シャドーITは本当に「悪」なのか？ SaaS時代のIT資産管理の心構えとは

企業で利用されるIT資産は、PCやスマートフォンなどのデバイスだけでなく、SaaSやクラウドサービスへと広がっている。本稿では、IT資産管理ツールの進化や最新トレンド、主要機能に加え、SaaS時代に求められるツール選定の視点について解説する。

[酒井洋和，キーマンズネット]

　IT資産管理ソリューションは、PCをはじめとする各種デバイスを管理するツールとして、何十年も前から活用されてきた。近ごろは、単なるデバイス管理にとどまらず、SaaS管理の領域まで機能を拡張し、管理台帳の効率化を支えるだけでなく、セキュリティやガバナンス対応まで担うソリューションへと進化している。本稿では、こうしたIT資産管理ソリューションの現状について見ていく。

IT資産管理ツールの変遷　インベントリ収集からSaaS管理の時代へ

　企業が管理するサーバやPC、スマートフォンなどの各種デバイスの台帳を作成し、構成情報などを効率的に管理するのがIT資産管理ツールだ。2000年代前半には、ネットワーク経由でPCの台数やOSのバージョンなどのインベントリ情報を収集し、資産管理の効率化を図るツールとして多くの企業で導入が進んだ。

　2000年代後半になると、OSやソフトウェアのライセンス管理に加え、操作ログの取得による内部統制の強化や情報漏えい対策が注目されるようになった。特にソフトウェアベンダーによるライセンス監査の厳格化を背景に、ソフトウェアの購入から廃棄までのライフサイクル全体を管理するSAM（Software Asset Management）の概念も広く認知されるようになった。

　2010年代に入ると、働き方の多様化や業務アプリケーションのクラウドシフトが進み、社外に持ち出すPCや貸与されるタブレット、スマートフォンなどを管理するMDM（Mobile Device Management）機能も取り込まれるようになる。この流れの中で、IT資産管理はオンプレミス中心の環境からクラウド型管理ソリューションへと進化してきた。

　今では、クラウドシフトの進展とSaaSの利用拡大を背景に、SaaSの契約情報やシャドーIT対策のアカウント管理に注力したソリューションが増えている。従来型のIT資産管理ツールを起点に機能拡張を進めるベンダーもあれば、SaaS管理を起点に社内デバイスの台帳管理機能を拡張するベンダーもあり、ソリューションの成り立ちはますます多様化している。

多様化する主管部門とIT資産管理の新たな役割

　IT資産管理ツールを利用する部門も多様化している。従来は、PCやサーバを管理するインフラ寄りの情報システム部門が中心だったが、現在では、スマートフォンの配布・管理を担う総務部門や、SaaSの活用を経営視点で推進するDX推進部門など、利用目的に応じて主管部門が企業内で幅広く分かれている。

セキュリティインシデント対策に向けたアカウント管理の厳格化

　最近、大企業を中心にランサムウェア被害が経営に大きな影響を及ぼしており、セキュリティ対策を経営課題として重視する企業が増えている。セキュリティインシデントの起点も多様化しており、VPNの脆弱（ぜいじゃく）性を狙った攻撃に加え、業務委託先に付与したSaaSアカウントが侵害の起点となるケースも報告されている。このような背景から、SaaSアカウント管理の厳格化に対するニーズが高まっている。

　特に、サプライチェーンを含めたSaaS利用の実態を把握するため、SaaS管理機能を備えたIT資産管理ソリューションへの関心や問い合わせも増加している。

　こうした流れの中で、従来のID管理中心の考え方から、利用者の所属や役割、属性といった情報を含めたアイデンティティーを軸に管理する動きが広がりつつある。人の属性を起点としてアカウントやライセンスの状況を把握・管理する手法は、現在のIT資産管理におけるトレンドの一つとなっている。

為替影響で叫ばれるFinOps

　昨今の為替変動の影響で、SaaSを提供する海外ベンダーによる値上げが相次ぎ、予算確保に苦慮する企業も少なくない。こうした状況の中で注目されているのが「FinOps」だ。FinOpsは、Finance（財務）とDevOps（Development〈開発〉、Operations〈運用〉を組み合わせた造語で、米国のFinOps Foundationが提唱した概念だ。

