経済産業省「DXレポート2.1」(2025年改訂版)は、日本企業の約7割がIT投資の効果を定量的に評価できていないと指摘している。IT予算は増えている。しかし「その投資が経営戦略と整合しているか」「リスクは許容範囲に収まっているか」「期待した成果が出ているか」を体系的に評価する仕組み——すなわちITガバナンスが不在のまま、場当たり的なシステム投資が繰り返されている企業が大半だ。
ITガバナンスとは、取締役会・経営層がIT活用の方向性を決定し、その実行を監督する仕組みである。具体的には「IT戦略の策定」「IT投資の評価と優先順位づけ」「ITリスクの管理」「IT活動のパフォーマンス測定」の4つの領域をカバーする。個別のセキュリティ対策やシステム運用管理とは異なり、経営レベルでITの「方向づけ」「評価」「モニタリング」を行う上位フレームワークだ。
本記事では、ITガバナンスの構築を検討している情報システム部門の責任者や経営企画担当者に向けて、費用相場、国際標準フレームワーク(COBIT 2019、ISO/IEC 38500)の実務的な使い方、導入ステップを解説する。
目次
- ITガバナンスが必要になる場面
- COBIT 2019とISO/IEC 38500の概要と使い分け
- ITガバナンスの4つの柱
- 構築費用の相場
- 導入ステップ -- 6フェーズで進める
- 失敗しやすいポイントと対策
- よくある質問(FAQ)
- まとめ
- 参考資料
- 付録
1. ITガバナンスが必要になる場面
「うちにはITガバナンスが必要なのか」——この問いに対する答えは、以下のいずれかに該当するなら「必要」だ。
IT投資の判断基準がない。 システム導入の稟議が上がるたびに「なんとなく必要そうだから」で承認している。投資対効果の検証もされていない。
部門ごとにバラバラなシステムが乱立している。 営業はSalesforce、経理はfreee、人事はSmartHR、倉庫は独自のAccess。データ連携もなく、部門間の情報共有に毎回手作業が発生している。
セキュリティ事故やシステム障害が繰り返される。 対症療法を続けているが、根本原因の分析と再発防止策の仕組みがない。経営層はインシデントの報告を受けるだけで、ITリスクの全体像を把握していない。
監査や取引先からの要請。 J-SOX対応、ISMS取得、取引先からの情報セキュリティ監査でIT統制の不備を指摘されている。
DXを推進したいが、どこから手をつけていいかわからない。 DX推進室を設置したが、IT戦略と経営戦略の接続ができていない。個別の「デジタル化」で終わっている。
これらの課題に共通するのは「経営レベルでITを統制する仕組みの欠如」だ。ITガバナンスはこの欠如を埋める。
2. COBIT 2019とISO/IEC 38500の概要と使い分け
ITガバナンスの国際標準フレームワークは複数存在するが、実務で最も参照されるのはCOBIT 2019とISO/IEC 38500の2つだ。
COBIT 2019(ISACA)
COBIT(Control Objectives for Information and Related Technologies)は、ISACAが策定したITガバナンスとマネジメントの包括的フレームワーク。最新版のCOBIT 2019は、以下の構造を持つ。
ガバナンス目標(5つ): EDM01(ガバナンスフレームワークの策定と維持)、EDM02(便益の実現)、EDM03(リスク最適化)、EDM04(資源最適化)、EDM05(ステークホルダーの透明性確保)
マネジメント目標(35 + α): APO(整合・計画・組織化)、BAI(構築・取得・導入)、DSS(提供・サービス・サポート)、MEA(モニタリング・評価・アセスメント)の4ドメイン
COBIT 2019の特徴は「能力成熟度モデル」を内蔵している点だ。各プロセスの成熟度をレベル0(不完全)からレベル5(最適化)の6段階で評価し、現状と目標のギャップを可視化できる。
ISO/IEC 38500:2024
ISO/IEC 38500は、ITガバナンスの原則を定めた国際規格。COBITが「何をすべきか(What)」を網羅的に定義しているのに対し、ISO/IEC 38500は「どのような原則で統治すべきか(How to govern)」に焦点を当てている。
