IT運用は、外注か内製かの二択で決めると失敗しやすい。 旧版にあった5年TCO、採用人数、外注費、最適解の割合、価格上昇の断定は、企業条件で大きく変わるため撤回する。
経済産業省のデジタルスキル標準では、2026年4月にver.2.0が公表され、AI活用やAXの進展、データ整備・管理・利活用を担う役割の重要性が示されている。IT運用体制も、単なるヘルプデスクや保守ではなく、データ、AI、セキュリティ、業務変革を支える体制として設計する必要がある。
分けて考える領域
横にスクロールして確認できます
| 領域 | 社内に残すべき判断 | 外部化しやすい作業 |
|---|---|---|
| 経営・優先順位 | どの業務を止められないか | 調査資料作成、PMO支援 |
| 業務知識 | 例外処理、承認、取引先事情 | 業務フロー整理 |
| セキュリティ | 許容リスク、顧客説明、停止判断 | 監視、診断、復旧支援 |
| 開発保守 | 要件、検収、改善順位 | 実装、テスト、保守 |
| データ・AI | 利用目的、禁止事項、権限 | RAG、データ基盤、FDE |
内製化とは、全作業を自社で抱えることではない。判断と知識を社内に残し、専門性や一時的な開発力を外部チームで補うことが現実的である。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
GXOの支援テーマ
横にスクロールして確認できます
| 相談テーマ | 初月に作るもの | 継続支援 |
|---|---|---|
| 情シス代行 | 業務一覧、SaaS一覧、問い合わせ分類 | 月次改善、アカウント棚卸し |
| レガシー刷新 | 古いシステム、Access、Excel、保守契約の棚卸し | 段階移行、保守 |
| FDEアサイン | 現場課題、AI/DX候補、改善バックログ | 週次伴走 |
| 開発チームアサイン | 要件、RFP、体制、検収条件 | 実装、保守、小改修 |
| セキュリティ復旧 | 初動、証拠保全、バックアップ | 監視、訓練 |
大型の基幹刷新だけを待つ必要はありません。初月診断、月次情シス伴走、小改修、復旧訓練、FDE支援を組み合わせれば、負担の大きい一括発注を避けながら段階的に着手できます。
契約前に決める責任分界
横にスクロールして確認できます
| 項目 | 決めること |
|---|---|
| 障害時 | 誰が検知し、誰が止め、誰が顧客へ説明するか |
| 権限 | 管理者ID、退職者ID、委託先IDを誰が管理するか |
| ドキュメント | 設計書、手順書、構成図、引継ぎ資料の納品条件 |
| 変更 | 軽微な変更と追加見積の境界 |
| 終了 | 契約終了時のデータ返却、アカウント削除、引継ぎ |
この責任分界がないまま外注すると、障害時に誰も判断できない。逆にすべて内製に寄せると、採用や夜間対応で疲弊する。中間の設計が必要である。
内製化の前に残すべきナレッジ
横にスクロールして確認できます
| ナレッジ | なぜ必要か |
|---|---|
| システム構成図 | 障害時に影響範囲を判断するため |
| 業務フロー | 改修時に現場の例外処理を見落とさないため |
| アカウント管理表 | 退職者・委託先の権限を残さないため |
| 障害履歴 | 再発防止と保守優先順位を決めるため |
| 契約一覧 | 更新、解約、引継ぎ、費用判断に使うため |
内製化を採用活動から始めると時間がかかる。まずは外部FDEやGXOの伴走でナレッジを回収し、社内で判断できる資料を残す。採用や育成は、その後に必要な役割を見て行う方が失敗しにくい。
相談前に用意すると早い資料
- 運用中のシステム、SaaS、サーバー、Webサイトの一覧
- 保守契約、外注先、担当者、契約終了条件
- 障害履歴、問い合わせ履歴、月次作業の一覧
- 社内に残したい判断と、外部に任せたい作業
