【保存版】30名・50名・100名規模別 ― 情シス業務の標準化リスト
「他の会社の情シスは何をやっているのか?」「うちの規模だと、どこまでやれば及第点なのか?」――中小企業の情シス担当者にとって、これは切実な疑問です。
大企業向けのIT管理フレームワークは存在しますが、30名の会社にISO 27001の完全準拠を求めるのは非現実的です。一方で「何もやっていません」では、一度のインシデントで会社の存続に関わります。
この記事では、30名・50名・100名の3つの規模を想定し、「最低限やるべきこと」「できればやるべきこと」「将来的に取り組むべきこと」を領域別に整理します。自社の現状と照らし合わせて、抜け漏れの確認にお使いください。
全規模共通:情シス業務の8つの領域
情シスの業務は、以下の8つの領域に大別できます。
- アカウント・ID管理 ― ユーザーアカウントの作成・変更・削除、権限管理
- デバイス管理 ― PC・スマートフォンの調達、キッティング、運用、廃棄
- ネットワーク管理 ― 社内LAN、Wi-Fi、VPN、インターネット回線
- セキュリティ管理 ― ウイルス対策、パッチ管理、アクセス制御、インシデント対応
- クラウドサービス管理 ― Microsoft 365 / Google Workspace、各種SaaSの管理
- データ管理・バックアップ ― ファイルサーバー、クラウドストレージ、バックアップ
- ヘルプデスク ― 社員からの問い合わせ対応
- IT戦略・企画 ― DX推進、新規ツール導入、IT予算策定
30名規模の情シス業務標準化リスト
体制の前提: ゼロ情シス(兼任)〜ひとり情シス。IT専任者がいない場合も多い。
1. アカウント・ID管理
必須:
- 入社時:Microsoft 365 / Google Workspaceアカウントの作成手順を文書化する
- 退職時:アカウント無効化を退職日当日に実施する(放置は絶対NG)
- 全アカウントでMFA(多要素認証)を有効化する
- 管理者アカウントは個人アカウントと分離する(admin@社名.co.jp等)
推奨:
- 入退社手続きチェックリストを作成する(人事と連携)
- パスワードポリシーを設定する(最低12文字、辞書語禁止)
2. デバイス管理
必須:
- PC台帳を作成する(最低限:管理番号、利用者、シリアル番号、購入日)
- OSはWindows 11 Pro以上を標準とする
- BitLockerを全PCで有効化し、回復キーをEntra IDまたは安全な場所に保管する
推奨:
- 標準PCスペックを定義する
- 退職時のPC回収フローを文書化する
3. ネットワーク管理
必須:
- Wi-Fiパスワードを定期変更する(最低年1回、退職者が出たタイミング)
- ルーターのファームウェアを最新に保つ
- ゲスト用Wi-Fiを社内ネットワークから分離する
推奨:
- ネットワーク構成図を作成する(簡易的でOK)
4. セキュリティ管理
必須:
- MFA(多要素認証)の全社適用(最重要施策)
- Windows Updateの適用確認(月1回以上)
- ウイルス対策の有効化確認(Microsoft Defenderで十分)
推奨:
- フィッシングメールの注意喚起を四半期に1回実施する
- USBメモリの使用ルールを決める
5. クラウドサービス管理
必須:
- 利用中のSaaS一覧を作成する(サービス名、管理者、契約情報)
- 退職時に全SaaSのアカウント削除・権限剥奪を実施する
推奨:
- SaaSの契約更新日カレンダーを作成する
6. データ管理・バックアップ
必須:
- 重要データの保管場所を決める(SharePoint / OneDrive / Google Drive)
- ローカルPCにしかないデータを許容しないルールを設ける
推奨:
- Microsoft 365のデータバックアップ方針を決める
7. ヘルプデスク
必須:
- 問い合わせ窓口を決める(メール、Teamsチャネルなど)
推奨:
- よくある質問(FAQ)を3〜5件まとめる
8. IT戦略・企画