　FinOpsは、クラウドの利用状況やコストを単に管理するだけでなく、クラウド活用を通じて企業価値や利益の最大化を目指す考え方を示すものだ。為替変動によってクラウドサービスのコスト意識が企業内で一層高まる中、SaaS管理の領域においても注目されるキーワードの一つだ。

IT資産の把握が人間の認知限界を超える

　従来のIT資産管理は、ハードウェアやソフトウェアといった資産を管理するツールとして発展してきた。だが、SaaSをはじめとするサービスの利用状況まで把握する必要性が高まる中、今後はAIエージェントのように、複数のソフトウェアを自動的に使い分けながら業務目標を達成する存在の管理についても議論が始まりつつある。

　特に、複数のソリューションを横断して利用するAIエージェントの登場により、管理対象が人間の認知能力の限界を超える可能性も指摘されている。こうした状況では、人間の能力に依存した従来型の管理手法だけでは対応が困難になる。

　今後は、人間が策定したポリシーに基づき、AIも活用しながらプログラマブルな管理を求められる可能性が高い。IT資産管理の領域においても、こうした新たな管理モデルの確立が、今後の市場の方向性として意識されることになりそうだ。

AIによる分析機能が加速

　AIを取り入れたIT資産管理ツールの中には、従来よりも踏み込んだ分析機能が実装されているものもある。例えば、ハードウェアの故障予測や、未使用リソースの検出と最適化提案、ライセンス更新タイミングの予測など、さまざまな情報をAIが分析し、ダッシュボード上で提示する機能だ。

　IT資産管理ツールは、エンドポイントのハードウェア情報を詳細に収集できる特性を持つ。従来よりも深いレベルでデータを分析し、運用や最適化に向けた示唆を提供する役割を担うようになっている。

インベントリ収集、SAM、ライフサイクル管理などの主要機能

IT資産を把握する方法

　IT資産情報の収集方法としては、各PCに専用エージェントを展開して詳細なインベントリ情報を取得する方式と、エージェントを導入せずにネットワーク上の機器をスキャンして情報を収集するエージェントレス方式が一般的だ。

　SaaSの利用状況を把握するには、SaaSとのAPI連携や「Microsoft Entra ID」などのIdPとの連携、さらにはブラウザに拡張機能としてプラグインを導入する方法がある。

　一方、従業員が個別に利用するSaaSも多く、シャドーITの把握は容易ではない。そのため、ブラウザプラグインに加え、GoogleやMicrosoftなどのアカウントを使った外部Webサイトやアプリへのアクセス情報（ソーシャルログイン）を取得して利用実態を把握するという方法もある。それでも把握が難しい場合には、各部署に利用状況の申告を求めるアンケート機能を備えたソリューションも提供されている。

IT資産管理の運用における考え方

　デバイスを中心とした管理であれば、情報システム部門や総務部門など、購買を担当する部署が全体像を把握しやすい。だが、SaaSは部署単位で容易に契約できるため、単に利用状況を可視化するだけでは不十分だ。定期的に棚卸しをし、日々の運用の中でリスクを評価した上で、必要に応じて利用制限を設けるなどの対応が求められる。

　加えて、入退社や異動に合わせてアカウントの追加・削除を適切に行うなど、継続的な管理を通じて最適な運用を維持することが重要だ。

SaaS管理のあるべき姿（提供：ジョーシス）

IT資産管理ソリューションが持つ基本機能

　IT資産管理ソリューションは、台帳を軸にハードウェアやソフトウェアやSaaSなどのIT資産を管理する機能を中心に構成される。主な機能としては、定期的なインベントリ収集や、契約情報や利用状況の分析を担うSAM（Software Asset Management）機能、IT資産の調達から配布・更新・廃棄までを管理するライフサイクル管理機能、脆弱（ぜいじゃく）性やシャドーITの把握を支援するセキュリティ機能などがある。歴史の長い分野であることから、これらの基本機能はすでにコモディティ化している面も少なくない。

IT資産管理ソリューションの特徴的な機能

　ここで、ジョーシスが提供するソリューションのダッシュボードを見てみよう。ジョーシスのソリューションは、ITデバイスからSaaSまで社内のIT資産を一元管理できるもので、SaaSやPCにインストールされたソフトウェア情報、保有するITデバイスの情報を、1つのダッシュボードで把握できる。

