IT標準化の方針と実際の導入ツールの乖離をなくしシャドーITとライセンスコスト増大を防ぐ方法
全社でIT標準化の方針を策定したにもかかわらず、気づけば各部門が独自にSaaSやクラウドツールを契約し、把握できていないシステムが社内に乱立している。こうした状態はシャドーITと呼ばれ、セキュリティ事故の温床になるだけでなく、重複したライセンス費用が積み上がり、年間で数百万円単位の無駄が生じることも珍しくありません。問題の根本は、IT標準化のガイドライン、部門からのツール導入申請、そして実際に稼働しているシステムの棚卸情報がそれぞれバラバラに管理されていて、方針どおりに運用されているかを誰も検証できない点にあります。
この記事は、従業員100〜1,000名規模の企業で、情報システム部門の担当者や管理部門のマネージャーとしてIT統制を担っている方を想定しています。読み終えると、IT標準化方針の公開から導入申請の承認、稼働システムの棚卸までを一本の流れでつなぎ、方針と実態のズレを定期的に検出して是正できるワークフローを自社に導入できるようになります。大規模エンタープライズ向けのITSM基盤の全社展開計画や、個別ツールの網羅的なレビューは扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、方針の公開・申請の承認・棚卸の突合という3ステップを回す運用ルールと、各ステップで使うツールの設定方針が手元に揃っている状態を目指します。
Workflow at a glance: IT標準化の方針と実際の導入ツールの乖離をなくしシャドーITとライセンスコスト増大を防ぐ方法
- Step 1: IT標準化ガイドラインを公開し検索可能にする (Notion) (ナレッジマネジメントツール)
- Step 2: ツール導入申請をワークフローで受け付け承認する (ジョブカンワークフロー) (ワークフローシステム)
- Step 3: 稼働システムを棚卸し承認済み台帳と突合する (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)
なぜIT標準化の方針を決めても現場のツール乱立が止まらないのか
方針・申請・実態が別々の場所で管理されている
多くの企業では、IT標準化のガイドラインはWordやPDFで作成されて社内ポータルに置かれ、ツール導入の申請はメールやExcelの台帳で処理され、実際に稼働しているシステムの一覧はIT資産管理台帳やスプレッドシートで管理されています。この3つがそれぞれ独立しているため、ある部門が申請なしにツールを導入しても、それが方針に反しているかどうかを突き合わせる仕組みがありません。結果として、方針は形骸化し、現場は必要に迫られて独自にツールを契約してしまいます。
申請プロセスが面倒で回避される
ツール導入の申請フローが紙ベースやメールベースで煩雑な場合、現場の担当者は申請を省略してクレジットカードでSaaSを直接契約します。月額数千円のツールであれば経費精算で処理できてしまうため、情シス部門が把握する手段がありません。申請プロセスのハードルが高いこと自体が、シャドーITを生む構造的な原因になっています。
棚卸が年1回のイベントになっている
IT資産の棚卸を年に1回だけ実施している企業では、棚卸と棚卸の間に導入されたツールが次の棚卸まで発見されません。SaaSは契約から利用開始まで数分で完了するため、年1回の棚卸では到底追いつけません。棚卸の頻度と現場のツール導入スピードのギャップが、実態の把握を困難にしています。
重要な考え方:方針・申請・棚卸を1つの流れでつなぎ差分を自動で検出する
IT標準化を実効性のあるものにするには、ガイドラインの公開、導入申請の承認、稼働システムの棚卸という3つの活動を分断せず、1本のワークフローとしてつなぐことが不可欠です。
方針をいつでも参照できる状態にする
ガイドラインがPDFのまま社内ファイルサーバーに埋もれていると、現場の担当者は方針の存在すら知らないまま行動します。ナレッジベースに方針を公開し、検索可能な状態にしておくことで、申請時に方針を確認する導線が生まれます。方針が更新されたときに関係者へ通知が届く仕組みも重要です。
申請を通さないと使えない仕組みにする
