「IT資産台帳を作ってください」と言われて、どこから手をつければいいか分からない。
この状況に置かれたとき、多くの担当者がやってしまうのは「完璧な台帳の設計」から入ることです。何を記載するか・フォーマットはどうするか・どこまで詳細に書くか。考えれば考えるほど着手が遅れます。
IT資産台帳で最初に決めるべきことは、フォーマットではありません。「何のために作るか」です。
2026年度末に申請開始予定のSCS評価制度(★3)では、ハードウェア・OS・ソフトウェアの把握(要求事項3-1-1)とネットワークの一覧作成(3-1-2)が明示的に求められています。★3取得を視野に入れている場合、IT資産台帳はセキュリティ対策の土台として「何がどこにあるか」を把握するために作るものです。
目的が決まれば、何をどこまで書けばいいかが自然に決まります。
IPAはこの目的に対応した無料のExcelテンプレートを公開しています。ハードウェア台帳・ソフトウェア台帳・ネットワーク機器台帳・情報資産管理台帳の4種が1ファイルに入っており、記入例も含まれています。今日からすぐに使い始められます。
本記事では、このIPAテンプレートを使って中小企業がIT資産台帳を作成する手順を解説します。
この記事でわかること
- IT資産台帳とは何か・★3でなぜ必要か
- 4種類の台帳(ハードウェア・ソフトウェア・ネットワーク・情報資産)の違い
- IPAの無料Excelテンプレートの構成と使い方
- ハードウェア台帳から始める理由と記載項目
- 台帳を形骸化させない3つの運用ルール
IT資産台帳とは何か|★3で求められる理由
セキュリティ対策の土台
IT資産台帳とは、会社が保有するパソコン・サーバー・ソフトウェア・ネットワーク機器・クラウドサービスを一覧にしたリストです。
なぜこれがセキュリティ対策の土台になるのか。「何があるか分からない状態では、何を守るべきかも分からない」からです。パソコンの台数・OSのバージョン・インストールされているソフトウェアが把握できていなければ、セキュリティパッチを当てるべき機器を特定できません。退職者のアカウントが残っていても気づけません。マルウェアに感染した機器がどのネットワークに繋がっているかも分かりません。
資産管理はセキュリティ対策そのものではなく、全ての対策を機能させるための前提条件です。
★3で求められる4つの要求事項
SCS評価制度★3の要求事項のうち、資産管理領域(3-1-x)には以下の4項目があります。
| 要求事項No. | 内容 |
|---|---|
| 3-1-1 | ハードウェア・OS・ソフトウェアの把握 |
| 3-1-2 | ネットワークの一覧作成 |
| 3-1-3 | 外部情報サービスの管理(クラウド・SaaS等) |
| 3-1-4 | 機密区分に応じた情報の管理 |
これらを満たすためには、ハードウェア台帳・ネットワーク機器台帳・ソフトウェア台帳・情報資産管理台帳の4種類が必要になります。IPAのテンプレートはこの4種類を全てカバーしています。
IT資産台帳の4種類|何をどのシートに書くか
①ハードウェア台帳
会社が保有する全ての機器をリスト化します。
記載対象: パソコン・ノートPC・サーバー・プリンター・スマートフォン・タブレット・外付けHDD・USBメモリ等
記載項目(IPAテンプレートより):
| 項目 | 内容 |
|---|---|
| No. | 管理番号 |
| 名称 | 機器の名前(例:WindowsPC) |
| 製造元 | メーカー名 |
| 型番 | 型番・モデル名 |
| 管理番号 | 自社での管理番号(シールで貼付) |
| 管理部署 | 管理している部門 |
| 管理者名 | 担当者名 |
| 保守事業者名 | 保守・修理を依頼している業者 |
| 購入日 | 導入日 |
②ソフトウェア台帳
インストールされているソフトウェアとライセンスを管理します。
記載対象: OS・業務アプリケーション・セキュリティソフト・クラウドサービス(SaaS)等
記載項目(IPAテンプレートより):
| 項目 | 内容 |
|---|---|
| 名称 | ソフト名(例:Microsoft Defender) |
| 種別 | セキュリティソフト・業務ソフト等の分類 |
| 製造元 | 提供会社名 |
| OS | 動作OS |
| インストール先 | どの機器にインストールされているか |
| ライセンス数 | 保有ライセンス数 |
| 管理者名 | 担当者名 |
| 購入日 | ライセンス取得日 |
③ネットワーク機器台帳
ネットワークに接続されている機器を管理します。
記載対象: ルーター・スイッチ・ファイアウォール・無線LANアクセスポイント・VPN機器等
記載項目(IPAテンプレートより):
| 項目 | 内容 |
|---|---|
| ネットワーク名 | どのネットワークに属するか |
| 所在地 | 設置場所(本社・支社等) |
| IPアドレス | 割り当てられているIPアドレス |
| 利用目的 | そのネットワークの用途 |
| 機器の種別 | ファイアウォール・スイッチ等 |
| 製造元・モデル | メーカーと型番 |
| OS | ファームウェアのバージョン |
| 管理者名・保守事業者 | 担当者と保守業者 |
④情報資産管理台帳
データ・書類・システム等の「情報」を管理します。★3の要求事項3-1-4に対応します。
記載対象: 顧客情報・社員情報・財務データ・契約書・技術情報等
IPAテンプレートの特徴: 機密性・完全性・可用性の3軸で重要度を1〜3で評価し、自動的に重要度(1〜3)が計算されます。重要度3は最も保護が必要な情報です。
