SaaS乱立の裏に潜むセキュリティリスク 可視化だけでは防げない理由

SaaSの利用が拡大する中、管理漏れやシャドーITが企業リスクになっている。単なる可視化では解決しない根本課題もある。実効性のあるSaaSの統合管理手法について専門家が解説した。

[平 行男，合同会社スクライブ]

　コロナ禍を契機としたDXの加速により、企業におけるSaaS利用が急激に拡大している。1社当たり平均で日本企業は46個、米国企業は114個ものSaaSを利用しているとの調査結果もあり、管理の複雑さは増す一方だ。しかし多くの企業では、全社共通のSaaSの管理はできていても、各部署で利用されているSaaSの管理・可視化ができていない。SaaSの状況がブラックボックス化すれば、さまざまな問題を引き起こす。さらにシャドーITと生成AIの利用が問題を複雑化させている。

ジョーシス　佐藤和紀氏

　このような状況に情報システム部門はどう対応すべきなのだろうか。SaaS統合管理プラットフォームを提供するジョーシスの佐藤和紀氏（Account Executive）が、業務効率とセキュリティを同時に実現するSaaS管理の新たなアプローチについて解説した。

本稿は2025年6月10〜11日にBoxが開催したイベント「BoxWorks Tokyo 2025」の講演「SaaSは"見える化"で変わる 〜業務効率とセキュリティを同時に整える一元管理とは？〜」の内容を編集部で再構成したものです。

SaaSが増えるほど高まるリスク、可視化だけでは守れない理由

　SaaSの利用拡大は、業務効率の向上といった多くの利点をもたらす一方で、同時に新たな管理上の課題を生んでいる。特に問題になっているのは、各部署が独自に導入・運用しているSaaSの実態把握が極めて困難なことだ。

　ユーザー部門の独断で契約されたSaaSや、開発部門で使用されている未承認のツールなど、情報システム部門の管理が行き届かない領域には、セキュリティリスクや予期せぬコスト増といった課題が潜んでいる。退職者のアカウント削除漏れや、使用されていないライセンスの継続といった見えにくいリスクが、企業内に知らず知らずのうちに蓄積されている恐れがある。

　さらに深刻な問題が、従業員が個人的に利用するシャドーITの存在だ。生成AI系のサービスを勝手に利用する従業員が増えたり、業務効率化を目的とした承認されていないツールを利用したり、企業が把握していないサービスの利用が拡大している。シャドーITは企業のセキュリティポリシーの範囲外で運用されるため、機密情報の漏えいリスクやコンプライアンス違反のリスクをはらむ。

　佐藤氏は「情報システム部門は、全社共通から個人利用までの縦軸と、営業・開発・経理・人事といった各部署をまたいだ横軸のL字型管理を目指す必要があります」と強調した。

L字型の管理（提供：ジョーシス）

　L字型管理により、どの部署でどういったサービスが使われているのか、無駄なアカウントがないか、退職者のアカウント削除漏れがないか、個人で勝手にリスクの高いファイルアップロードサービスなどを使っていないかといった課題を包括的に把握できる。これがSaaS管理の出発点だ。

可視化だけでは解決しない根本問題とは

　増え続けるSaaSを可視化するツールはすでに存在する。だが、可視化だけでは根本的な問題解決には至らないのが現実だ。可視化により営業部で使われていないSaaSを発見したとしても、そのSaaSを実際に削除して良いかどうかを情報システム部門では判断できないからだ。これが可視化ツールの限界だ。

　可視化の後に適切な対策を講じるためには、棚卸しによってSaaSの利用実態を正確に把握することが不可欠だ。特に全社で利用されているSaaSについては、不要なIDが存在していないか、管理者権限が適切に付与されているかなどを確認するため、アンケートを通じた詳細な実態調査が求められる。

　個人で利用されているサービスも、見過ごすことはできない。いわゆるシャドーITについては、本当に業務上必要なものか、個人で無断に有償プランを契約し経費精算していないか、またその利用目的に問題はないかといった観点から、利用実態を正確に把握することがセキュリティ対策で重要となる。

　佐藤氏は「可視化するだけではなく、棚卸しによって利用実態を把握して、SaaSコストの削減とセキュリティの強化を進めることが望ましい管理だと考えています」と強調する。

