業務システムのクラウド化が進む中で、企業においてSaaS利用が進んでいる。そんなSaaSの利用状況を帳簿的に一元管理できるSaaS管理ツールへのニーズが、高まっている。本稿では、SaaS管理ツールの実態について見ていく。
必要な業務システムを自社やSIerの力を借りて開発、運用する時代から、汎用(はんよう)的なSaaS(Software as a Service)を利用する時代に変わりつつある。第三者機関の調査によれば、SaaS市場はパッケージ市場と同等の規模にまで膨らみ、数年後にはSaaSの市場規模が上回ることが予測される。システムの「所有」から「利用」へと企業の意識が変わり、SaaSの利用は今後ますます広がるだろう。
それは同時にSaaSを管理するという新たな業務も生み出す。今回はさまざまなSaaS管理の課題とそれを解決する「SaaS管理ツール」を解説する。IDaaSなどのID管理製品やCASBなどのセキュリティ製品との違いも整理する。
ある調査によれば、情報システム部門が把握するものだけでも10個前後のSaaSが標準的に利用されているという。稟議(りんぎ)ベースでは情報システム部門が把握していても、その利用実態までを細かく見ていないケースも散見される。
部門単位で独自に導入しているものを含めると、多い企業では200を超えるSaaSが使われているケースもあるほどで、シャドーIT化したSaaS利用が広がっているのが現実だ。
その結果、同じSaaSを複数の事業部で重複契約していたり、アカウント管理の不徹底で退職者など休眠アカウントが放置されていたりと、無駄なコストが発生している企業も少なくない。
情報システム部門を中心にSaaS管理を所管する部門の管理工数も、SaaS利用の申請が増えるたびに負担が大きくなる。部門内での利用が進むことでシャドーITによるリスクが拡大し、パスワードの漏えいなどセキュリティリスクも高まる。
SaaSを管理する部署は情報システム部門だけとは限らず、総務などの部署と兼任で管理している企業もある。情報システム部門のような専任者であればセキュリティ機能などを求め、総務などの部署では利用実態を把握するために帳簿的な機能が求められる傾向にある。
業務の拡大に応じて柔軟に利用可能なSaaSだけに、コストやセキュリティの面で顕在化していない潜在的な課題への対策も求められてくる。
SaaS管理ツールは、主に企業で利用するSaaSアカウント情報を一元的に管理することで管理工数の負担を軽減し、重複したサービスや休眠アカウントなどを把握し、コストを最適化するものだ。
昨今では、SaaSを利用する際のID作成から退職者のID削除など、ライフサイクル管理の機能を自動化する機能をサービスとして付加する流れもある。
さまざまなベンダーからSaaS管理ツールが提供されているが、基本的なSaaSアカウントの管理機能を中心に、それぞれカバーする範囲が異なっているのが現状で、どの機能を内包しているのかはサービスによって大きく異なる。
SaaSの利用状況とともにITデバイスの管理も含めたIT資産管理的なソリューションをはじめ、「Microsoft Active Directory」(以下、AD)などの内部ディレクトリやクラウドでディレクトリ管理が可能なIDaaS(IDentity as a Service)と連携してSaaSアカウントの自動発行などが可能なもの、SaaS管理ツール自身がIDaaSとして機能するものまで、幅広いソリューションカテゴリーとなっているのが現状だ。
SaaS管理を行うソリューションには、「Microsoft Azure Active Directory」や「Okta」といったIDaaSもあれば、SaaSを誰がどのように利用しているのが内部の動きを把握して監査や検知などを行うCASB(Cloud Access Security Broker)のようなソリューションもある。この辺りとはどのようにすみ分けたソリューションなのだろうか。
SaaS管理ツールが持つ基本的な機能は、企業全体でのSaaSアカウントの利用状況やコストを把握するための帳簿的な役割が中心で、CASBのようにSaaSで許可されていないファイルのやりとりが行われていないかといった内部の動きまでを把握する監査的な色合いの強いソリューションとは異なる。
また、IDaaSは複数のSaaSに対してシングルサインオン(SSO)機能を提供し、IDの生成から廃棄までのライフサイクル管理を行う認可・認証機能を提供するものだが、契約情報やコスト面の把握など帳簿的な管理機能はない。SaaS管理ツールとIDaaSが近い領域にあることは間違いないが、今後明確に住み分けされていくのかどうかは未知数だ。
SaaS管理ツールによって提供される機能の範囲が異なるため、共通化された機能として紹介することは難しい。今回は、帳簿的にSaaSの利用状況を可視化する機能とともに、IDaaS機能も提供するSaaS管理ツールの一つである「メタップスクラウド」を例に、その機能について見ていきたい。なお、紹介する機能の中には一部開発中のものもある。
SaaSアカウントの発行の有無とSSOの設定状況が1つの画面で可視化できる機能だ。SaaSごとに用意された個別の管理画面にアクセスせずともアカウントの発行状況が確認できる。SaaS管理ツール側で手作業で登録した情報とAPIを経由してSaaS側に登録された情報の差分が確認でき、アカウントの削除漏れなどの把握も可能だ。もちろん、SaaSのAPI対応状況によっては差分の把握が難しい場合もある。
単にSaaSの登録情報を管理するだけでなく、SaaSにどの程度のコストが発生しているのかを可視化できる機能だ。「Excel」などを駆使して管理している企業も多いが、登録状況及びコストの双方の視点から企業全体のSaaS利用状況を把握できる。コストについては、APIを経由した自動取得だけでなく、管理者権限を利用してSaaSの管理画面から取得する方法、手作業による入力などが可能だ。