申請プロセスは簡単であるほど遵守率が上がります。ワークフローシステムで申請フォームを用意し、方針に合致しているかどうかの判定基準を申請フォーム自体に組み込むことで、申請者が自分で適合性を確認できるようにします。承認が下りたツールだけを正式な台帳に登録する流れを作れば、未申請のツールは台帳に載らないため、棚卸時に差分として検出できます。
棚卸の頻度を上げて差分を早期に発見する
IT資産管理ツールで実際に稼働しているシステムの情報を収集し、承認済み台帳と突き合わせる作業を月次で実施します。年1回の大がかりな棚卸ではなく、月次の軽い突合を繰り返すことで、未承認ツールの発見までの時間を大幅に短縮できます。
方針の公開から棚卸の突合までを3ステップで回す
ステップ 1:IT標準化ガイドラインを公開し検索可能にする(Notion)
IT標準化の方針をNotionのワークスペースに専用ページとして作成します。ガイドラインには、承認済みツールの一覧、カテゴリごとの推奨ツール、新規ツール導入時の判断基準(セキュリティ要件、データ保存場所、既存ツールとの重複有無など)を記載します。
Notionのデータベース機能を使い、承認済みツールをカテゴリ・契約状況・利用部門ごとに整理したマスターリストを作成します。このマスターリストが後続のステップで突合の基準になるため、正確に維持することが重要です。ページの更新時にはNotionの通知機能で関係者に自動で知らせが届くように設定します。
担当者はIT企画担当またはセキュリティ担当で、ガイドラインの更新は四半期に1回を目安に見直します。日常的には、新しいツールが承認されるたびにマスターリストへ追記する運用とします。
ステップ 2:ツール導入申請をワークフローで受け付け承認する(ジョブカンワークフロー)
部門の担当者が新しいツールを導入したい場合、ジョブカンワークフローに用意した申請フォームから申請を提出します。申請フォームには、ツール名、利用目的、想定利用人数、月額費用、データの保存先、ステップ1で公開した判断基準への適合状況を記入する欄を設けます。
承認ルートは、部門長の一次承認とIT部門の二次承認の2段階とします。IT部門はNotionのマスターリストを参照し、既存の承認済みツールと機能が重複していないか、セキュリティ要件を満たしているかを確認して承認または差し戻しを判断します。
承認されたツールは、IT部門の担当者がNotionのマスターリストに追記し、同時にステップ3のIT資産管理ツールにも登録します。この二重登録の手間はかかりますが、方針側の台帳と実態側の台帳の両方を更新することで、突合の精度が保たれます。申請から承認までの目標リードタイムは3営業日以内とし、現場が申請を面倒に感じて回避しないようにスピード感を重視します。
ステップ 3:稼働システムを棚卸し承認済み台帳と突合する(LANSCOPE エンドポイントマネージャー クラウド版)
LANSCOPE エンドポイントマネージャー クラウド版を使い、社内端末にインストールされているソフトウェアや、ブラウザからアクセスされているSaaSの利用状況を収集します。エージェントを各端末にインストールしておけば、どの端末でどのアプリケーションが使われているかを自動的に把握できます。
月次で、LANSCOPE エンドポイントマネージャー クラウド版から取得した稼働システム一覧をCSVでエクスポートし、Notionのマスターリストと突き合わせます。マスターリストに載っていないツールが検出された場合、それは未申請のシャドーITです。該当部門に対して、ジョブカンワークフローでの事後申請を依頼するか、利用停止を指示します。
この突合作業はIT部門の担当者が月に1回、半日程度で実施します。突合結果はNotionに月次レポートとして記録し、シャドーITの検出件数や対応状況を経営層に報告できるようにします。四半期ごとに検出件数の推移を確認し、減少傾向にあればワークフローが機能している証拠になります。
この組み合わせが機能する理由
Notion:方針と承認済み台帳を一元化し全員がアクセスできる
Notionはページとデータベースを柔軟に組み合わせられるため、ガイドラインの文書と承認済みツールのマスターリストを同じワークスペース内で管理できます。検索機能が強力なので、現場の担当者がツール導入を検討する際に、既存の承認済みツールや判断基準をすぐに確認できます。無料プランでも基本的な機能は使えますが、メンバー数が増える場合はチームプランへの移行が必要です。弱点としては、データベースのリレーション機能に慣れていないメンバーにとっては初期の学習コストがかかる点があります。ただし、今回のワークフローではシンプルなテーブルとページの組み合わせで十分なため、高度な機能は不要です。
