ITガバナンスとは|定義・8つの構成要素とSaaS時代の実践方法
現在の状況をヒアリングし、最適な改善方法をご提案します。
.png)
社内で使われているSaaSが増え続ける中、「どのアプリを誰が使っているか把握できていない」「IT投資の効果を経営陣に説明できない」「内部監査でIT統制の不備を指摘された」——そうした状況に追われている情報システム部門の担当者は、決して少なくありません。
しかし、こうした問題の多くはシステムや担当者の問題ではなく、ITガバナンスの体制が整備されていないことに起因しています。ITガバナンスとは、単なるルール策定やシステム管理の話ではなく、IT投資が経営戦略と整合し、リスクを適切に管理しながら企業価値を高めるための組織的な仕組みそのものです。
本記事では、ITガバナンスの定義から8つの構成要素、代表的なフレームワーク、そしてSaaS時代に情シス担当者が直面する課題と実践的な解決策まで一気通貫で解説します。従業員500名以上の中堅・大手企業で情報システム部門を担う方が、明日から行動に移せるレベルの知識を提供することを目指しています。
ITガバナンスとは何か
ITガバナンスとは、企業がITをどう活用するかを経営レベルで方向付け、監督する仕組みです。単なるシステム運用の話ではなく、IT投資が経営戦略と整合し、ステークホルダーの期待に応えるための組織能力全体を指します。定義の確認から始め、混同されやすいITマネジメントとの違いも整理します。
経済産業省・ISO38500による定義
経済産業省が策定した「システム管理基準」では、ITガバナンスを次のように定義しています。
「組織体のガバナンスの構成要素で、取締役会等がステークホルダーのニーズに基づき、組織体の価値および組織体への信頼を向上させるために、組織体におけるITシステムの利活用のあるべき姿を示すIT戦略と方針の策定およびその実現のための活動」
難解な表現ですが、平易に言い換えると「経営層が株主・顧客などのステークホルダーの期待に応えるため、IT戦略の方向を定め、その実現を監督する活動」です。
国際標準規格ISO/IEC 38500も同様の概念を定義しており、責任・戦略・取得・パフォーマンス・適合・人間行動という6つの原則を通じて、経営層がITを適切に評価・指示・監視することを求めています。ここで重要なのは、ITガバナンスは情報システム部門だけが担うものではなく、経営層が主体的に関与すべき経営課題だという点です。
ITガバナンスとITマネジメントの違い
ITガバナンスと混同されやすいのが「ITマネジメント」です。両者の役割を整理しておきましょう。
ITガバナンスは「何をすべきか」の方向性を定め、ITマネジメントはその方向に従って「どのように実行するか」を担います。両者は車の両輪であり、どちらが欠けても組織のIT活用は成り立ちません。情シス担当者の日々の運用はITマネジメントの範疇ですが、ポリシー策定・リスク管理・IT投資の優先順位付けはITガバナンスの範疇です。
コーポレートガバナンスとの関係
ITガバナンスは、より広い概念であるコーポレートガバナンス(企業統治)の一部として位置づけられます。コーポレートガバナンスが企業全体の方向性・透明性・説明責任を確保するものであるのに対し、ITガバナンスはその中でIT領域を担う下位概念です。
DXの進展によりIT投資が企業の競争力に直結するようになった今、IT投資の妥当性や効果を株主・投資家に説明する責任が経営層に強く求められています。コーポレートガバナンスの議論でITガバナンスが取り上げられる機会が増えているのは、こうした背景があるからです。
ITガバナンスが求められるようになった背景
ITガバナンスへの関心は、特定の出来事を機に急速に高まりました。2000年代初頭のシステム障害・J-SOXの制度化・SaaS普及という3つの変化が重なることで、経営課題としてのITガバナンスが広く認識されるようになっています。歴史的な教訓・法制度の整備・技術環境の変化という3つの文脈から、その必要性を理解しておくことが重要です。
みずほ銀行システム障害が示した教訓
2002年に発生したみずほ銀行のシステム障害は、ITガバナンスの重要性を日本の企業社会に広く認識させた事件です。合併に伴うシステム統合の失敗により、約250万件の口座振替が遅延・不能となり、社会的信頼に深刻なダメージを与えました。