重要度の定義(IPAテンプレートより):
| 機密性の評価値 | 基準 |
|---|---|
| 3 | 法律で安全管理が義務付けられている(個人情報等) |
| 2 | 漏えいすると事業に大きな影響がある |
| 1 | 漏えいしても事業にほとんど影響はない |
IT資産台帳の作り方|ハードウェアから始める理由
なぜハードウェアから始めるのか
4種類の台帳を一度に作ろうとすると動けなくなります。最初に取り組むべきはハードウェア台帳です。理由は3つあります。
①目視で確認できる パソコン・サーバー・プリンターは実物があります。棚卸しとして実際に現場を歩いて確認できます。ソフトウェアやクラウドサービスは画面を開かないと確認できませんが、ハードウェアは実物を数えるだけで始められます。
②他の台帳の土台になる ソフトウェア台帳の「インストール先」はハードウェアの管理番号と対応します。ネットワーク機器台帳もハードウェアの一部です。ハードウェア台帳が完成していると、他の台帳が作りやすくなります。
③★3の最優先3項目の一つ 「IT資産台帳の整備・MFAの有効化・バックアップの確認」が★3取得の最優先3項目とされています。ハードウェア台帳はその入口です。
ステップ1:ハードウェア台帳の作成
①IPAテンプレートをダウンロードする
IPAの「中小企業の情報セキュリティ対策ガイドライン」付録6として無料で公開されています。
ダウンロードしたExcelファイルを開くと「利用方法」「台帳記入例」「ハードウェア台帳」「ソフトウェア台帳」「ネットワーク機器台帳」「情報資産管理台帳」の8シートが入っています。
②記入例シートを確認する
「台帳記入例」シートには社員名簿・健康診断の結果・給与システムデータ・請求書等の具体的な記入例が入っています。最初にこのシートを見ることで、記載レベルのイメージが掴めます。
③ハードウェア台帳シートに入力する
「ハードウェア台帳」シートを開いて入力を始めます。記入例として「WindowsPC」が入っているので、それを参考に自社の機器を入力します。
最初は完璧を目指さなくていい。名称・製造元・型番・管理番号・管理者名の5項目だけでも入力できれば第一歩として十分です。
ステップ2:ソフトウェア台帳の作成
ハードウェア台帳が完成したら、各機器にインストールされているソフトウェアをリスト化します。
特に確認すべきは3点です。OSのバージョン(サポート終了していないか)・セキュリティソフトが全機器に入っているか・ライセンス数と実際のインストール数が一致しているか。
ステップ3:ネットワーク機器台帳の作成
VPN機器・ルーター・スイッチのファームウェアバージョンを確認します。古いファームウェアは脆弱性の温床になります。IPアドレスと設置場所を記録しておくことで、インシデント発生時に「どの機器を切断すべきか」が素早く判断できます。
ステップ4:情報資産管理台帳の作成
どのような情報を保有しているかをリスト化します。顧客情報・社員情報・財務データが最初の対象です。重要度3の情報(個人情報等)から優先的に記載します。
IT資産台帳を形骸化させない3つの運用ルール
台帳を作って終わりにしないための運用ルールが必要です。
ルール①:変更があったら即時更新
機器を購入したとき・廃棄したとき・担当者が変わったときに台帳を更新します。「後でまとめて更新する」という運用は必ず形骸化します。購入・廃棄・異動のタイミングで更新することをルール化します。
ルール②:年1回の棚卸し
台帳の記載内容と実態が一致しているかを年1回確認します。★3の要求事項でも定期的な更新が求められています。棚卸しのタイミングは年度末や期首が実施しやすい。
ルール③:更新担当者を1人決める
「誰でも更新できる」は「誰も更新しない」と同義です。台帳の更新担当者を1人決めて、変更があったときに連絡が来る仕組みを作ります。担当者が変わったときも引き継ぎで台帳を渡す運用を徹底します。
IT資産台帳から★3取得への接続
IT資産台帳が完成すると、★3取得に向けた次のアクションが見えてきます。
ハードウェア台帳を見れば「OSのサポートが切れている機器はないか」が確認できます(★3要求事項4-4-4:パッチ・アップデートの手続)。ネットワーク機器台帳を見れば「MFAが設定されていない機器はないか」が確認できます(★3要求事項4-1-3)。情報資産管理台帳の重要度3の情報は、バックアップ対象の優先順位を決める根拠になります(★3要求事項4-3-4)。
台帳を作ることは「今の状態を把握すること」であり、把握できて初めて「何が足りないか」が見えます。
セキュリティ対策評価制度が中小企業に与える影響でも整理していますが、★3の申請受付は2026年度末頃から開始予定です。今から台帳を整備しておくことで、申請時に改めてゼロから作る必要がなくなります。
まとめ|IT資産台帳は完璧を目指さず今日始める
IT資産台帳を作ることに難しい技術は必要ありません。IPAが無料で公開しているExcelテンプレートを使えば、今日から始められます。
最初から4種類の台帳を完璧に作ろうとする必要はありません。ハードウェア台帳から始めて、名称・型番・管理番号・管理者名の5項目を入力するだけで第一歩です。
確認してみる価値があります。「自社のパソコンが今何台あるか・誰が管理しているか・OSは最新か、すぐに答えられますか」という問いです。この問いに答えられない状態が、セキュリティ対策を形骸化させる構造的な原因になっています。IT資産台帳はその問いに答えられる状態を作るための道具です。
コメント