IT資産管理ソリューションのダッシュボード画面（提供：ジョーシス）

　各メンバーの状況を把握しやすくするため、従業員台帳に基づき、各メンバーが保有するアプリの一覧を可視化できる。例えば、「Box」であれば、使用済みストレージ容量や外部コラボレーションの制限など、アプリの利用状況を詳細に確認することが可能だ。

SaaSアカウント管理画面（提供：ジョーシス）

　人事マスターと照合することで、退職者IDの把握はもちろん、アクセス権の付与状況を確認できる特権アカウントの可視化や、Slackなど外部委託先を招待する機会が多いサービスのアクセス権監視も可能になる。こうした情報漏えいリスクの排除に向けた可視化機能が充実していることが大きな特徴だ。

　さらに、ID管理に関するワークフローを設定することで、アカウントの発行から削除までのライフサイクル管理を自動化できる。具体的には、ワークフローの起点となる「トリガー」を設定し、条件を満たすかどうかを確認した上で、スケジュールに沿ってアカウント削除などの処理を自動的に実行できる。例えば、契約しているBoxに30日以上アクセスしていないユーザーにアンケートを送付し、不要と判断された場合は自動でアカウントを削除するといった運用も可能だ。このようにポリシーに基づく自動管理により、管理者の負担を大幅に軽減できる。

ワークフロー設定画面（提供：ジョーシス）

SaaS時代のIT資産管理ツール選定の視点

人に関連したアイデンティティーからIT資産を把握する

　かつてはデバイスを起点にIT資産を管理する時代だったが、現在ではデバイスに加え、アプリケーションやSaaSも含めたIT資産を適切に把握することが求められている。そのため、物理的なものを軸にした管理から脱却し、人を軸にした管理への移行が重要だ。

　具体的には、人事マスターにひも付く従業員がどのデバイスでどのアプリケーションやSaaSを利用しているのか、さらにそれぞれの権限状況まで把握できることが理想的だ。スマートフォンやPCなど複数のデバイスを1人の従業員が使用し、部門ごとに異なるSaaSを利用することが日常化している現状を踏まえると、人に基づくアイデンティティーを軸にIT資産を管理するアプローチが求められている。

シャドーITに対する考え方を改める

　現在、業務に役立つSaaSが多数存在する中で、全ての管理を情報システム部門だけで担うことは現実的に難しい場合がある。その結果、全社共通で利用するSaaS以外は、各部署が独自に契約・運用しているケースが多い。デバイスの調達に情報システム部門が関与できても、各部署が導入するSaaS全てを管理下に置くことは困難だ。

　ここで問題となるのは、部門ごとに契約されているSaaSをシャドーITとして完全に排除すべきか、それとも利便性を生かしつつ管理下に置くべきか、という点だ。業務の効率化や生産性向上に寄与するサービスも多いため、全社導入ではなくても、可能な限り管理対象に含めつつ現場の取り組みを妨げない関わり方が望ましい。

　情報システム部門は、セキュリティや権限管理などの最小限の部分を確実に管理しつつ、定期的な棚卸やセキュリティ設定などの対策に介在できる環境を整備する必要がある。その意味で、運用は各部門に任せ、可視化や棚卸に関与する“L字型”の対応が求められる。

SaaSの棚卸は「L字型」で対応（提供：ジョーシス）

増え続ける連携先、柔軟な仕組みが望ましい

　社内で調達したデバイスの管理では、手動で資産状況を把握するだけでなく、エージェントの展開やブラウザプラグインなどを使って資産を自動的に捕捉できる環境が不可欠だ。一方、SaaSなどのサービスについては、APIやIdP連携を活用し、変化の激しい利用状況を適切に把握することが求められる。

　だが、部門単独で導入しているサービスの中には、外部連携可能なAPIが提供されていない場合もある。その場合は、RPAを活用してスクレイピングによりサービス状況を取得する方法もあるが、対象が多くなると個別対応は非常に手間がかかる。こうした課題に対し、連携用プログラムを生成AIで自動作成し、情報収集を実現するソリューションを提供するベンダーも登場している。資産管理においては、できる限り精緻な情報を収集できる仕組みが整っているかどうかを確認することが重要だ。