本記事のポイント
「前任者から Excel と口頭で ID とパスワードを渡されたんですが、これで全部なのか分かりません」。マーケの引き継ぎでよく聞く悩みです。
本記事では、この散乱状態を台帳スプレッドシートで棚卸しする手順を、そのまま再現できる STEP に落として解説します。特別なスキルは要りません。型と巻末のキットがあれば誰でも組めます。
原因は引き継ぎの雑さではなく、台帳と認証情報をひとつのファイルに混ぜてしまう設計にあります。
完成形から見せます。ゴールは 2 つのものが揃った状態です。1 つは全ツールのメタ情報が並んだ台帳スプレッドシート、もう 1 つはパスワードや API トークンが入ったパスワードマネージャ (または SSO) です。
なぜ 2 層に分けるのか。理由はシンプルで、スプレッドシートはパスワードを守るようにはできていないからです。
米国 NIST のガイドラインは、パスワードを平文で保存しないこと、専用のパスワードマネージャで管理することを推奨しています。共有ドライブのスプレッドシートに ID とパスワードを並べると、閲覧権限を持つ全員がすべての鍵を持つ状態になります。
台帳は「どこに何のアカウントがあるか」を見渡す地図で、鍵そのものは別の金庫にしまう、と考えてください。
| 項目 | 内容 |
|---|---|
| 棚卸しの所要時間 | 着任初週の半日 (3〜4 時間。ツール 20〜40 個の場合) |
| 用意するもの | Google Sheets (または Excel) / パスワードマネージャ 1 つ / 過去の請求メール |
| 台帳に載せるもの | ツール名・用途・URL・管理者・契約 / 課金・権限者一覧・認証情報の保管場所・棚卸し日 |
| 台帳に載せないもの | パスワード・API トークン・秘密鍵・クレジットカード番号 |
以下、STEP 1 から順に進めます。まず台帳の列を設計し、次にデータを埋め、最後にパスワードと権限を安全な形に組み直します。
「とりあえず ID とパスワードを 2 列で並べればいいですか」。棚卸しを始めるとき、まずここで迷います。
台帳にパスワードの列は作りません。
置くのは、そのツールを「誰が・何のために・いくらで」使っているかというメタ情報だけです。台帳は次の 8 列で足ります。
| 列 | 中身 | 例 |
|---|---|---|
| ツール名 | サービス名 | HubSpot / Google Analytics / Canva |
| 用途 | 何に使うか (1 行) | MA・CRM / アクセス解析 / バナー制作 |
| URL | 管理画面のログイン URL | app.hubspot.com |
| 管理者 | 契約・支払いの責任者 | 栗田 |
| 契約 / 課金 | プランと月額・支払い方法 | Starter / $20 月・会社カード |
| 権限者一覧 | ログインできる人 | 栗田 / 佐藤 (編集) / 外注 A (閲覧) |
| 認証情報の保管場所 | パスワードのありか | 1Password「マーケ」Vault |
| 棚卸し日 | 最後に確認した日 | 2026-07-08 |
ここで効いてくるのが「認証情報の保管場所」列です。パスワード本体の代わりに、それがどこにあるか (どのパスワードマネージャのどの Vault か、SSO 経由か) だけを書きます。
台帳を見た人は「このツールの鍵は 1Password のここにある」と分かり、権限がある人だけがその金庫を開けられる、という導線になります。
よくある失敗は、「権限者一覧」を空欄のまま放置することです。この列こそ、退職・異動が起きたときに真っ先に見る場所になります。誰が編集で誰が閲覧かまで書いておくと、STEP 4 の権限見直しが一気に楽になります。
→ 台帳の初期データは巻末の実行キットで一気に整形できます。
「そもそも、うちが何のツールを契約しているのか誰も把握していません」。これは珍しい状況ではありません。
ツールは現場が必要に応じて個別に契約するので、増えるほど全体像が失われます。
棚卸しは、この散らばった痕跡を 1 か所に集める作業です。洗い出しの情報源は大きく 4 つあり、この順で当たると漏れが減ります。
集めたものを、STEP 1 の 8 列にそのまま流し込みます。この時点では埋まらないセルがあって構いません。まず全ツールを行として起こし、分かる列から埋めるほうが速く進みます。
よくある失敗は、無料プランのツールを台帳から漏らすことです。お金が動かないぶん請求明細に出てこないのに、顧客データやログイン情報は同じように抱えています。「お金が出ていないツール」を最後に一度、現場ヒアリングで拾い直してください。