- 今後予定しているAI導入、レガシー刷新、セキュリティ対策
まず月額化しやすい支援
外注・内製の見直しは、大型契約の切替だけではない。アカウント棚卸し、問い合わせ分類、軽微な改修、バックアップ確認、SaaS設定変更、月次レポート作成は、小さく始めやすい。
GXOでは、初月に運用業務を棚卸しし、翌月から月額伴走で改善テーマを一つずつ処理する。必要に応じて、FDE、開発者、セキュリティ担当を追加する。これにより、採用が決まるまで何も進まない状態や、大型刷新待ちの空白を避けられる。
業務ごとのソーシング判定表
横にスクロールして確認できます
| 判断軸 | 内製寄り | 外部活用寄り |
|---|---|---|
| 競争力 | 自社固有の業務・顧客体験に直結 | 標準化しやすい運用作業 |
| 意思決定 | 即時の経営・業務判断が必要 | 手順とSLAで切り出せる |
| 人材 | 継続的に採用・育成できる | 希少専門性を必要な期間だけ使う |
| セキュリティ | 強い権限と最終判断を持つ | 監視・診断・実装を分担できる |
| 変動 | 常時一定の需要がある | 繁閑・障害・刷新で需要が変わる |
重要なのは、同じ業務でも「判断」と「作業」を分けることです。例えば障害対応は、顧客説明と停止判断を社内に残し、技術調査と復旧作業を外部へ任せられます。
見積比較で揃える条件
- 対応時間帯、一次応答、復旧目標
- 定常作業、軽微改修、追加見積の境界
- 管理対象のシステム、SaaS、アカウント数
- 月次報告、改善提案、会議の有無
- ソースコード、設計書、手順書、構成図の所有と納品
- 再委託先、アクセス権、ログ、秘密保持
- 契約終了時の引き継ぎ期間と費用
人月単価や月額だけを比べると、安い契約に監視・改善・引き継ぎが含まれず、障害や変更のたびに追加費用が発生します。
90日で体制を切り替える
横にスクロールして確認できます
| 期間 | 実施内容 | 成果物 |
|---|---|---|
| 1〜30日 | 資産、契約、権限、障害、定常作業を棚卸し | IT資産表、責任分界、リスク一覧 |
| 31〜60日 | 社内に残す判断と外部作業を分ける | RACI、SLA案、見積条件書 |
| 61〜90日 | 並行運用、引き継ぎ、復旧訓練を行う | 手順書、未解決課題、月次KPI |
既存ベンダーから変更する場合は、いきなり契約を切らず、問い合わせ、障害、定例作業を並行運用で引き継ぎます。引き継げない資産は、レガシー刷新の優先順位へ入れます。
月次で見るKPI
横にスクロールして確認できます
| KPI | 目的 |
|---|---|
| 未解決問い合わせの滞留 | 現場影響と対応能力を見る |
| 障害の検知・一次応答・復旧時間 | SLAと実態の差を見る |
| 手作業・再発障害 | 改善投資の優先順位を決める |
| 強い権限と休眠ID | セキュリティリスクを減らす |
| ドキュメント更新率 | ベンダー依存・属人化を防ぐ |
| 改善バックログの完了数 | 保守費が維持だけで終わっていないか見る |
役割別RACIの作り方
外注範囲を決めるときは、作業名だけでなく最終責任者を決めます。RACIでは実行担当、説明責任者、相談先、報告先を分けます。
横にスクロールして確認できます
| 業務 | 社内が持つ責任 | 外部へ依頼できる役割 |
|---|---|---|
| 障害対応 | 事業停止・顧客説明の判断 | 監視、調査、復旧、記録 |
| アカウント | 承認、在籍確認、例外判断 | 登録、削除、棚卸し |
| SaaS選定 | 業務要件、予算、採否 | 比較、検証、設定支援 |
| 開発 | 優先順位、要件、検収 | 設計、実装、テスト |
| セキュリティ | 許容リスク、報告判断 | 診断、監視、改善支援 |
説明責任者を外部ベンダーだけにすると、障害や契約終了時に自社で判断できません。一方、実行担当をすべて社内にすると兼任情シスへ負荷が集中します。