コストについては、契約しているSaaS全体はもちろん、利用しているSaaSごとで可視化できる。所属している組織ごとのコスト把握も可能だ。
コストだけでなく、契約プランや契約更新日などSaaSごとの契約情報の登録も可能で、契約更新日前にはアラートを通知する機能も準備している。SaaSに特化した契約管理の基盤としても活用できる。
それぞれのSaaSにアクセスするためのポータル画面に対して、アクセス制御が可能な仕組みも備わっている。具体的にはIP制限やデバイス、ブラウザによる制御、端末証明書の有無、多要素認証による制御など、さまざまなアクセスコントロールが可能だ。アクセスコントロールは、事前に設定された組織やグループごとの働き方に合わせてセキュリティポリシーが設定可能で、出社時とテレワーク時でアクセスできる環境を変えるといったことも可能だ。
中には、部署ごとでSaaSのアカウントを共有して利用するケースもあるため、共有アカウントに対するアクセスコントロールも必要だ。具体的には、共有アカウントの把握から誰がログインしているかなどの履歴管理、そして退職者が出た場合のパスワード変更などの管理が必要になる。
1つのID・パスワードを入力するだけで、自身が許可されている複数のSaaSにログインできる機能だ。パスワード管理の手間や情報漏えいリスクを最小限に抑えることができ、アクセスコントロール機能によって外部からの不要なアクセスを制御し、セキュリティリスクを軽減できる。
SSOの手法については、SaaS管理ツールがIDプロバイダーとしてSAML(Security Assertion Markup Language)によるIDP認証を行う方法や、Webブラウザの拡張機能を利用して利用者の代わりにID・パスワードを入力するフォームベース認証などが用意されている。
クラウドで利用できるSaaS管理ツールだが、ライセンス体系はそれぞれ各社によって考え方が異なる。管理するSaaSの利用数で月額固定のサービスもあれば、SaaSのアカウント単位で費用が変動するもの、管理者権限を持つ人数とSaaS利用数による従量課金などさまざまだ。SSO機能を提供するサービスなどでは、SaaSを利用する人数分のライセンスが発生するなど、利用するサービスやその機能によってライセンス体系が異なることは意識しておきたい。
最後に、SaaS管理ツールを選定する際に必要な視点や、勘所を説明する。
前述した通り、SaaS管理ツールは帳簿的にSaaSの利用状況を可視化、管理することが基本的な機能だが、IDaaS機能やデバイス管理など提供するサービスによって提供範囲の深度が異なるため、導入を検討する企業からしても選択が難しいところだ。
SaaSの利用状況を把握した上で、数年後にはどこまで管理したいのか、将来的にはどんな制御をしたいのかといった視点を持つことが大切だ。SaaS管理ツールは、あくまで利用状況や契約情報の帳簿として利用し続けるのであれば、機能やライセンスもシンプルなサービスで十分だろう。現状IDaaSなどディレクトリ管理の基盤を利用していなければ、SaaS管理ツール側で社内の人事マスターと連携させてID管理したいというニーズもあるはずだ。現状を理解した上で、将来的な視点でのサービス選びを意識したい。
SaaS管理ツールでは、手入力だけでなく、契約しているSaaSから情報を取得してSaaS管理ツール側で一元管理できる自動化の仕組みが備わっている。ただし、このアカウント情報の取得方法は各社で違いがある。SaaSが用意するAPIを利用するパターンもあれば、利用者を承認するためのOAuthを利用して取得する方法、そしてSaaSの管理画面から任意の情報を抽出するスクレイピングなどによって情報を収集するといった手法が存在する。
特にスクレイピングに関しては、SaaS側が用意しているAPIなどに依存せずに管理画面から情報を取得するため、APIが解放されていないSaaSに対しても有効なソリューションで、魅力的なアプローチの一つだろう。これは、HTML内の画面から任意の情報を抽出するようなRPA(Robotic Process Automation)的なアプローチと同様だが、RPAにおいてもWeb画面の変更などによってエラーが発生するなど、定期的なメンテナンスが必要なケースも多い。自動化によって効率化を目指す場合でも、使われているテクノロジーの違いを意識した上で検討したいところだ。
テクノロジーの違いではないが、SaaS側からIDを取得することが可能でも、自社で管理するSaaS情報を登録して差分を確認する機能を持たないものもある。この場合、自分で管理しているものと自動取得されたアカウント情報を見比べる手間がかかるため、差分が効率的に収集できる仕組みがある方が効率的だろう。
SaaS管理ツールによって提供機能の範囲は異なるが、できれば自社の環境に応じて柔軟に使い分けられるソリューションを選択したい。そして、SaaSの専任管理者が配置されていない場合は、可能な限りサービス側から気付きを得られ、効率的に設計できるソリューションが理想的だ。特にアクセス制御など自社のセキュリティポリシーに応じて柔軟に設計でき、ディレクトリの有無にかかわらず対応できるなど、自社の環境に応じて使い分けられるものを選びたい。
管理者が不在の場合、各事業部門が勝手にSaaSの契約を進めていってしまうと、アカウントやプランの重複などコスト面での無駄も生じる。専任者であればチェックできる部分でも、兼任者であればその無駄には気付くことは難しい。気付きが得られるという意味でも、重複したアカウントやプランの最適化など、コストの無駄などが手間なく把握、評価できるようなプラットフォームであることが望ましい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。