「棚卸しはできたので、あとはこの一覧にパスワードを足せば完成ですよね」。ここが分岐点です。
パスワードを台帳に足した瞬間、その一覧は「見られたら終わり」の危険なファイルに変わります。
台帳とパスワードは、最後まで別々に保ちます。認証情報の置き場所は、次の 2 つで組みます。
NIST のガイドラインも、強く長いユニークなパスワードを生成・保管する手段としてパスワードマネージャを推奨しています。人が覚えられる範囲で使い回すより、マネージャに全部生成させて人間は 1 つのマスターパスワードだけ覚えるほうが、はるかに安全です。
よくある失敗は、マネージャを導入したのに古いスプレッドシートや個人メモを消し忘れることです。鍵が 2 か所にあると、片方を更新しても片方が古いまま残り、そこから漏れます。移し終えたら元のメモは必ず削除し、台帳に残すのは「保管場所」の一行だけにします。
「半年前に辞めた業務委託の方、まだツールにログインできる状態でした」。棚卸しをすると、こういう置き去りアカウントが必ず見つかります。
CISA (米国の政府機関) は、正規のアクセス権を持つ内部者ほど動きが正常に見えるぶん被害が大きいと指摘し、退職・異動時の速やかなアクセス削除を中核の対策に挙げています。権限の見直しは、2 つのタイミングで回します。
判断の軸は「最小権限」— 業務に必要な最小限のアクセスだけを渡し、迷ったら閲覧から始めます。
全員を管理者にするのがいちばん楽ですが、それは全員が全部を消せる状態でもあります。
よくある失敗は、棚卸しを「一度やって終わり」にすることです。ツールも人も入れ替わるので、台帳は放っておくと 3 か月で古くなります。四半期に一度、カレンダーに 30 分の枠を入れて権限者一覧を見直す、とルール化しておくのが現実的です。
ここまで組んだら、次の 3 点を確認します。3 つが揃えば、棚卸しは機能する状態になっています。
特に 2 点目の突き合わせが大事です。台帳とパスワードマネージャの両方向から見て件数が合えば、散乱していたアカウントが漏れなく 2 層に収まったことになります。
散乱したツールアカウントは、メタ情報の台帳と認証情報のパスワードマネージャ / SSO に分けるだけで、驚くほど見通しが良くなります。台帳は 8 列で足り、着任初週の半日で埋まります。
いちばん大事なのは、台帳にパスワードを書かないこと。台帳は「どこに何があるか」を示す地図で、鍵そのものは別の金庫にしまう、という 2 層の線引きです。私たち humbulls は、こうした足元の情報整備こそマーケの立ち上がりで最初にやるべき仕事だと考えています。
棚卸しが済んだら、次は限られたリソースで何から着手するかの計画づくりです。
humbulls では、ツール整備から運用体制づくりまで伴走する Growth Partner サービス を提供しています。
散らばったメモや請求メールの断片を、STEP 1 の台帳フォーマットに整形するためのキットです。プロンプトの記入例を自社の情報に置き換えて渡してください。
種別: 実装キット 使うもの: Claude (ブラウザ版で可) 事前に用意するもの: 請求明細・登録通知メール・前任者メモなどのテキスト (コピペで貼れる範囲でよい。パスワードは貼らない)
プロンプト:
バラバラなツール契約の情報を、アカウント台帳の表に整形してください。
【私の手元にある情報】(記入例。自社の実データに置き換え)
- カード明細: HubSpot $20/月、Canva Pro ¥1,500/月、Zoom ¥2,000/月
- メール: 「Google Analytics へようこそ」「Notion のトライアル開始」
- メモ: SNS 予約投稿は Buffer、前任者の田中さんが契約、たぶん無料プラン
【必ず守る整形ルール】
1. 出力は次の 8 列の表にする:
ツール名 / 用途 / URL / 管理者 / 契約・課金 / 権限者一覧 / 認証情報の保管場所 / 棚卸し日
2. パスワード・API トークン・カード番号の列は絶対に作らない
3. 「認証情報の保管場所」列は、私がパスワードマネージャに登録する前提で
すべて「(要登録: 1Password マーケ Vault)」と仮置きする
4. 情報が無いセルは空欄にし、勝手に埋めない(推測で URL やプランを作らない)
5. 表の下に、情報が足りず確認が必要な項目を箇条書きで挙げる
【出力】
- 8 列の Markdown 表(Google Sheets にそのまま貼れる形)
- 確認が必要な項目リスト
出力の確認ポイント:
うまくいかないとき: