「社内にどんなPCやソフトウェアがあるのか、正直なところ全部把握できていない」——そう感じている情シス担当者の方は少なくないと思います。
特に中小企業では、部署ごとに勝手にソフトをインストールしたり、退職者のアカウントがそのまま残っていたり、古いOSのPCが業務で使われ続けていたりすることが珍しくありません。
問題は、その「見えていない資産」こそが攻撃者に狙われるという点です。パッチが当たっていないPC、誰も管理していないクラウドアカウント、廃止されたはずのソフトウェア——こうした「管理の盲点」が、実際のサイバー攻撃の入口になっています。
この記事では、IT資産管理の基本的な考え方から、情シス1人でも今日から始められる棚卸し手順、無料で使える管理ツールの選び方まで、現場で使えるレベルで解説します。
IT資産管理とは?なぜ今すぐ始める必要があるのか
IT資産管理(ITAM: IT Asset Management)とは、組織が保有するPC・サーバー・ソフトウェア・クラウドサービス・ネットワーク機器などのIT資産を一元的に把握・管理するプロセスです。
セキュリティの観点から見ると、「何が社内にあるかわからない状態」は致命的です。守れるのは「把握している資産」だけだからです。
NIST(米国国立標準技術研究所)が公開しているサイバーセキュリティフレームワーク(CSF)でも、「識別(Identify)」フェーズの最初の項目として資産管理が位置づけられています。つまり、資産管理はすべてのセキュリティ対策の出発点です。
中小企業でIT資産管理が後回しになりがちな理由はよく理解できます。専任担当者がいない、専用ツールを導入する予算がない、「だいたいわかっている」という感覚的な認識——こういった事情が重なります。しかし現実には、その「だいたい」の中に攻撃の足がかりが潜んでいます。
JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)が公開している国内インシデント事例でも、「管理対象外の端末が侵入経路になった」というケースが繰り返し報告されています。
管理できていない資産が生む3つのセキュリティリスク
1. パッチ適用漏れ——「存在を忘れていたPC」が侵入口に
WindowsやLinux、各種ソフトウェアのセキュリティパッチは定期的にリリースされます。しかし資産が把握できていないと、更新対象のPCを漏らしてしまいます。
2017年に世界規模で猛威をふるったランサムウェア「WannaCry」は、パッチが配布済みだったにもかかわらず、適用されていない端末を次々と感染させました。現在でも同様のパターンの攻撃は後を絶ちません。
「倉庫で眠っているPC」「来客用に使っているノートPC」「工場のライン管理用の古いPC」——こういった端末が日常的なパッチ管理の網から外れていることが多いです。
2. シャドーIT——情シスが知らないデバイスとサービス
シャドーITとは、情シスに申請・承認されていないデバイスやクラウドサービスを業務に使っている状態です。個人スマートフォンで会社のメールを受信する、Google DriveやDropboxに業務データを保存する、部署独自でSaaSを契約する——こういった行為は悪意なく行われることがほとんどですが、セキュリティ管理の外に業務データが流れ出す原因になります。
資産管理が不完全だと、シャドーITの存在を把握することもできません。把握できなければ対策も取れません。
3. 退職者・異動者のアカウント放置——使われていない鍵が増え続ける
社員が退職または部署異動するたびに、適切なアカウント無効化処理が行われているでしょうか。メールアカウント、VPNアクセス権、クラウドサービスのID、社内システムのアカウント——これらが適切に削除・無効化されずに残っていると、元従業員や攻撃者に悪用されるリスクがあります。
中小企業でのアカウント放置は思いのほか多く、IPA(情報処理推進機構)の調査でも、内部不正の入口の一つとして指摘されています。人事部門と情シスが連携できていないと、退職の情報が情シスに届かないまま何ヶ月も経過するケースがあります。
IT資産の棚卸し手順——3つの分類で整理する
資産管理を始める際に「すべてを一度に完璧に把握しようとして挫折する」パターンはよくあります。まず3つのカテゴリに分けて、順番に棚卸しするのがおすすめです。
1. ハードウェア資産——PC・サーバー・ネットワーク機器
最初に把握すべきは物理的な機器です。以下の情報を記録します。
・機器の種類: デスクトップPC、ノートPC、サーバー、ルーター、スイッチ、NAS、プリンター等
・管理番号・シリアル番号: 機器を一意に識別するためのID
・OS・バージョン: Windows 11 23H2、RHEL 9.3 などできる限り詳細に
・利用者・設置場所: 誰がどこで使っているか
・ネットワーク接続情報: MACアドレス・IPアドレス(固定の場合)
・保証期限・リース終了日: 更新タイミングの管理に必要
ハードウェアの棚卸しには、ネットワークスキャンツールを活用するのが効率的です。後述する無料ツールも活用してください。
棚卸しの際は「電源が入っていない機器」にも注意が必要です。倉庫や会議室に眠っているPCは、いざ誰かが使い始めたときに古いOSのまま起動する可能性があります。「使っていないPC」も台帳に記録しておきましょう。
2. ソフトウェア・ライセンス資産
インストールされているソフトウェアを一覧化します。ここでのポイントは「ライセンス数と実使用数の突合」と「サポート終了日の把握」の2点です。
・ソフトウェア名・バージョン: OS、Office、ブラウザ、業務ソフト等
・ライセンス数・種類: ボリュームライセンス、サブスクリプション、フリーソフト等
・インストール端末: どのPCに入っているか
・サポート終了日(EOS): End of Supportの把握は最重要
・更新・パッチ状況: 最新バージョンかどうか
特に注意が必要なのは、サポートが切れたソフトウェアです。メーカーのサポートが終了したソフトは、脆弱性が発見されても修正パッチが提供されません。棚卸し時に「いつサポートが切れるか」を必ず確認してください。
なお、Windows 10のMicrosoftサポートは2025年10月14日に終了しています。まだWindows 10を使っているPCがある場合は、早急に移行計画を立てる必要があります。
3. クラウドサービス・アカウント資産
クラウドサービスの管理は、特に中小企業で見落とされがちです。
・利用中のSaaS・クラウドサービス: Microsoft 365、Google Workspace、Slack、kintone、Zoom等
・アカウント数・権限レベル: 管理者アカウントの数は必要最小限に
・支払い情報の管理者: クレジットカード情報を持つアカウントを明確化
・MFA(多要素認証)の有効状況: 全アカウントに適用されているか
・在職者のみ使用しているか: 退職者のアカウントが残っていないか
クラウドサービスは「気づいたら使われていない状態で課金が続いている」ケースも多いため、コスト削減の観点からも棚卸しは有効です。
資産管理ツールの選び方——無料から始める
予算が限られている中小企業でも使える選択肢を紹介します。
まずはExcelスプレッドシートから始める
高機能ツールの導入に腰が重い場合は、まずExcelやGoogleスプレッドシートで始めてしまうことを推奨します。完璧な管理より「存在する資産を把握した状態を作ること」が最初は重要です。
以下の列を持つシートを作るだけでも十分な効果があります。
# IT資産台帳 — 推奨列構成(最小構成) 管理番号 | 種別 | 名称/型番 | OS/バージョン | 利用者 | 設置場所 | EOS日 | 状態 | 備考 # 記入例(ハードウェア) M001 | ノートPC | Dell Latitude 5520 | Windows 11 Home 23H2 | 田中花子 | 営業部 | 2031-10 | 使用中 | - M002 | デスクトップ | HP ProDesk 400 G9 | Windows 10 Pro 22H2 | - | 会議室 | 2025-10 | 要更新 | 即時更新要 # 記入例(ソフトウェア) S001 | Office | Microsoft 365 Business Standard | - | 全員15ライセンス | - | サブスク | 使用中 | 月額契約 S002 | OS | Windows 10 Pro 22H2 | - | M002 | - | 2025-10 | 要更新 | EOS済 # 記入例(クラウド) C001 | SaaS | Slack Pro | - | 全社 | - | - | 使用中 | MFA設定済 C002 | SaaS | Zoom Business | - | 全社 | - | - | 使用中 | 管理者:山田一郎
OCS Inventory(オープンソース・無料)
OCS Inventoryは、ネットワーク内のデバイスを自動スキャンしてソフトウェア・ハードウェア情報を収集するオープンソースツールです。エージェントを各PCにインストールし、管理サーバーに情報を集約します。
導入のハードルはやや高めですが、一度構築すれば自動で資産情報が更新され続けるため、中長期的なメンテナンスコストは低くなります。Linuxサーバーやコンテナ上に管理サーバーを立ち上げられるエンジニアがいる環境に向いています。
Linuxサーバーの設定については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
Snipe-IT(オープンソース・無料)
Snipe-ITは、Webベースの資産管理システムです。ハードウェア・ソフトウェアのライセンス管理に特化しており、GUIが直感的でわかりやすく、IT専任者でなくても操作できます。セルフホスト版は無料で全機能が使えます。チェックイン・チェックアウト機能で「誰がどの機器を使っているか」をリアルタイムに追跡することも可能です。
ネットワークスキャンによる自動探索
ネットワークに接続されているデバイスを自動で発見する方法として、以下のコマンドが手軽に使えます。
# nmapを使ってローカルネットワーク内のデバイスを探索する例 # ※ネットワーク管理者の承認を得た環境でのみ実行すること # ※不正アクセス禁止法に抵触しないよう、自社管理のネットワークに限定すること # 基本スキャン(IPアドレスとOS推定) sudo nmap -sS -O 192.168.1.0/24 # MACアドレスも含めて確認 sudo nmap -sn 192.168.1.0/24 # 例: 192.168.1.x で応答したデバイスのIPとMACが一覧表示される # 開いているポートも確認したい場合 sudo nmap -sV 192.168.1.0/24
中小企業でも今日からできる3つのアクション
IT資産管理を「完璧にやろう」と思うと何も始まりません。まずは以下の3つだけを今週中に実施してください。
アクション1: 社内PCの台数を物理的に数える
今すぐ社内を歩き回って、業務に使われているPC(デスクトップ・ノート含む)の台数と設置場所をメモするだけでOKです。電源が入っていない機器も対象に含めます。目標は「何台あるか把握する」だけです。
アクション2: サポート終了が近いOSを1台でも特定する
Windowsの場合、[スタート]→[設定]→[システム]→[バージョン情報]でOSバージョンが確認できます。Windows 10はサポートが2025年10月に終了しています。1台でもWindows 10が残っていたら、そのPCが今日の優先対応対象です。
アクション3: 直近の退職者アカウントを1件確認する
直近1年間の退職者リストを1件取り上げ、Active Directory(またはMicrosoft 365管理センター)でそのアカウントが無効化・削除されているか確認します。残っていた場合は即時無効化します。これを習慣化するだけでも大きなリスク軽減になります。
よくある誤解と注意点
【誤解1】「うちは小さな会社だから狙われない」
「うちは小さい会社だから、サイバー攻撃の標的にならない」という考え方は危険です。近年の攻撃者は大企業だけでなく、中小企業のサプライチェーンを経由して大企業に侵入しようとします。むしろ「セキュリティが手薄な中小企業」は、大企業への踏み台として積極的に狙われます。
IPA「情報セキュリティ10大脅威 2026」でも、サプライチェーン攻撃は引き続き上位に挙げられています。
【誤解2】「ウイルス対策ソフトが入っていれば十分」
ウイルス対策ソフトは重要なツールの一つですが、それだけでは不十分です。パッチが当たっていない端末、強度不足のパスワード、多要素認証が設定されていないアカウント——こういった状態では、マルウェアを使わない攻撃(不正ログイン、フィッシングによる認証情報奪取)に対して無防備です。
資産管理→パッチ管理→アクセス管理という一連の流れで初めて、対策の土台が整います。
【注意】資産台帳自体のアクセス管理も必要
IT資産台帳には「誰がどのPCを使っているか」「誰のアカウントか」という個人情報が含まれます。台帳自体のアクセス権限管理(情シス担当者のみ参照可能にする等)も忘れずに行ってください。特にクラウドストレージに保存する場合は、外部共有リンクの設定に注意が必要です。
本記事のまとめ
IT資産管理の要点を整理します。
| 分類 | 把握すべき主な項目 | 優先度 |
|---|---|---|
| ハードウェア | PC台数・OS・設置場所・利用者・保証期限 | 高(まず着手) |
| ソフトウェア | バージョン・ライセンス数・サポート終了日 | 高(EOS端末の特定が急務) |
| クラウド | 利用サービス・アカウント数・MFA・退職者確認 | 中(退職者確認から始める) |
| ツール選定 | Excel→OCS Inventory→Snipe-ITで段階移行 | 中(形式より習慣化が先) |
IT資産管理の本質は「完璧な台帳を作ること」ではなく、「攻撃者が狙いやすい盲点をなくすこと」です。今日から小さく始め、継続的に更新していくことが最も重要です。
IT資産管理の土台が整ったら、次は定期的な脆弱性スキャンやパッチ管理の自動化に取り組むと、セキュリティ対策の質がぐっと上がります。関連する実践ガイドとして、情シス1人でもできる脆弱性スキャン入門もあわせて参考にしてください。
「中小企業のセキュリティ」の記事を読む
このテーマに関連する解説記事を一覧でまとめています。あわせてご覧ください。