6つの原則:
- 責任(Responsibility): IT活用に関する責任の明確化
- 戦略(Strategy): 現在・将来のIT能力が事業戦略を支えることの確保
- 取得(Acquisition): IT資産の取得が妥当な分析に基づくことの確保
- パフォーマンス(Performance): ITが目的に適合し、要求されるサービスレベルを満たすことの確保
- 適合(Conformance): 法規制・内部規程への準拠
- 人的行動(Human Behaviour): IT活動が人的要因を尊重することの確保
実務での使い分け
| 項目 | COBIT 2019 | ISO/IEC 38500 |
|---|---|---|
| 性格 | 実践的なフレームワーク(詳細なプロセス定義) | 原則ベースの規格(方向性の指針) |
| 適用場面 | IT統制の具体的な設計・評価・改善 | ITガバナンスの方針策定、経営層への説明 |
| 粒度 | 40以上のガバナンス/マネジメント目標 | 6つの原則と「方向づけ・評価・モニタリング」のサイクル |
| コスト感 | COBIT準拠の構築は費用が高くなる傾向 | 原則ベースのため柔軟に適用可能 |
| 組み合わせ | ISO/IEC 38500の原則を上位方針として採用しつつ、COBITで具体的なプロセスを設計するのが最も実効的 |
3. ITガバナンスの4つの柱
ITガバナンスは以下の4つの領域で構成される。それぞれの目的と実務上の要点を整理する。
柱1:IT戦略の策定と整合
経営戦略とIT戦略を接続する。「この事業目標を達成するために、ITは何をすべきか」を明確にする。
実務で行うこと:
- 経営計画とIT中期計画の連動(3年ロードマップの策定)
- IT投資ポートフォリオの可視化(攻めのIT投資/守りのIT投資の比率管理)
- IT戦略委員会の設置(経営層+CIO/IT部門長+事業部門長で四半期ごとに開催)
よくある失敗: IT部門だけでIT戦略を作り、経営層の承認を得ただけで「整合した」と思い込む。事業部門を巻き込まなければ、戦略は絵に描いた餅になる。
柱2:ITリスク管理
ITに関連するリスク(情報セキュリティ、システム障害、ベンダーロックイン、法規制違反など)を特定・評価・対応する。
実務で行うこと:
- ITリスク台帳の作成と定期的な更新(半年に1回)
- リスクの発生確率×影響度によるリスクマトリクスの作成
- リスク対応方針の決定(回避・軽減・移転・受容)
- インシデント発生時のエスカレーションルートの明確化
リスク管理で使えるフレームワーク: COBIT 2019のEDM03(リスク最適化)およびAPO12(リスク管理)、ISO/IEC 27001(情報セキュリティ)、NIST CSF 2.0(サイバーセキュリティ)
柱3:IT投資評価
IT投資の意思決定プロセスを標準化し、投資対効果を事前・事後で評価する。
実務で行うこと:
- IT投資の評価基準の策定(定量指標:ROI、TCO、NPV/定性指標:業務改善度、従業員満足度)
- 投資案件のスコアリングモデルの構築(戦略適合度、リスク、コスト、実現可能性)
- 投資後レビュー(PIR:Post Implementation Review)の義務化
- IT投資ポートフォリオの四半期レビュー
費用対効果の算定例:
| 評価指標 | 算定式 | 活用場面 |
|---|---|---|
| ROI | (年間効果額 − 年間コスト)÷ 年間コスト × 100 | 単年度の投資判断 |
| TCO | 初期費用 + 運用費 × 年数 + 廃棄費用 | ライフサイクル全体のコスト比較 |
| NPV | 将来キャッシュフローの現在価値合計 − 初期投資額 | 複数年にわたる投資判断 |
| 回収期間 | 投資額 ÷ 年間効果額 | 投資回収の速さの評価 |
柱4:パフォーマンス測定
ITの活動が期待どおりの成果を出しているかを定量的にモニタリングする。
実務で行うこと:
- IT KPIの設定(システム稼働率、インシデント対応時間、プロジェクト完遂率、IT予算消化率など)
- ITスコアカードの作成(BSC:バランスト・スコアカードのIT版)
