SaaS管理ツールとは? IDaaSとの違い、SaaS導入企業が抱える課題の解決法を解説
企業が使うSaaSの数は数十とも数百ともされる。SaaSの権限管理の漏れは重大なインシデントにつながるリスクがある。これらを表計算シートで管理するのは現実的ではない。
SaaSの特徴は、初期投資や事前のインテグレーションが不要で、必要なときにすぐ使い始められる点にある。しかも支払いは「利用した分だけ」なのでコストパフォーマンスも良い。ITベンダーが自社サービスをSaaSとして提供する例もどんどん増えている。
現在、企業の規模を問わずにほとんどの企業が何らかのSaaSを使っている。これらのアカウント情報の管理は「表計算シートの参照」や「人事や現場部門から申請を受けてIT部門が対応する」といった手法がとられがちだ。それでは今後も増え続けるSaaSに対応しきれず、さまざまなリスクの温床になる。
一社当たり数百種類の例も 増え続けるSaaSの課題
SaaS導入企業が抱える課題を解消するSaaS管理ツールを導入することで、従来の管理手法では対応しきれなかった効率化が可能になる。本稿はSaaSを取り巻く現状とアカウント管理における課題、IDaaSとの違いなどについて解説する。
皆さんは仕事でいくつSaaSを利用しているだろうか。Googleのメールサービス「Gmail」や「Microsoft 365」、オンライン会議の「Zoom」をはじめ、営業支援や会計、名刺管理、人事労務など、従来はオンプレミス環境や手元のPCにアプリケーションをインストールするのが当たり前だったさまざまなツールがクラウドで提供されている。
過去にキーマンズネットが実施した調査では、日常の業務で利用しているSaaSの数を「1〜3種類」と回答したユーザーが多かった。しかし実際に企業が管理しているSaaSは数十〜数百に上るという。
SaaSアカウント管理を支援するプラットフォーム「YESOD」を提供する、イエソド創業者の竹内秀行氏は「1企業が利用するSaaSの数は、平均23種類といわれている。IT系新興企業にヒアリングをすると、300から400ものSaaSを利用しているケースもある」と述べた。 ユーザーの認識との乖離が大きいのは、それだけ意識していないSaaSが大量に存在するためだろう。
SaaSは単独で使いやすい半面、SaaS同士での情報共有や権限設定の連携といった「横のつながり」が薄いという弱点がある。そこで懸念されるのは、情報漏えいなどのセキュリティリスクへの備えだ。現場の事業部が独断で利用してIT部門が把握できない「シャドーIT」や、設定ミスによってクラウド上の情報が公開されてしまうといった問題は、増え続けるSaaSの管理が従来の手法では難しくなっていることに起因する。
IDとパスワードの管理は、以前からIT管理者とユーザーの双方を悩ませてきた。オンプレミス環境においてもPCやメール、ポータルサイト、ファイルサーバなど、増え続けるアカウント情報を管理して適切な権限をどのようにコントロールするかは悩ましい問題だった。
それがSaaSの普及によって、さらに深刻化している。数百人の従業員が、数十、時には数百ものSaaSを使えば、管理するアカウント数は数万を超える。入社や退社、人事異動のたびにアカウントの発行や権限管理をIT部門が手動で実施する負荷は大きく、しかも事業部や業務ごとに異なるSaaSを、時には無断で使っているケースもあると考えれば、状況の把握すら困難になってしまう。実態として「Microsoft Excel」や「Google SpreadSheet」などの表計算ソフトで管理しているケースも少なくないと思われるが、例えば所属が同じでも「営業部」「営業」「セールス」など文言がバラバラになっていたり、兼任をセル内に列挙していたりといった状態では、そのままデータベース化するのは不可能だ。そろそろ人の手で管理するのは非現実的なレベルとなっている。
IDaaSだけでは解決できない理由
こうした背景から生まれたのが、「AzureID」や「Okta」「OneLogin」といった「ID as a Serivce」(IDaaS)と呼ばれるサービスだ。SAML(Security Assertion Markup Language)やOpenID Connect技術を活用したシングルサインオン機能と、アクセス権限を管理する認可機能などを提供する。継続的な認証を前提とするゼロトラストセキュリティの実現においても、鍵を握るサービスとして注目されつつある。
しかし前述の竹内氏によれば、IDaaSだけで全ての問題を解決するのは難しい。
「誰がどこに所属して、どんなサービスを利用しているか」を一元的に管理する「人事マスター」がなければ、そもそもアカウント情報の源泉が分からないためだ。
現在は雇用や就業の形態が多様化し、同じ企業にさまざまな立場の従業員がいる。正社員や派遣社員、パート、アルバイト、外部パートナーなどが同じ現場で働いており、それぞれが持つべき権限は大きく異なる。
ゼロトラストセキュリティが注目され始めたのは、サイバーセキュリティにおける「内側と外側の境界線」が曖昧になってきたためだ。人事や働き方においても似た現象が起きており、「この人は組織のメンバーか否か」という境界が曖昧になっている。この結果、一体誰に業務上必要なSaaSのアカウントを払い出しているのか、全体を把握できる人がいなくなってしまっている。
