情報資産台帳の更新漏れをなくしISMS審査で指摘ゼロを実現する方法
企業が保有するサーバー、PC、ソフトウェア、クラウドサービスなどの情報資産は、導入・変更・廃棄のたびに台帳へ正確に反映しなければなりません。しかし現実には、部門ごとにExcelで管理していたり、登録申請と実態管理が別々の仕組みで動いていたりするため、新しいシステムを入れたのに台帳に載っていない、すでに廃止したサービスがいつまでも残っているといった更新漏れが頻発します。この状態を放置すると、ISMS(情報セキュリティマネジメントシステム)の審査で未登録資産を指摘され、認証取得の遅延や更新審査での不適合につながります。
この記事は、従業員50〜500名規模の企業で、情報セキュリティ管理や社内IT管理を兼務している情シス担当者や管理部門マネージャーを想定しています。読み終えると、資産の追加・変更・廃棄の申請から台帳への反映までを自動でつなぐ3ステップのワークフローを自社に導入できるようになります。大規模エンタープライズ向けの全社ISMS構築計画や、個別ツールの網羅的なレビューは扱いません。
なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。
読み終えた時点で、資産のライフサイクルイベントが発生するたびに台帳が自動更新される仕組みの設計図と、最初の1週間で着手すべき具体的なアクションリストが手に入ります。
Workflow at a glance: 情報資産台帳の更新漏れをなくしISMS審査で指摘ゼロを実現する方法
- Step 1: 資産の追加・変更・廃棄を申請・承認する (コラボフロー) (ワークフローシステム)
- Step 2: 台帳を自動更新し資産情報を一元管理する (LanScope Cat) (IT資産管理ツール)
- Step 3: 台帳の最新版を版管理し監査証跡を残す (楽々Document Plus) (文書管理システム)
なぜ情報資産台帳の更新漏れは構造的に起きるのか
登録の起点がバラバラで誰も全体を見ていない
情報資産台帳の更新漏れは、担当者の怠慢ではなく仕組みの問題です。多くの企業では、資産の登録・変更・廃棄に関わるイベントの起点が3つ以上に分散しています。たとえば、新しいクラウドサービスの契約は事業部門が起案し、PCの購入は総務が発注し、サーバーの廃止はIT部門が判断します。それぞれの部門が自分の範囲だけを把握しているため、全体を横断して台帳に反映する責任者が実質的に不在になります。
申請と台帳が別の世界に存在している
資産の追加や廃棄の申請はワークフローシステムやメールで回覧されますが、承認が完了した後に台帳へ転記する作業は手動で行われているケースがほとんどです。承認完了と台帳更新の間に人手の転記作業が挟まることで、忙しい時期に後回しにされたり、転記ミスが発生したりします。この断絶こそが更新漏れの最大の原因です。
実態との乖離に気づくのが審査直前になる
台帳と実態のズレは、日常業務では表面化しません。問題が発覚するのは、ISMSの内部監査や外部審査の直前に棚卸しを行ったときです。そのタイミングで慌てて修正しようとしても、いつ導入されたのか、誰が管理責任者なのかといった情報が追えず、審査員から指摘を受けることになります。
重要な考え方:申請の承認完了を台帳更新のトリガーにして人手の転記をゼロにする
情報資産台帳の更新漏れを根本的に解決するには、資産に関する申請が承認された瞬間に台帳が自動で更新される仕組みを作ることが必要です。人が転記する工程を残す限り、漏れは必ず再発します。
申請フォームと台帳の項目を一致させる
自動連携の前提として、申請フォームに入力する項目と台帳の項目を完全に一致させておく必要があります。申請フォームで資産名称、管理責任者、分類、設置場所、利用開始日などを入力すれば、その情報がそのまま台帳の1行になる設計です。項目の不一致があると、結局は人が補完する作業が発生し、自動化の意味がなくなります。
ライフサイクルの3イベントだけを管理する
情報資産のライフサイクルは複雑に見えますが、台帳に影響を与えるイベントは3つだけです。追加(新規導入)、変更(管理者や設置場所の変更)、廃棄(利用停止・撤去)です。この3つのイベントそれぞれに対応する申請フローを用意し、承認完了時に台帳の該当行を追加・上書き・削除(またはステータス変更)する処理を自動で走らせます。
IT資産管理ツールの検出データで定期的に突合する
申請ベースの自動更新だけでは、申請を経ずに導入された資産(いわゆるシャドーIT)を捕捉できません。IT資産管理ツールがネットワーク上で検出した実際の端末やソフトウェアの一覧と、台帳の内容を定期的に突き合わせることで、申請漏れの資産を発見し、台帳の正確性を担保します。