- 経営層向けITダッシュボードの整備(月次報告)
- IT部門のサービスレベル合意(SLA)の策定と遵守率の測定
パフォーマンス測定のKPI例:
| KPIカテゴリ | 指標例 | 目標水準の目安 |
|---|---|---|
| 可用性 | システム稼働率 | 99.5%以上 |
| セキュリティ | 重大インシデント件数 | 年0件 |
| プロジェクト | 予算内完了率 | 80%以上 |
| 顧客満足 | IT部門への満足度スコア | 4.0/5.0以上 |
| 効率性 | IT運用コスト対売上比率 | 業種平均以下 |
4. 構築費用の相場
ITガバナンス構築の費用は「アセスメント(現状評価)」と「構築・導入」の2段階に分かれる。
アセスメント費用:200〜500万円
| 作業項目 | 費用目安 | 期間 |
|---|---|---|
| 経営層・IT部門へのヒアリング(10〜20名) | 50〜100万円 | 2〜4週間 |
| 既存IT統制の文書レビュー | 30〜80万円 | 1〜2週間 |
| COBIT成熟度アセスメント(対象プロセスの選定と評価) | 80〜200万円 | 2〜4週間 |
| ギャップ分析報告書の作成 | 40〜120万円 | 1〜2週間 |
| 合計 | 200〜500万円 | 1.5〜3ヶ月 |
- 対象プロセス数(COBITの40+目標のうち何個を対象とするか。初期は10〜15が一般的)
- 拠点数(複数拠点がある場合、各拠点でのヒアリングが必要)
- コンサルティング会社のランク(Big4は500万円以上、中堅コンサルは200〜300万円)
構築・導入費用:500〜1,500万円
| 作業項目 | 費用目安 | 期間 |
|---|---|---|
| ITガバナンス方針・規程の策定 | 80〜200万円 | 1〜2ヶ月 |
| IT戦略委員会の設計と運用ルール策定 | 30〜80万円 | 2〜4週間 |
| ITリスク管理フレームワークの設計 | 80〜200万円 | 1〜2ヶ月 |
| IT投資評価プロセスの設計 | 50〜150万円 | 1〜2ヶ月 |
| パフォーマンス測定の仕組み構築(KPI・ダッシュボード設計) | 80〜250万円 | 1〜3ヶ月 |
| 文書体系の整備(規程・手順書・テンプレート) | 50〜150万円 | 1〜2ヶ月 |
| 教育・研修の実施(経営層+IT部門+事業部門) | 30〜100万円 | 2〜4週間 |
| 試行運用の支援 | 50〜150万円 | 2〜3ヶ月 |
| 定着化支援(運用開始後のフォローアップ) | 50〜220万円 | 3〜6ヶ月 |
| 合計 | 500〜1,500万円 | 6〜18ヶ月 |
費用の内訳イメージ
従業員300名・IT部門10名の製造業の場合(実費ベース):
- アセスメント:約300万円(COBIT 15プロセス対象、ヒアリング15名)
- 構築・導入:約800万円(方針策定+リスク管理+投資評価プロセス+KPI設計+研修)
- 定着化支援:約200万円(6ヶ月間の月次レビュー)
- 合計:約1,300万円(期間:12ヶ月)
従業員1,000名・IT部門30名の金融業の場合(実費ベース):
- アセスメント:約450万円(COBIT 25プロセス対象、3拠点ヒアリング)
- 構築・導入:約1,200万円(全4柱の設計+GRCツール導入支援+研修)
- 定着化支援:約300万円(12ヶ月間のアドバイザリー)
- 合計:約1,950万円(期間:18ヶ月)
コンサルティング会社の選び方や費用の妥当性の判断については、GXO株式会社の会社概要を参照いただきたい。ITガバナンス構築を含む支援事例もあわせて確認できる。
セクションまとめ:アセスメントに200〜500万円、構築・導入に500〜1,500万円が相場。ただし全プロセスを一度に構築する必要はない。優先度の高い2〜3領域から段階的に着手すれば、初年度500〜800万円で実効的なITガバナンスの基盤を構築できる。
5. 導入ステップ -- 6フェーズで進める
ITガバナンスの構築は、以下の6フェーズで進める。
フェーズ1:経営層のコミットメント獲得(1〜2週間)
ITガバナンスは経営層が主導する取り組みだ。IT部門が単独で始めても、組織横断の統制は機能しない。