ベンダー変更時の引き継ぎ検収
- ソースコードが最新版で、ビルド・デプロイできる
- 本番・検証環境の構成と差分を説明できる
- ドメイン、DNS、証明書、クラウド、SaaSの契約名義が分かる
- 管理者、委託先、退職者を含む権限一覧がある
- バックアップの場所と復元手順を第三者が試せる
- 未解決障害、既知の制約、暫定対応が一覧化されている
- 定例作業、月末・年末処理、更新期限がカレンダー化されている
- 個人情報、秘密情報、ログの返却・削除を確認できる
資料の存在だけでなく、新しい担当者が実際に定例作業と復旧を行えるかで検収します。
採用と外部活用を同時に進める場合
採用予定だから外部支援を止めるのではなく、外部チームに業務の棚卸しと標準化を依頼し、採用する役割を明確にします。入社後は、判断根拠、構成図、契約、障害履歴、改善バックログを引き継ぎ、外部側は専門作業や繁忙対応へ縮小できます。
反対に、採用できない状態を理由に丸投げを続けると、契約更新や障害時の判断がベンダー依存になります。少なくとも予算、優先順位、データ利用、停止、顧客説明の責任者は社内に置きます。
GXOの初月診断で整理すること
GXOでは、現行ベンダーを直ちに変更する前提では進めません。IT資産、契約、担当者、権限、障害、定例作業を確認し、継続、条件変更、役割追加、段階移管の選択肢を作ります。初月の成果物を見積条件書と90日計画に転用し、小さな月額支援から保守移管、FDE、開発、セキュリティ支援へ必要な範囲だけ広げます。
経営判断の結論
内製化率や外注比率に正解はありません。社内に残すべきものは、事業優先順位、業務上の例外、許容リスク、予算、停止・顧客説明の判断です。外部へ出しやすいものは、監視、専門調査、実装、定例作業、繁忙時の追加能力です。この境界を文書化し、契約終了後も自社が判断できる構成図・履歴・手順を残せる体制を選びます。見積価格が安くても、判断材料と引き継ぎ資産が残らない契約は、将来の変更費用を高くします。
体制決定後は半年ごとに役割を見直します。重要になった業務は判断と知識を社内へ戻し、一時的な移行・障害対応は外部能力を増やします。契約を固定したまま業務だけが変わると責任の空白と追加費用が生まれます。月次KPI、障害履歴、改善バックログ、採用状況から、継続、縮小、追加、移管を判断してください。
FAQ
一人情シスでも内製化できますか
全作業の内製化は現実的でない場合があります。優先順位、業務知識、予算判断を社内に残し、監視、実装、セキュリティ、夜間対応を外部と分担します。
ベンダーを変更するとき最初に集める資料は何ですか
契約、システム構成図、アカウント、ソースコード、データ、障害履歴、定常作業、連絡先を集めます。不足資料そのものをリスクとして記録します。
外注先に改善提案まで求めるべきですか
求める場合は、月次会議、KPI、改善バックログ、実施上限を契約条件にします。「保守」に含まれると期待するだけでは実行されません。
IT運用体制を、外注か内製かではなく月次で進む形にしたい方へ
GXOは、情シス代行、FDE、開発チームアサイン、レガシー刷新、セキュリティ復旧、月次改善まで支援します。
公式情報・確認日
- 経済産業省 デジタルスキル標準(確認日: 2026年7月12日): https://www.meti.go.jp/policy/it_policy/jinzai/skill_standard/main.html
- IPA デジタルスキル標準(確認日: 2026年7月12日): https://www.ipa.go.jp/jinzai/skill-standard/dss/index.html
- IPA 中小企業の情報セキュリティ対策ガイドライン(確認日: 2026年7月12日): https://www.ipa.go.jp/security/guide/sme/about.html