申請から台帳更新・突合までの実践ワークフロー
ステップ 1:資産の追加・変更・廃棄を申請・承認する(コラボフロー)
資産に関わるイベントが発生したら、現場の担当者がコラボフローで申請を起票します。申請フォームには、資産名称、資産分類(ハードウェア/ソフトウェア/クラウドサービス/データなど)、管理責任者、設置場所またはURL、利用開始日(廃棄の場合は利用終了日)、機密性・完全性・可用性の評価値を入力項目として設定します。申請の種別は追加・変更・廃棄の3種類をプルダウンで選択させ、種別に応じて承認ルートを自動で分岐させます。たとえば、追加と廃棄は情報セキュリティ管理者の承認を必須とし、変更は直属の上長承認のみとするルートです。
承認者は申請内容を確認し、不備があれば差し戻します。承認が完了した時点で、コラボフローからLanScope Catへのデータ連携が自動で実行されます。この連携にはコラボフローのWebhook通知機能を使い、承認完了イベントを検知してデータを送信します。
担当者は現場の各部門のメンバー、承認者は情報セキュリティ管理者またはIT部門の責任者です。頻度は資産の追加・変更・廃棄が発生するたびに都度実行します。
ステップ 2:台帳を自動更新し資産情報を一元管理する(LanScope Cat)
コラボフローから送信された申請データをもとに、LanScope Catの資産管理台帳が自動で更新されます。申請種別が追加であれば新規レコードを作成し、変更であれば該当レコードの対象項目を上書きし、廃棄であればステータスを廃棄済みに変更します。
LanScope Catはネットワーク上のPC、サーバー、インストール済みソフトウェアを自動で検出・収集する機能を持っています。この検出データと台帳データを週次で自動突合し、台帳に存在しないのにネットワーク上で検出された資産を未登録資産アラートとして情報セキュリティ管理者に通知します。通知を受けた管理者は、該当部門に対してステップ1の申請を依頼し、台帳への登録を促します。
IT部門の担当者が週に1回、未登録資産アラートの内容を確認し、対応状況を追跡します。所要時間は週30分程度です。
ステップ 3:台帳の最新版を版管理し監査証跡を残す(楽々Document Plus)
LanScope Catから月次でエクスポートした情報資産台帳のデータを、楽々Document Plusに登録します。楽々Document Plusの版管理機能により、台帳がいつ・誰によって・どのように更新されたかの履歴が自動で記録されます。これがISMS審査における監査証跡になります。
台帳データのエクスポートはCSV形式で行い、楽々Document Plusへの取り込みは月次の定例作業として実施します。取り込み時に前月版との差分を確認し、想定外の変更がないかをチェックします。また、楽々Document Plusのアクセス権限設定により、台帳の閲覧は全部門の管理者に許可しつつ、編集権限はIT部門と情報セキュリティ管理者に限定します。
ISMS審査の際には、楽々Document Plusから任意の時点の台帳を取り出して提示できるため、審査対応の準備工数が大幅に削減されます。情報セキュリティ管理者が月に1回、30分程度で台帳の取り込みと差分確認を行います。
この組み合わせが機能する理由
コラボフロー:申請と承認を台帳更新の確実な起点にする
コラボフローを選定した理由は、申請フォームの項目設計の自由度が高く、承認完了時にWebhookで外部システムへ自動通知できる点にあります。情報資産台帳の更新漏れの根本原因は、承認完了から台帳更新までの間に人手の転記が入ることでした。コラボフローのWebhook機能を使えば、承認完了と同時にデータを次のシステムへ渡せるため、この断絶を解消できます。
注意点として、Webhook連携の初期設定にはAPIの基本的な知識が必要です。社内にAPI設定の経験者がいない場合は、コラボフローの導入支援サービスを利用することをおすすめします。また、申請フォームの項目を後から変更すると連携先との整合性が崩れるため、最初の項目設計を慎重に行うことが重要です。
LanScope Cat:台帳管理と実態検出を1つのツールで完結させる
LanScope Catを選定した理由は、IT資産の台帳管理機能とネットワーク上の資産自動検出機能を1つの製品で兼ね備えている点にあります。台帳管理と実態検出が別々のツールだと、突合作業自体が手動になり、新たな漏れの原因を生みます。LanScope Catであれば、台帳データと検出データの突合を同一システム内で自動実行できるため、シャドーITの発見精度が高まります。