やること:
- 経営層向けブリーフィング(ITガバナンスの目的、投資対効果、リスク)
- ITガバナンス構築の意思決定と予算承認
- 推進責任者の任命(CIO、情報システム部長、またはCFO)
ポイント: 経営層には「ITガバナンスがなければ何が起きるか」をリスクベースで説明する。「年間IT投資額○億円のうち、効果測定ができているのは○%」「過去3年間のシステム障害による逸失利益は推定○万円」など、数字で語る。
フェーズ2:現状アセスメント(1.5〜3ヶ月)
現状のIT統制の成熟度を評価し、あるべき姿とのギャップを特定する。
やること:
- COBIT 2019の目標一覧から自社に関連するプロセスを選定(通常10〜20個)
- 各プロセスの現状成熟度を0〜5で評価
- 目標成熟度の設定(現状+1〜2レベルが現実的)
- ギャップ分析と優先順位づけ
フェーズ3:フレームワーク設計(2〜3ヶ月)
アセスメント結果に基づき、自社のITガバナンスフレームワークを設計する。
やること:
- ITガバナンス方針書の策定(ISO/IEC 38500の6原則をベースにカスタマイズ)
- ガバナンス体制の設計(IT戦略委員会、ITリスク委員会、投資評価委員会の設置・権限・運営ルール)
- ITリスク管理フレームワークの設計(リスク台帳、リスクマトリクス、対応プロセス)
- IT投資評価プロセスの設計(評価基準、スコアリングモデル、承認フロー)
- パフォーマンス測定の設計(KPI体系、レポーティングルール)
フェーズ4:文書化と教育(1〜2ヶ月)
設計した仕組みを文書化し、関係者に教育する。
やること:
- 規程・手順書・テンプレートの作成
- 経営層向け研修(ITガバナンスの概要、役割と責任)
- IT部門向け研修(フレームワークの詳細、運用手順)
- 事業部門向け研修(IT投資の申請プロセス、リスク報告のルール)
フェーズ5:試行運用(2〜3ヶ月)
設計した仕組みを試行的に運用し、不具合や改善点を洗い出す。
やること:
- IT戦略委員会の試行開催(2〜3回)
- 実際のIT投資案件で評価プロセスを試行
- ITリスク台帳の初版を作成し、リスク評価を実施
- KPIデータの収集・レポーティングを試行
フェーズ6:本格運用と定着化(3〜6ヶ月)
試行運用の結果を踏まえて改善し、本格運用に移行する。
やること:
- 試行運用で明らかになった課題の修正
- 全社への正式展開
- 四半期ごとのガバナンスレビュー(PDCAサイクルの確立)
- 年1回のガバナンス成熟度の再評価
6. 失敗しやすいポイントと対策
失敗1:フレームワークの「全部入り」を目指す
COBIT 2019の40以上の目標をすべて導入しようとして、プロジェクトが肥大化する。コンサルティング会社が「網羅性」を売りにしてスコープを広げるケースも多い。
対策: 初年度は優先度の高い10〜15プロセスに絞る。特に「IT投資評価」「ITリスク管理」「パフォーマンス測定」の3領域から着手するのが実効的だ。
失敗2:文書を作って終わり
立派な方針書や規程を作成したが、実際の意思決定に使われていない。「ガバナンス文書はキャビネットの中」という状態。
対策: 文書の品質よりも「運用の実効性」を重視する。IT戦略委員会を本当に開催しているか、IT投資の評価プロセスが実際に機能しているかを四半期ごとに検証する。
失敗3:IT部門の独りよがり
IT部門がITガバナンスを「自分たちの仕事」として抱え込み、経営層や事業部門を巻き込まない。結果として、ガバナンスが「IT部門内の管理ルール」に矮小化される。
対策: IT戦略委員会には必ず経営層と事業部門長を参加させる。ITガバナンスの報告ラインは、IT部門長ではなくCEOまたは取締役会とする。
失敗4:成熟度の「数字」に囚われる
COBITの成熟度レベルを上げること自体が目的化し、実際のビジネス課題の解決とかけ離れる。
対策: 成熟度はあくまで「現状と目標のギャップを可視化するツール」として使う。すべてのプロセスをレベル5にする必要はない。自社の事業規模とリスクプロファイルに見合ったレベルを目標とする。
7. よくある質問(FAQ)
Q. 中小企業(従業員100名以下)にもITガバナンスは必要か。