「人事労務は、正社員やパート、アルバイトについては、入社日や退社日も含めてきちんと把握しているでしょう。しかし派遣社員や業務委託、外部パートナーについては事業部ごとに契約をする例が多いため管理がしきれていません」(竹内氏)。事業部からIT部門へ「アカウントの作成をお願いします」という依頼が来ても、参照すべきマスターが存在しなければその対応が正当であるかどうかも分からない。
マスター情報を作成し、分散したSaaSアカウントの一元管理を支援
SaaSアカウントはこれからも増え続けるだろう。それを会社として管理し、人の異動に応じて適切に割り振りたいが、そもそも人事情報が散在していて、何を参照すればいいのか分からない。これが「人事マスター不在問題」だ。
人事マスター不在問題は、働き方が多様化する中でさらに深刻になっている。それを補うのが「SaaSアカウント管理」だ。
SaaSアカウント管理は、あちこちに分散したSaaSアカウントの情報を集約し、誰が何を利用すべきかを管理するものだ。正社員や派遣社員、パート、アルバイト、業務委託、社外パートナーなど、業務に関わる全ての人材を対象に所属情報を管理して、属性や部署、プロジェクトチームなどさまざまな切り口でアカウントの利用状況を制御できる。
IDaaSとの違いは取り扱える人材情報の多様さと、現場でのコントロールを可能にした点にある。人事部が把握していない「業務部単位で契約する外部パートナー」の情報も含めて一元的に参照し、業務部門でアカウント権限の操作ができる。そのため現場にありがちな「IT部門の対応が終わるまでSaaSが使えない」「契約が終わった人のアカウント情報が中途半端に残っている」といった問題が解消される。SaaSアカウント管理は、IDaaSの運用を支援するものといえる。
一元管理の前提は「アカウントの見える化」
SaaSアカウントを管理するには、現状がしっかり可視化されていなければならない。例えば前述のYESODは、SaaSアカウントを見える化するサービス「YESODアカウント棚卸」を提供している。どのユーザーがどんなサービスを利用しているのか、そのアカウントは管理者権限を持つか一般ユーザーかなどを洗い出すサービスだ。
SaaSのアカウント情報を取り込み、各サービスで誰がどういった権限を持っているかを把握した上で「この人の権限は強すぎる」「このアカウントは不要だ」などを判断することで、ルールと現状のギャップを埋めた管理が可能になる。
IT部門は、例えば月に一回などのペースで、アカウントに関するレポートを定期的に確認すればいい。もし「プロダクト開発のこの人にアカウントが付与されていないけれど、大丈夫なのかな」といった懸念があれば確認し、付与するといった運用にしていく方が、IT部門と事業部門の双方が楽になるし、社内のコミュニケーションもスムーズになる。また、外部のパートナーやフリーランスとの付き合いもスムーズになるだろう。
企業の在り方、働き方の変化を踏まえたSaaSアカウント管理を
誰がどのようなSaaSをどのように利用すべきかというアカウント管理の在り方は、企業文化をそのまま反映する。例えばジョブ型雇用を中心とする人事文化があれば、割り切ったSaaS/IDaaSの利用も有効だろう。一方で、 複数の職務を兼任したり、終身雇用を前提とした人事異動が多かったりといった日本企業らしい人事文化があれば、それらを海外製のIDaaSソリューションにそのまま適用するのは難しい。
ビジネス環境が変化する中で多様な働き方を生かしつつ、誰がどのようにSaaSにアクセスしてもいいのかをコントロールする、それも正社員やパート・アルバイトだけでなく、業務委託や外部パートナーも含めて適切に管理するのは、やはりスプレッドシートと手作業の組み合わせでは困難だ。SaaSを活用して生産性をさらに高めるためにも、新たな選択肢を模索すべき時期に来ているといえるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「SaaS管理ツール」で何ができる? 基本機能と比較・選定のポイントとは
業務システムのクラウド化が進む中で、企業においてSaaS利用が進んでいる。そんなSaaSの利用状況を帳簿的に一元管理できるSaaS管理ツールへのニーズが、高まっている。本稿では、SaaS管理ツールの実態について見ていく。 - 「SaaS乱立のDX」は何が危ない? プロが教える課題と解法
IT運用管理がコストセンターと見なされた時代から、DXへの転換が求められる時代へと変化している。さまざまな負担が毎日押し寄せる情シス部門は人材不足かつ多忙で、新たな取り組みに時間を割く余力がない。現状を打破する解決策はあるのか。 - SaaSの数に比例して高まる情シスの業務負荷、その解決策とは
コロナ禍でテレワークシフトが進み、SaaSを導入する企業は増えた。ただ、SaaSの数が増えるだけ情シスの業務量が増えてしまう。多くの企業が目を向けられていない“情シスの過酷な状況”を明らかにし、その解決策を紹介する。 - 事例で解説、PC運用とSaaS管理に追われる"不幸"な情シスを救う「ジョーシス」って?
ContractSは、IT機器とSaaSの統合管理に向けたクラウドサービス「ジョーシス」を導入した。ジョーシスで管理コストを削減し、アカウントの追加・削除漏れが減少した。