ジョブカンワークフロー:申請の抜け漏れを防ぎ承認スピードを確保する
ジョブカンワークフローは日本企業向けに設計されたワークフローシステムで、申請フォームの作成や承認ルートの設定が直感的に行えます。スマートフォンからの申請・承認にも対応しているため、承認者の不在による遅延を減らせます。申請履歴がすべて記録されるため、後から誰がいつ何を申請し、誰が承認したかを追跡できます。注意点として、ジョブカンワークフローとNotionの間にAPI連携の標準機能はないため、承認後のNotionへの転記は手動で行う必要があります。この手動転記を忘れると突合の精度が下がるため、承認完了時にIT部門担当者へリマインド通知を設定しておくことを推奨します。
LANSCOPE エンドポイントマネージャー クラウド版:実態を自動収集し突合の土台を作る
LANSCOPE エンドポイントマネージャー クラウド版は、端末にエージェントをインストールするだけでソフトウェアの利用状況を自動収集できるIT資産管理ツールです。クラウド版のため、サーバーの構築や運用が不要で、情シス担当者が少ない企業でも導入しやすい点が強みです。SaaSの利用状況についてはブラウザのアクセスログから把握する形になるため、すべてのSaaSを完全に検出できるわけではありません。特に、個人のスマートフォンから直接アクセスしているSaaSは検出が難しいため、棚卸の突合だけに頼らず、申請プロセスの遵守を並行して徹底する必要があります。CSVエクスポート機能があるため、Notionのマスターリストとの突合はスプレッドシート上で行うのが現実的です。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| Notion | IT標準化ガイドラインと承認済みツールのマスターリストを一元管理し、全社に公開する | 無料枠あり | 1〜2日 | ガイドラインページと承認済みツールのデータベーステーブルを作成する。メンバー数が多い場合はチームプランへの移行が必要。 |
| ジョブカンワークフロー | ツール導入申請の受付・承認ルートの管理・申請履歴の記録を行う | 月額課金 | 3〜5日 | 申請フォームにセキュリティ要件や既存ツールとの重複確認欄を設ける。承認完了後のNotion転記リマインドを設定する。 |
| LANSCOPE エンドポイントマネージャー クラウド版 | 社内端末のソフトウェア利用状況を自動収集し、承認済み台帳との突合データを提供する | 月額課金 | 1〜2週間 | 各端末へのエージェントインストールが必要。SaaS検出はブラウザログベースのため完全ではない点に留意する。 |
結論:方針と実態をつなぐ仕組みを作れば標準化は形骸化しない
IT標準化が形骸化する最大の原因は、方針を決めた後に申請と棚卸がつながっていないことです。Notionで方針と承認済み台帳を公開し、ジョブカンワークフローで申請を受け付け、LANSCOPE エンドポイントマネージャー クラウド版で実態を収集して月次で突き合わせる。この3ステップを回すだけで、未承認ツールの発見までの時間が大幅に短縮され、シャドーITの増加を抑止できます。
最初の一歩として、まずNotionにIT標準化ガイドラインのページを作成し、現在把握している承認済みツールのマスターリストを整理するところから始めてください。方針が検索可能な状態になるだけでも、現場の意識は変わり始めます。
Mentioned apps: LANSCOPE エンドポイントマネージャー クラウド版, ジョブカンワークフロー, Notion
Related categories: IT資産管理ツール, ナレッジマネジメントツール, ワークフローシステム
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 業界標準の改定内容を自社システムへ漏れなく反映し監査不適合を防ぐ方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーとのトラブル発生時に証跡を即座に集約し原因究明と再発防止を加速する方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