A. 規模に応じた簡易版は必要だ。最低限として「IT投資の判断基準」「ITリスクの把握」「主要システムの稼働状況の可視化」の3点を整備するだけでも、場当たり的な投資を防げる。COBITの全プロセスを導入する必要はなく、自社に関連する5〜10プロセスを選定して簡易的に評価・運用すればよい。費用は200〜500万円程度に抑えられる。
Q. COBITの認定資格は必要か。
A. 必須ではないが、推進担当者がCOBIT 2019 Foundation認定を取得しておくと、コンサルティング会社との会話がスムーズになる。試験費用は約6万円、学習期間は2〜4週間が目安。
Q. ITガバナンスとITマネジメントの違いは何か。
A. ITガバナンスは「方向づけ・評価・モニタリング」を行う経営層の活動。ITマネジメントは「計画・構築・運用・監視」を行うIT部門の活動。ガバナンスが「何をすべきか」を決め、マネジメントが「どのように実行するか」を担う。
Q. J-SOX(内部統制報告制度)対応とITガバナンスの関係は。
A. J-SOX対応で求められるIT全般統制(ITGC)は、ITガバナンスの一部である。ITガバナンスを構築すると、J-SOX対応の基盤も同時に整備される。逆に、J-SOX対応だけを個別に進めると、監査対応のための「形式的な統制」になりやすい。
Q. GRCツール(ガバナンス・リスク・コンプライアンスツール)は必要か。
A. 従業員500名以上、または複数のコンプライアンス要件に対応する必要がある場合は検討に値する。ServiceNow GRC、SAP GRC、MetricStreamなどが代表的。ライセンス費用は年額200〜1,000万円。中小企業であれば、Excel/スプレッドシートとワークフローツールの組み合わせで十分対応できる。
8. まとめ
ITガバナンスの構築は、IT投資の判断基準を明確にし、リスクを管理し、成果を測定するための経営基盤だ。費用はアセスメントに200〜500万円、構築・導入に500〜1,500万円が相場となる。
ただし、全領域を一度に構築する必要はない。自社の最も切迫した課題(IT投資の無駄、セキュリティリスク、監査対応など)を起点に、優先度の高い領域から段階的に着手すればよい。初年度は500〜800万円の投資で、実効的なガバナンス基盤を整備できる。
重要なのは、ITガバナンスを「IT部門の管理ルール」ではなく「経営層が主導する統治の仕組み」として位置づけることだ。経営層のコミットメントがなければ、どれだけ精緻なフレームワークを設計しても形骸化する。
ITガバナンスの構築を検討している方へ
「IT投資の判断基準を整備したいが、COBIT/ISO38500のどこから手をつけるべきかわからない」「アセスメントの費用感を知りたい」「既存のIT統制を体系的に見直したい」という段階から相談できます。現状のIT環境と課題に合わせた最適なアプローチと概算費用を無料でお調べします。
※ 営業電話はしません|オンライン対応可|相談だけでもOK
ITガバナンス構築の無料相談・費用シミュレーションはこちら →
参考資料
- ISACA「COBIT 2019 Framework: Introduction and Methodology」 https://www.isaca.org/resources/cobit
- ISO/IEC 38500:2024「Information technology — Governance of IT for the organization」 https://www.iso.org/standard/81684.html
- 経済産業省「DXレポート2.1」 https://www.meti.go.jp/policy/it_policy/dx/dx.html
- IPA(情報処理推進機構)「IT統制に関する技術レファレンスガイド」 https://www.ipa.go.jp/security/reports/economics/it-control.html
- 日本ITガバナンス協会(ITGI Japan) https://www.itgi.jp/
- NIST「Cybersecurity Framework 2.0」 https://www.nist.gov/cyberframework