この障害が明らかにしたのは、IT投資の判断やシステム統合プロセスに経営レベルの統治が機能していなかったという事実です。以来、大規模なシステム投資・移行には経営層の関与が不可欠という認識が業界全体に広まりました。情報システム部門の経営への報告体制整備や、CIOの設置が本格的に議論されるようになったのも、この事件を経てのことです。
J-SOXとIT統制の義務化
2008年に施行された金融商品取引法に基づく内部統制報告制度(J-SOX)は、上場企業および準大手企業に対して、財務報告の信頼性を確保するための内部統制の整備・評価・開示を義務付けました。
この制度の中で特に重要なのがIT統制の要素です。IT統制は大きく次の2つに分類されます。
- IT全般統制(ITGC): システム開発・変更管理・アクセス管理・ITオペレーションなど、IT環境全体の統制
- IT業務処理統制: 個々の業務プロセスで取引が正確・完全に処理されることを担保する統制
さらに、2024年度から適用の改訂J-SOX(経済産業省「システム管理基準 追補版」)では、クラウドサービスの利用・外部委託・リモートアクセス環境における新たなITリスクへの対応が明示されました。SaaSを多用する現代の情シス担当者にとって、この改訂内容は無視できません。
SaaS普及でガバナンスが複雑化した
2010年代以降のSaaS普及とクラウド化は、ITガバナンスの難易度を飛躍的に高めました。オンプレミス環境では、IT部門が把握・管理できる範囲は比較的明確でした。しかし現在は、各部門が独自にSaaSを契約・利用する分散型ITが当たり前となり、IT部門が全体像を把握することが著しく困難になっています。
複数の調査によれば、従業員の80%以上がIT部門の承認を得ずに職場でSaaSを利用していると報告されています。こうした未承認SaaSの拡大は、セキュリティリスクの拡大・コンプライアンス違反・コストの無駄遣いという三重の問題をもたらします。さらに、AIツールの普及により「シャドーAI」という新たな管理課題まで生まれています。
参考: The Hidden Costs of Shadow IT | Josys Blog
ITガバナンスの8つの構成要素
ITガバナンスを実際に整備・強化するには、その構成要素を体系的に理解する必要があります。経済産業省のシステム管理基準では、戦略整合・組織・業務・コスト・運用・ルール・リスク・調達という8つの要素が定義されています。それぞれを実践的な視点で解説します。
.png)
①戦略とITシステムの整合性
最初の構成要素は、ビジネス戦略とIT戦略の方向性を一致させることです。たとえば企業が「顧客対応速度を2倍にする」という経営目標を掲げているなら、そのために必要なCRMやコミュニケーションツールへのIT投資が優先されるべきです。しかし現実には、IT部門の判断と経営層の意図がずれ、「なぜこのシステムに投資したのか」が不明確なまま予算が消費されるケースも珍しくありません。
実践として有効なのは、年次のIT戦略計画を経営陣と情シスが共同で策定し、四半期ごとに達成度を評価するサイクルを確立することです。新規SaaS導入の申請に「経営戦略のどの目標に貢献するか」を審査基準として含めることで、戦略との整合性を日常業務レベルで担保できます。
②組織体制(CIO・IT委員会・情シスの役割分担)
ITガバナンスを機能させるには、誰が何を決定し、誰が実行するかという組織構造が明確でなければなりません。大手企業ではCIOを置き、その下にIT委員会・情報システム部門が連携する体制が一般的です。
中堅企業では専任CIOを置くリソースが限られることも多いですが、それでも「IT投資の最終承認者を経営層の誰かが担う」体制は外せません。情シス部門が単独ですべての判断を下す状態では、ITガバナンスは成立しないからです。IT委員会の設置が難しい場合でも、月1回の経営会議にIT投資・リスク状況の報告アジェンダを設けるだけで、ガバナンスの骨格を作ることができます。
③業務内容の把握(IT資産・SaaSの可視化)
組織内でどの部門がどのITシステムを使っているかを正確に把握することは、ITガバナンスの基盤です。SaaS時代においては、オンプレミスの台帳管理に代わり「SaaS棚卸し」が最重要タスクとなっています。
把握すべき情報は、SaaSの名称・契約主体(部門)・利用者数・月額コスト・更新日・セキュリティ認証の有無など多岐にわたります。これを手動のスプレッドシートで管理しようとすると、更新漏れや把握漏れが頻発します。SaaS管理プラットフォームを活用した自動可視化が、現実的かつ持続可能な解決策です。
④コスト・費用対効果の算出
IT投資の全体像を把握し、費用対効果を適正に評価することも重要な要素です。SaaSの契約が部門ごとに分散している場合、全社のIT支出を正確に集計することは容易ではありません。機能が重複する複数のSaaSに無駄なコストが流れているケースも、多くの企業で見受けられます。
評価には、導入前に設定したKPIとの比較が有効です。工数削減時間・エラー率低下・顧客満足度向上といった指標で効果を測定し、定期的なコストレビューで利用実態に基づいてライセンス数を最適化する仕組みを持つことが、コスト管理の要となります。
⑤運用体系の構築
インシデント対応・変更管理・可用性管理・バックアップ管理など、IT運用の仕組みを体系化することがこの要素です。障害が発生したときに「誰が何をするか」が明確でない組織は、ITガバナンスが機能していない状態といえます。
SaaS環境では、ベンダー側の障害に対する対応フローも重要です。SLAの確認・障害時の連絡窓口の把握・事業継続性の担保(BCP観点)を、SaaS導入時の審査項目として組み込んでおくことを推奨します。
⑥ルール設定とガイドライン遵守
ITポリシー・情報セキュリティポリシー・SaaS利用規程などを策定し、全社員へ周知徹底し、遵守状況を定期的にモニタリングする体制まで含めて「ルール統制」です。ルールを作るだけでは不十分で、運用まで一体で設計することが求められます。
具体的には、SaaS新規導入の申請・承認フロー、アクセス権付与の基準、退職者アカウント削除のタイムライン、パスワードポリシーなどが主要なルール項目です。これらが文書化されていないと、担当者が異動・退職した際にガバナンスが一気に崩れるリスクがあります。
⑦リスク管理
ITリスクを特定・評価・対処・モニタリングするプロセスを確立することが7番目の要素です。情報漏洩・不正アクセス・システム障害・コンプライアンス違反・ベンダー破綻など、リスクの種類は多岐にわたります。
ISMSの文脈では、リスクアセスメントを年1回以上実施し、リスク対応計画を策定することが求められます。SaaS管理の観点では、各SaaSのセキュリティ評価(SOC2認証の有無・データ保存場所・アクセスログ取得機能など)を導入前審査に組み込むことが、実践的なリスク管理の入口です。
⑧システム調達方法の策定
SaaSや外部ITサービスを調達する際のプロセスを標準化することが最後の要素です。無料トライアルを気軽に始めてそのまま有料化するという非公式な導入が積み重なることで、シャドーITが拡大します。
適切な調達プロセスには、要件定義・複数ベンダーの比較評価・セキュリティ審査・契約条件確認・承認者による承認・利用開始後のフォローアップというステップが含まれます。このプロセスを明文化し、実際に運用することが、SaaS時代のITガバナンスにおける調達管理の核心です。
代表的なITガバナンスフレームワーク
ITガバナンスを整備する際は、国際的に確立されたフレームワークを参照することで、体系的かつ網羅的な設計が可能になります。COBIT 2019・ISO/IEC 38500・ITILは、それぞれ異なる目的と対象者を持ちます。主要な3つを実務的な視点から比較します。
.png)
COBIT 2019
COBITは、アメリカの情報システムコントロール協会(ISACA)が策定したITガバナンスの代表的フレームワークです。最新版のCOBIT 2019では、ITに加えて情報(Information)まで対象範囲を広げ、I&Tガバナンスとして再定義されています。
COBITの特徴は、ガバナンスと管理を明確に分離した構造にあります。ガバナンス領域では「評価・指示・監視(EDM)」という5つの目標を定め、管理領域では整合・計画・組織(APO)、構築・取得・実装(BAI)、提供・サービス・サポート(DSS)、モニタリング・評価・アセスメント(MEA)という4つのドメインに40の管理目標が体系化されています。
中堅企業がCOBITを導入する際は、全40目標を一度に実装しようとするのではなく、自社のリスクプロファイルと経営優先課題に照らして重点領域を絞り込むことが現実的な。まずアクセス管理・変更管理・セキュリティ管理などから着手するのがよいでしょう。
ISO/IEC 38500
ISO/IEC 38500は、経営層がITを適切にガバナンスするための原則を定めた国際標準規格です。責任・戦略・取得・パフォーマンス・適合・人間行動という6つの原則を軸に、取締役会・上位経営管理者がITに対して「評価・指示・監視」という3つのサイクルを回すことを求めています。
COBITに比べて抽象度が高く、具体的な実装手順は示していませんが、経営層向けの説明や取締役会での議論の枠組みとして機能します。「なぜITガバナンスが必要か」「経営層は何を見るべきか」を整理する際のよりどころとして活用できます。
ITILとの違い・使い分け
ITILはIT運用・サービス管理のベストプラクティス集です。COBITがガバナンスの「何を・なぜ」を定義するのに対し、ITILはIT運用の「どのように」を定めるものです。
実務では、COBITでガバナンス体制の骨格を設計し、ITILでインシデント管理・変更管理・リリース管理などの運用プロセスを整備するという組み合わせが、多くの企業で採用されています。
SaaS時代に情シスが直面する3つの課題
従来のITガバナンス論が想定していなかったSaaS全盛時代固有の課題が、現代の情シス担当者に重くのしかかっています。シャドーITの拡大・少人数体制での統制維持・J-SOX改訂への対応——この3つは相互に絡み合い、いずれか一つを解決するだけでは全体のガバナンスは機能しません。
課題①シャドーITの拡大で管理対象が見えなくなる
最も深刻な課題の一つが、シャドーITの急増です。シャドーITとは、IT部門が把握・承認していない業務用アプリやSaaSの利用のことです。営業部門がSlackを、マーケティング部門がNotionを、人事部門が既存ツールとは別のオンボーディングツールをそれぞれ独自に契約・利用しているというケースは、多くの組織で日常的に起きています。
シャドーITがITガバナンス上の問題となる理由は複合的です。未承認SaaSへのデータ入力で情報漏洩リスクが高まります。GDPRや個人情報保護法などのコンプライアンス要件に違反していても、IT部門が把握できないため対処できません。監査ログを取得できないため、J-SOXのIT統制要件を満たせなくなります。さらに、利用実態に基づかない重複・無駄なライセンス費用が蓄積します。
シャドーITの発見から排除・ルール化までのプロセスを体系化し、定期的に実施することがITガバナンス強化の出発点です。
課題②少人数情シス体制でのガバナンス維持
情シスが2〜3名で従業員500名以上の企業のIT統制を担うのは、日本の中堅企業では珍しくない現実です。限られた人員で、増え続けるSaaSの管理・問い合わせ対応・セキュリティ対応・システム運用をすべて手作業でこなすことには、構造的な無理があります。
Excelやスプレッドシートでのアカウント管理・ライセンス管理は、更新漏れ・人的ミス・属人化という問題を不可避的に生みます。退職者のアカウントが削除されないまま放置される孤立アカウントの問題も、手動管理の限界から生じる典型的なガバナンス不全です。
少人数体制でITガバナンスを機能させるには、ルールの整備と並行して、繰り返し作業の自動化とプラットフォーム化が不可欠です。人が頑張る体制から、仕組みが担保する体制への転換こそが持続可能なガバナンスへの道です。
課題③J-SOX改訂(2024年度)への対応
2024年度から適用が始まったJ-SOX改訂は、クラウド・外部委託・リモートアクセス環境でのIT統制について新たな要件を明示しました。具体的には次の対応が求められます。
- クラウドサービス(SaaS含む)を利用する場合のアクセス管理・ログ取得体制の整備
- 外部委託先のIT統制状況の確認(SOC報告書等の取得)
- リモートワーク環境におけるエンドポイントセキュリティの管理
クラウドを使っているからIT統制が不要という誤解は禁物で、SaaSを多用するほどIT統制の対象範囲は広がります。監査法人・内部監査部門から指摘を受ける前に、SaaS利用状況の可視化と監査ログ取得体制の整備を進めることが賢明です。
ITガバナンスを強化するための実践ステップ
情シス担当者が今すぐ着手できる5つのステップを提示します。可視化・ルール策定・アクセス権管理・ログ取得・KPI設定という順序には理由があり、前のステップが次のステップの基盤となります。ゼロから整備する場合も、既存体制を見直す場合も、この順序が基本的な指針となります。
Step1 IT資産・SaaS利用状況を可視化する
ITガバナンス強化の出発点は現状把握です。何が存在するか把握できていない状態では、管理も統制も始まりません。まず全社のSaaS・IT資産を棚卸しするところから始めましょう。
把握すべき主な情報は次のとおりです。
- 利用SaaSの名称・カテゴリ・利用部門
- 契約者(部門・個人)・月額コスト・更新日
- 利用者数・ライセンス数・実際の利用率
- セキュリティ認証の有無(SOC2・ISO27001等)
- 個人情報や機密情報の取り扱い有無
手動での棚卸しは初期調査として有効ですが、その後の継続管理には限界があります。ジョーシスのプラットフォームのようなSaaS管理ツールを活用すると、社内ネットワーク上のSaaS利用状況を自動検出し、リアルタイムで可視化できます。「把握できていなかったSaaSが50種類以上あった」という発見は、多くの企業で起きている現実です。
Step2 ITポリシーとSaaS利用ルールを策定する
可視化によって現状を把握したら、次はあるべきルールを明文化します。情報セキュリティポリシーをベースに、SaaS利用に特化した規程を整備することが現代的なITガバナンスの要件です。
策定すべき主なルール項目は次のとおりです。
- SaaS新規導入の申請・審査・承認フロー
- 無料トライアル開始の可否と条件
- 使用可能なSaaSカテゴリと禁止カテゴリ
- データの取り扱い基準(個人情報・機密情報の入力禁止SaaSの指定)
- アカウント発行・削除のルールとタイムライン
ルールは策定だけでは機能しません。新入社員研修・定期的な全社向けアナウンス・社内イントラへの掲示など、継続的な浸透施策も合わせて設計してください。
[内部リンク: 情報セキュリティポリシー 作り方]
Step3 アクセス権管理と定期棚卸しの仕組みを作る
アクセス権管理は、ITガバナンスとJ-SOX対応の双方で最も重視される領域の一つです。誰がどのシステムにアクセスできるかを適切に設計・管理し、定期的に見直す仕組みが必要です。
基本的な考え方は最小権限の原則です。必要最低限のアクセス権のみを付与するという原則に基づき、職種・役職・業務内容に基づくロールベースアクセス制御(RBAC)を設計し、SaaS・社内システムのアカウント付与・削除をそのロールに基づいて行います。
定期的なアクセス権レビュー(半年〜年1回)を実施し、人事異動・昇降格・退職に伴うアクセス権変更が正確に反映されているかを確認してください。退職者のアカウントが残存する孤立アカウントは、不正アクセスの温床となる深刻なリスクです。
Step4 監査ログを取得・保管できる体制を整える
J-SOXのIT統制対応において、監査ログの取得・保管は必須要件です。誰がいつ何にアクセスし、何を操作したかの記録がなければ、内部監査・外部監査の証跡として機能しません。
SaaSごとにログ取得設定が異なるため、利用中のSaaSの監査ログ機能を確認し、必要な設定を有効化することが先決です。主要な取得ログの種類は、ログイン・ログアウト記録、ファイルアクセス・ダウンロード記録、管理者権限操作記録、アカウント作成・削除記録などです。
ジョーシスのプラットフォームでは、連携するSaaSの操作ログを一元収集・保管し、監査レポートとして出力できます。個別SaaSの管理画面を巡回してログを集める手間を大幅に削減できます。
Step5 KPIを設定してガバナンスの成熟度を測る
ITガバナンスは整備して終わりではなく、継続的に成熟度を高めていくものです。そのため、ガバナンスの状態を定量的に把握するKPIの設定が有効です。
主なKPI例を挙げます。
- 可視化率: 全社SaaSのうちIT部門が把握・承認済みの割合(目標: 95%以上)
- 孤立アカウント率: 退職者のアカウントが削除済みの割合(目標: 100%・即日対応)
- アクセス権レビュー実施率: 対象アカウントのうちレビュー完了の割合(目標: 100%・半期ごと)
- IT統制テスト合格率: J-SOXの内部統制テストでの指摘事項ゼロ
- ポリシー認識率: SaaS利用規程を認識・承認した従業員の割合
これらの指標を経営層への定期報告に組み込み、改善状況をモニタリングすることで、ITガバナンスは文書上の存在から動く仕組みへと進化します。
SaaS管理プラットフォームがITガバナンスを支える理由
ITガバナンスの整備を人の努力だけで維持しようとすることには、構造的な限界があります。可視化・アカウント管理・ログ収集という繰り返し作業を自動化することで、少人数の情シス体制でも統制水準を保つことが可能になります。SaaS管理プラットフォームがいかにガバナンスの実装を支援するか、具体的に見ていきます。
繰り返し作業を自動化してボトルネックを解消する
少人数の情シス体制でITガバナンスを機能させるには、繰り返し発生するガバナンス作業を自動化することが不可欠です。SaaS管理プラットフォームが提供する主な自動化機能は次のとおりです。
- 全SaaSの一元可視化: ブラウザ拡張機能やネットワーク監視を通じ、シャドーITを含む全利用SaaSを自動検出
- アカウントのプロビジョニング・デプロビジョニング: 入退社情報と連携し、アカウント発行・削除を自動実行
- 監査ログの自動収集: 連携SaaSの操作ログをプラットフォームに集約し、検索・エクスポート可能な状態で保管
- コンプライアンスダッシュボード: アクセス権の状態・孤立アカウント・未承認SaaSの数などをリアルタイムで可視化
- アクセス権レビューの自動通知: 定期棚卸し時期に管理者・承認者へ自動でリマインドを送信
これらの機能を活用することで、これまで情シス担当者が手作業で対応していた業務の多くを仕組み化できます。
ジョーシスのプラットフォームで変わること
ジョーシスのプラットフォームは、SaaS管理・デバイス管理・アイデンティティ管理を一元化することで、ITガバナンスの実装を支援します。
以前は、情シス担当者が入社のたびに10種類以上のSaaSアカウントを手動で作成し、退職時には削除漏れが頻発していた——そのような状態から、ジョーシスのプラットフォームを導入することで、アカウント発行・削除の自動化により入退社処理の工数を大幅に削減し、アカウント削除漏れ率をゼロにした事例が報告されています。
また、IT部門が把握していなかった未承認SaaSを一括で検出し、利用実態を可視化することで、シャドーITに起因するセキュリティリスクと無駄なライセンスコストを同時に解消した企業も多くあります。ITガバナンスの「知る・管理する・統制する」という三段階を、プラットフォームの力で加速させることが可能です。
まとめ
ITガバナンスとは、経営層がステークホルダーのニーズに基づきIT戦略を方向付け、監督する組織的な仕組みです。8つの構成要素(戦略整合・組織体制・業務把握・コスト管理・運用体系・ルール遵守・リスク管理・調達)を体系的に整備することで、企業のIT投資は経営価値に直結します。
SaaS全盛の現代では、シャドーIT拡大・少人数情シス体制・J-SOX改訂対応という3つの課題が情シス担当者に重くのしかかっています。これらを人の努力だけで解決することには限界があり、SaaS管理プラットフォームを活用した仕組みづくりが現実的な解となります。
今すぐ取り組める優先アクションは次の3点です。
- 全社SaaSの棚卸しを実施する: シャドーITを含む利用実態を把握することがすべての出発点
- SaaS利用規程とアクセス権管理ルールを文書化する: 口頭や慣習ではなく明文化されたルールを整備する
- 監査ログ取得の設定を確認する: J-SOX対応の観点で必要なログが取得・保管されているかチェックする
ITガバナンスは一度整備して終わりではなく、技術環境・法制度・組織変化に合わせて継続的に成熟度を高めていくものです。まず「見える化」から動き出すことが、強固なガバナンス体制への第一歩となります。
参考資料
over your identities, applications, and files?
Sign-up for a 14-day free trial and transform your IT operations.
Questions? Answers.
.png)
.avif)
-p-130x130q80.png)
ジョーシスとは
エンドツーエンドのアイデンティティ
IT 部門にとってガバナンスを簡単に実現