この規模では不要。 日常運用の安定化を最優先にしてください。
50名規模の情シス業務標準化リスト
体制の前提: ひとり情シス(専任または兼任)。外部パートナーの活用を検討すべき規模。
1. アカウント・ID管理
30名規模の項目に加えて:
必須:
- セルフサービスパスワードリセット(SSPR)を導入する
- 入退社手続きをチェックリスト化し、人事・総務と連携フローを確立する
- 共有アカウントの利用を禁止し、個人アカウントに統一する
- 管理者権限を持つユーザーを最小限(2〜3名)に制限する
推奨:
- Entra IDの条件付きアクセスを設定する(管理者アカウントに追加認証を要求)
- グループベースのアクセス管理を導入する(部署ごとのセキュリティグループ)
2. デバイス管理
必須:
- IntuneまたはMDMを導入し、デバイスのポリシー管理を開始する
- Windows Autopilot(またはABM)によるキッティング自動化を導入する
- BitLocker回復キーをEntra IDに自動保管する設定を行う
- PC更新サイクル(3〜5年)を定義する
推奨:
- IT資産管理ツール(LANSCOPEクラウド版等)の導入を検討する
- 予備機を2〜3台確保する
3. ネットワーク管理
必須:
- ネットワーク構成図を作成・維持する
- VPN環境を整備する(テレワーク対応)
- ゲストネットワークを物理的またはVLANで分離する
推奨:
- UTM(統合脅威管理)の導入を検討する
- ネットワーク機器の管理台帳を作成する
4. セキュリティ管理
必須:
- Microsoft 365 Business Premiumにアップグレードし、以下を有効化する:Defender for Business(EDR)、条件付きアクセス、Intuneコンプライアンスポリシー
- Windowsパッチの自動適用(Intune更新リング)を設定する
- メールセキュリティポリシー(安全なリンク、安全な添付ファイル)を設定する
推奨:
- セキュリティインシデント対応手順書を作成する
- 年1回のセキュリティ研修を実施する
- 外部からのセキュリティ診断を受ける
5. クラウドサービス管理
必須:
- SaaS台帳を作成し、契約情報・管理者・費用を一元管理する
- シャドーIT(無許可のSaaS利用)のルールを策定する
- Microsoft 365の監査ログを有効化する
推奨:
- SaaSの利用状況を四半期に1回レビューする(使われていないライセンスの整理)
6. データ管理・バックアップ
必須:
- ファイル保管のルールを策定する(SharePoint = 部門共有、OneDrive = 個人作業)
- Microsoft 365のデータに対するサードパーティバックアップの導入を検討する
- 退職者データの保管・削除ポリシーを決める
推奨:
- DLP(データ損失防止)ポリシーの基本設定を行う
7. ヘルプデスク
必須:
- 問い合わせ窓口を一本化する(Microsoft Formsの問い合わせフォーム推奨)
- FAQ文書をSharePointに作成・公開する(最低10件)
- 対応履歴を記録する仕組みを作る
推奨:
- 問い合わせの傾向分析を四半期に1回実施する
8. IT戦略・企画
推奨:
- 年間IT予算を策定する
- 3年間のIT投資計画(ロードマップ)を作成する
100名規模の情シス業務標準化リスト
体制の前提: 情シス専任1〜2名 + 外部パートナー。組織的なIT管理が求められる規模。
1. アカウント・ID管理
50名規模の項目に加えて:
必須:
- アカウントのライフサイクル管理を自動化する(入社→作成、異動→権限変更、退職→無効化)
- 特権アカウント管理(PIM: Privileged Identity Management)を導入する
- 条件付きアクセスポリシーを本格運用する(デバイス準拠、場所ベース、リスクベース)
- ゲストアカウント(取引先など外部ユーザー)の管理ポリシーを策定する
推奨:
- SSO(シングルサインオン)を主要SaaSに展開する