トレードオフとして、LanScope Catはエージェント(端末にインストールする小さなソフトウェア)を各PCに導入する必要があります。端末数が多い場合は展開に時間がかかるため、Active Directoryなどを使った一括配布の計画を事前に立ててください。また、クラウドサービスのようにエージェントでは検出できない資産は、申請フローからの登録に頼ることになります。この点を理解したうえで、申請フローの運用を徹底することが欠かせません。
楽々Document Plus:版管理と監査証跡で審査対応を確実にする
楽々Document Plusを選定した理由は、文書の版管理とアクセス権限管理がISMS審査の要求事項と直接対応している点にあります。台帳をファイルサーバーに置いているだけでは、いつ誰が変更したかの履歴が残らず、審査で証跡を求められた際に対応できません。楽々Document Plusであれば、版ごとの変更履歴、アクセスログ、承認記録が自動で蓄積されるため、審査員への説明がスムーズになります。
留意点として、楽々Document Plusへの台帳取り込みは現時点では月次の手動作業として設計しています。完全自動化も技術的には可能ですが、月次で人の目による差分確認を挟むことで、想定外の変更や異常値を検知するチェックポイントとして機能させています。FitGapでは、この月次確認の工程を省略しないことを推奨します。
Recommended tool list
| Tool | Role | Pricing | Implementation time | Notes |
|---|---|---|---|---|
| コラボフロー | 資産の追加・変更・廃棄の申請と承認を管理し、承認完了時にWebhookで台帳システムへ自動通知する | 月額課金 | 1〜2週間 | 申請フォームの項目を台帳の項目と完全に一致させることが最重要。Webhook連携の初期設定にはAPIの基本知識が必要で、不安な場合は導入支援サービスの利用を推奨 |
| LanScope Cat | IT資産台帳の一元管理とネットワーク上の資産自動検出・突合による未登録資産の発見 | 要問い合わせ | 2〜4週間 | 各端末へのエージェント展開が必要。Active Directoryによる一括配布を推奨。クラウドサービスなどエージェントで検出できない資産は申請フローでカバーする設計が必須 |
| 楽々Document Plus | 情報資産台帳の版管理・アクセス権限管理・監査証跡の記録によるISMS審査対応 | 要問い合わせ | 1〜2週間 | 月次でのCSV取り込みと差分確認を定例作業として定着させることが重要。アクセス権限はIT部門と情報セキュリティ管理者に編集権限を限定する設計を推奨 |
結論:申請承認と台帳更新を自動でつなげば更新漏れは構造的になくなる
情報資産台帳の更新漏れは、担当者の意識の問題ではなく、申請と台帳が分断されている仕組みの問題です。コラボフローで申請・承認を起点にし、LanScope Catで台帳の自動更新と実態との突合を行い、楽々Document Plusで版管理と監査証跡を残す。この3ステップのワークフローにより、人手の転記をゼロにし、ISMS審査で指摘を受けるリスクを大幅に低減できます。
最初の一歩として、現在の情報資産台帳の項目と、資産の追加・変更・廃棄時に実際に収集している情報を突き合わせてください。項目の過不足を洗い出すことが、申請フォーム設計の出発点になります。この作業は1〜2時間で完了でき、ワークフロー構築の最も確実な第一歩です。
Mentioned apps: LANSCOPE エンドポイントマネージャー クラウド版, コラボフロー, 楽々Document Plus
Related categories: IT資産管理ツール, ワークフローシステム, 文書管理システム
Related stack guides: 輸出管理教育の受講完了と実務権限を自動連動させ未受講者による誤申請を防ぐ方法, 該非判定の根拠資料が散逸して再現できない問題を解消し監査対応を万全にする方法, 補助金の変更申請と実績報告の整合性を保ち事後監査での指摘と返還リスクを防ぐ方法, パートナーへの変更依頼が社内承認後に正しく伝わらない問題を解消し手戻りとプロジェクト遅延を防ぐ方法, 付議基準の属人判断による上程漏れをなくし取締役会のガバナンスと議論の質を守る方法
サービスカテゴリ
AI・エージェント
ソフトウェア(Saas)