　しかし、情報システム部門の担当者は日常業務に追われ、棚卸し作業に十分な時間を割くことが難しい。そこで、半自動的に棚卸しを実行できるシステムが必要になる。

プラットフォームによる統合管理とは

　SaaSの可視化において重要なのは、単純にアカウント数を把握するだけではなく、重要なのは、従業員単位での一元的なサービス利用管理を実現することだ。規模が小さいうちは「Microsoft Excel」でも管理できたかもしれない。だが、いずれにしてもデータの整合性や最新性の確保が困難だ。

　ジョーシスが提供するSaaS可視化プラットフォーム「Josys」では、SaaSのリアルタイムデータと従業員のリアルタイムデータを1つの管理画面で統合して、常に最新の状態を可視化することが可能だ。この統合管理により、誰がどのSaaSをどの権限で利用しているのかを瞬時に把握できる。

　クラウドストレージサービス「Box」のアカウント管理を具体例として挙げることで、その有用性がより明確に理解できる。Josysを使うことで、どのIDがどの権限のBoxアカウントを保有しているのかという基本情報に加えて、ログイン認証の適用除外設定やデバイス管理の状況、最大ファイルサイズの設定、多要素認証の設定状況まで、セキュリティに関わる詳細な情報をダッシュボードで一元的に確認できる。

Boxのフリーアカウントを検知して運用を適正化しようとしているところ（提供：ジョーシス）

　退職者管理についても大きな効果を発揮する。退職者の予定がある場合には、ToDoリストに「退職したメンバーにITデバイスとアプリの削除漏れがあります」といったアラートが表示され、退職者をリストアップしてJosysから直接アカウントを削除できる。

　佐藤氏は「Josysを利用することで、SaaSと従業員のリアルタイムのデータを1つの管理画面で突合して、常に最新の情報管理状態を可視化できます。このように従業員にひもづいたSaaSの統合管理が大切です」と語る。

　Josysでは有料ライセンスユーザーとフリーアカウントユーザーの両方でユーザー状況を確認でき、フリーアカウントのユーザーをリストアップして必要に応じて利用停止措置を講じることも可能だ。このようにJosysによってSaaSの可視化と統合管理が実現できる。

　ただし、可視化されたデータを基にした棚卸し作業や最適化については、また別の専門的な取り組みが必要となるという。

SaaSドックによる効率的な棚卸し実現

　Josysのような可視化プラットフォームを導入しても、実際の棚卸し作業は企業にとって悩みの種だ。全社レベルで年に一度程度の棚卸しを実施している企業であっても、特定部門で利用されているSaaSについては十分な棚卸しが行われていないのが現状だ。この背景には、リソース不足と実効性のある棚卸し手法の不足という2つの根本的な課題が存在する。

　適切な棚卸しが行われていなければ、不要なアカウントの増加や過剰な管理者権限の放置、さらに管理外のシャドーITの拡大といったリスクが継続的に増大していく。これらのリスクは、単純なコスト増大にとどまらず、セキュリティインシデントの温床となる可能性が高い。

　ジョーシスの「SaaSドック」はこのような課題に対応したSaaSの可視化と診断、最適化を代行するサービスだ。専門知識を有するチームが企業に代わって棚卸しをし、その結果を詳細な診断レポートとして提供するサービスだ。

　診断レポートでは、削除漏れのID数や未管理のID数、30日以上利用のない非活用ID数といった削除可能性の高いアカウント情報を定量的に提示する。さらに重要なのは、これらのアカウントを削除した場合のコストインパクトを具体的な金額で示してくれることだ。各SaaSの平均管理者権限数やリスクの高いシャドーITの検出数についても、定期的にレポートを提供し、情報漏えいリスクを網羅的に把握できる環境を提供する。佐藤氏は「可視化にとどまらず、コスト削減にも貢献するサービスです」と強調する。

　シャドーITについては、リスク度の高いサービスを従業員とSaaS起点で洗い出し、ハイリスクなサービスの判定や部署ごとのリスク調査、ユーザーごとのリスク調査を実施する。これらの調査結果に基づくレポーティングにより、アカウント削除だけでなく社内ポリシーの構築やガバナンス強化にも貢献できる仕組みを構築している。

SaaSドックによるレポーティングの例（提供：ジョーシス）