- ID棚卸しを半期に1回実施する
2. デバイス管理
必須:
- IT資産管理ツールを本格導入する
- Intuneのコンプライアンスポリシーを厳格化する(準拠していない端末からのアクセスをブロック)
- 私物端末(BYOD)の利用ポリシーを策定する
- PC更新計画を年間スケジュールとして策定する
推奨:
- PCのレンタル/リース活用で廃棄・管理工数を削減する
- キッティングの完全自動化(Autopilot + Intune)を達成する
3. ネットワーク管理
必須:
- ネットワークのセグメント分離を実施する(業務用/来客用/IoT用)
- VPN接続ログの監視を開始する
- UTMまたはSASEの導入を完了する
推奨:
- ネットワーク監視ツールの導入(死活監視、帯域監視)
- SD-WAN / SASEの検討(複数拠点がある場合)
4. セキュリティ管理
必須:
- セキュリティポリシー文書を策定・社内公開する
- インシデント対応計画(IRP)を策定する
- EDR(Defender for Business)のアラート監視体制を構築する
- 外部セキュリティ診断を年1回以上受ける
- 従業員向けセキュリティ教育を年2回以上実施する
- バックアップからの復旧テストを年1回実施する
推奨:
- SOC(セキュリティ監視)サービスの外部委託を検討する
- Microsoft 365 E3 / E5へのアップグレードを検討する
- ゼロトラストアーキテクチャの段階的導入を開始する
5. クラウドサービス管理
必須:
- SaaS台帳と費用の一元管理を徹底する
- Microsoft 365の監査ログを長期保存する(180日→必要に応じてアーカイブ)
- DLP(データ損失防止)ポリシーを本格運用する
- シャドーITの検出と対応フローを確立する
推奨:
- CASB(Cloud Access Security Broker)の導入を検討する
- SaaSの利用状況レポートを月次で作成する
6. データ管理・バックアップ
必須:
- Microsoft 365データのサードパーティバックアップを導入する
- データ分類ポリシー(機密、社外秘、一般)を策定する
- 退職者データの保管期間と削除ルールを明文化する
- ランサムウェア対策としてオフラインバックアップ(またはイミュータブルバックアップ)を確保する
推奨:
- 情報保護ラベル(Microsoft Purview Information Protection)の導入
- BCP(事業継続計画)におけるIT復旧手順の策定
7. ヘルプデスク
必須:
- チケット管理システムを導入する(Microsoft Planner、Freshservice等)
- SLA(対応時間の目標)を設定する(例:緊急=4時間以内、通常=翌営業日)
- FAQを定期的に更新する(月1回以上)
- 問い合わせ件数と対応時間の月次レポートを作成する
推奨:
- チャットボットによる一次対応の自動化を検討する
8. IT戦略・企画
必須:
- 年間IT予算を策定し、経営層の承認を得る
- 3年間のIT投資ロードマップを作成する
- IT関連の契約(SaaS、回線、保守)の一元管理と更新計画を立てる
推奨:
- IT委員会(情シス+各部門代表)を設置し、四半期に1回の定例会議を実施する
- IT満足度アンケートを年1回実施する
このリストの使い方
ステップ1: 自社の従業員規模に該当するリストを確認する。
ステップ2:「必須」項目のうち、未対応のものを洗い出す。
ステップ3: 未対応項目に優先順位をつける。セキュリティ(MFA、パッチ管理)は最優先。
ステップ4: 四半期ごとに進捗を確認し、対応済み項目を増やしていく。
すべてを一度に実現する必要はありません。重要なのは、「何ができていて、何ができていないか」を把握し、計画的に対応することです。
情シス365では、この標準化リストに基づいたIT環境のアセスメント(現状評価)を無料で実施しています。「自社の情シス業務がどのレベルにあるのか客観的に知りたい」という方は、無料相談からお申し込みください。