MFA(Microsoft Authenticator / FIDO2)
- 条件付きアクセス(Entra ID / Context-Aware Access)
- EDR(Microsoft Defender for Endpoint / CrowdStrike / SentinelOne)
- SSO(Entra ID / Okta)
- DMARC / SPF / DKIM 設定
判断基準:「導入実績◯◯件」「直近12ヶ月での運用案件◯◯件」などの具体的な数字を出せるか。「対応可能」というだけのベンダーは要注意。
項目10|インシデント対応体制
確認すべきこと:
- ランサムウェア・情報漏えい発生時のSLA(一次対応:◯時間以内)
- フォレンジック調査への対応可否
- 警察・JPCERT/CC・個人情報保護委員会への報告支援
- 事業継続計画(BCP)への組み込み
判断基準:インシデント対応のフローを文書で出せるか。「発生したら対応します」という曖昧な回答はNG。
カテゴリD|クラウド対応(2項目)
項目11|M365 / GWS の運用力
確認すべきこと:
- Microsoft 365 / Google Workspace のテナント設計実績
- ライセンス最適化の提案力
- Exchange Online / Gmail のセキュリティ設定
- Intune / Endpoint Manager / MDM の運用
- SharePoint / Drive のガバナンス設計
判断基準:M365/GWS両方に対応するか、片方だけか。「テナント設計から運用まで」一貫対応できるか。M365 Solution Partner / Google Cloud Partner の認定ステータスがあるか。
項目12|IaaS(Azure / AWS / GCP)対応
確認すべきこと:
- Azure / AWS / GCP の運用実績
- IaC(Infrastructure as Code)対応
- クラウド移行(オンプレ → IaaS)の実績
- コスト最適化(リザーブドインスタンス/Savings Plans)
判断基準:3大クラウドのうちどれをカバーしているか。自社のクラウド戦略と一致するかを確認します。
カテゴリE|運用品質(2項目)
項目13|担当者体制と継続性
確認すべきこと:
- 専任担当が付くか(or 都度アサイン制)
- 専任担当の不在時のバックアップ体制
- 担当者の退職・異動時の引継ぎプロセス
- 担当者の経験年数・スキルレベル
判断基準:専任担当+チームバックアップが標準体制になっているか。担当者の退職・異動でナレッジが消える運用はリスクです。
項目14|コミュニケーション窓口とSLA
確認すべきこと:
- 受付チャネル(電話/メール/Slack/Teams/専用ポータル)
- 対応時間帯(平日9〜17時のみ/24/365 等)
- 一次回答SLA(◯時間以内)
- 障害発生時の連絡フロー
- 月次レポートの提供有無と内容
判断基準:
- 健全:Slack/Teams受付、平日9〜18時、一次回答1時間以内、月次レポートあり
- 標準:電話+メール、平日9〜17時、一次回答4時間以内
- 注意:電話のみ、平日9〜17時、SLAなし
カテゴリF|経営支援(1項目)
項目15|CIO機能・経営層支援
確認すべきこと:
- 3〜5年のIT戦略ロードマップ作成
- IT予算の根拠提示・経営層向け資料作成
- 経営会議への出席対応
- M&A/組織変更時のIT統合計画
- DX推進シナリオ・KPI設定
判断基準:保守だけのベンダーか、CIO機能まで月額内で対応するベンダーか。経営層への説明責任を情シス担当者一人で抱える状況を解消できるか。
チェックリスト(15項目まとめ)
| # | カテゴリ | 確認項目 | 健全な水準 |
|---|---|---|---|
| 1 | 対応範囲 | 6領域の網羅性 | ヘルプ/クラウド/ネット/サーバ/セキュリティ/IT資産すべて月額内 |
| 2 | 対応範囲 | L1〜L4体制 | L4まで月額内に含む |
| 3 | 対応範囲 | 物理対応 | リモート+必要時オンサイト派遣可 |
| 4 | 対応範囲 | 業務システム連携 | 主要SaaS+業界特化システム対応 |
| 5 | 費用 | 料金体系 | 月額固定+単価表開示 |
| 6 | 費用 | 契約期間 | 最低3〜6ヶ月、違約金なし |
| 7 | 費用 | 引継ぎ条件 | ドキュメント・アカウント所有権が委託元に帰属 |
| 8 | セキュリティ | 設計思想 | ID中心型・Zero Trust発想 |
| 9 | セキュリティ | MFA/EDR運用 | 直近12ヶ月の具体実績あり |
| 10 | セキュリティ | インシデント対応 | フロー文書化+一次対応SLAあり |
| 11 | クラウド | M365/GWS | テナント設計から運用まで対応 |
| 12 | クラウド | IaaS対応 | Azure/AWS/GCPの運用実績 |
| 13 | 運用 | 担当者体制 | 専任+チームバックアップ |
| 14 | 運用 | 窓口・SLA | Slack/Teams、一次回答1時間以内 |
| 15 | 経営支援 | CIO機能 | IT戦略・経営層報告まで月額内 |
大手SIer系・ハードウェア販売型ベンダーの典型スコア
参考までに、ハードウェア販売型の大手ベンダーが上記15項目で取りやすい典型スコアを示します。
| カテゴリ | 健全水準到達 |
|---|---|
| 対応範囲 | △(インフラ中心、クラウド・業務システム弱め) |
| 費用 | ✕(積み上げ型、ブラックボックス化) |
| セキュリティ | ✕(UTM中心、ID中心型は弱い) |
| クラウド | ✕(オンプレ前提、M365/GWSは外注) |
| 運用 | △(電話中心、SLA曖昧) |
| 経営支援 | ✕(保守のみ、戦略は別契約) |
クラウド特化型の情シス代行ベンダーは、上記カテゴリで〇に近い水準を目指して設計されています。
RFP(提案依頼書)に含めるべき質問
15項目を踏まえて、RFPには以下を必ず含めましょう。
- 対応範囲一覧(含む/別料金/対象外を明示)
- 直近12ヶ月の対応実績(件数/内容/SLA達成率)
- 担当者プロフィール(経験年数/資格/配属体制)
- 月次レポートのサンプル
- インシデント対応フローの文書
- 契約終了時の引継ぎ計画
- M365 / GWS 設計実績(具体的な企業数・規模)
- ID中心型セキュリティの導入実績
- 単価表(時間単価・作業単価・機器販売手数料率)
- 経営層向け資料のサンプル
このレベルの情報を出してくれるベンダーは、運用品質も透明性も高いです。逆に、出してくれないベンダーは契約後にトラブル化するリスクが高いと判断できます。
まとめ:15項目で「見えない違い」を見える化する
情シスアウトソーシングのベンダー選定は、営業資料の表面比較では失敗します。15項目チェックを使うと、ベンダーごとの構造的な違いが浮き彫りになります。
特に重要なのは以下の5項目で、ここで「△」「✕」が並ぶベンダーは、契約後の不満につながる可能性が高いです。
- 項目5(料金体系の透明性)
- 項目8(セキュリティ設計思想)
- 項目11(M365/GWS運用力)
- 項目14(窓口・SLA)
- 項目15(CIO機能)
情シス365では、上記15項目を健全水準で満たす運用モデルを月額18〜60万円で提供しています。RFPの作成支援や、現契約の15項目セルフ診断も無料相談で対応しています。