SaaS管理の課題
企業が利用するSaaSの数は年々増加し、従業員100名規模の企業でも50〜100種類以上のSaaSが利用されていることは珍しくありません。その結果、以下の課題が発生しています。
- シャドーIT:IT部門が把握していないSaaSの無断利用
- コストの膨張:未使用ライセンスの放置、重複サービスの契約
- セキュリティリスク:退職者アカウントの残存、個人アカウントでの業務利用
- コンプライアンスリスク:データの所在地(リージョン)の不明、契約条件の未確認
Step 1:SaaSの可視化
利用SaaS一覧の作成
まず全社で利用されているSaaSを棚卸しします。方法は以下の通りです。
- 経費データの分析:クレジットカード・経費精算データからSaaS課金を抽出
- SSO/IdPのログ分析:Entra ID、Google Workspaceの認証ログからアクセス先を特定
- CASB/SWGのログ:ネットワーク経由のSaaSアクセスを検出
- 全社アンケート:部門ごとに利用しているSaaSを申告
SaaS台帳の項目
| 項目 | 内容 |
|---|---|
| サービス名 | SaaS名称、URL |
| カテゴリ | コラボレーション、CRM、会計、開発等 |
| 契約者・管理者 | 契約部門、管理者アカウント |
| ライセンス数・費用 | 契約数、月額/年額、更新日 |
| 利用部門・ユーザー数 | 実際の利用者数 |
| 認証方式 | SSO連携、個別ID/PW |
| データの所在地 | リージョン(日本、US、EU等) |
Step 2:コスト最適化
- 未使用ライセンスの回収:30日以上ログインのないアカウントのライセンスを解除
- 重複サービスの統合:同カテゴリのSaaSを1つに集約(例:Zoom + Teams → Teamsに統合)
- プランの最適化:全員がEnterpriseプランである必要はない。利用実態に応じたプラン分け
- 年額契約への切り替え:月額→年額で10〜20%のコスト削減
- 契約更新日の管理:自動更新前にライセンス数・プランを見直す
Step 3:セキュリティ統制
- SSO連携の推進:すべてのSaaSをEntra IDまたはGoogle WorkspaceのSSO経由に統一
- 退職者アカウントの即時無効化:IdPのアカウント停止でSSO連携SaaSを一括停止
- MFAの全面適用:SSO経由のMFAですべてのSaaSにMFAを適用
- データエクスポートの制限:DLPポリシーによる機密データの持ち出し防止
Step 4:ライフサイクル管理
| フェーズ | アクション |
|---|---|
| 導入 | IT部門の承認制。セキュリティ評価(SSO対応、データ所在地、ISMAP/SOC2) |
| 運用 | 利用状況の定期モニタリング、コストの月次確認 |
| 更新 | 契約更新30日前にライセンス数・プランの見直し |
| 廃止 | データのエクスポート→サービス解約→アカウント削除の確認 |
SaaS管理ツール(SMP)
| ツール | 特徴 |
|---|---|
| Josys | 日本発。IT資産管理+SaaS管理の統合。日本語対応 |
| マネーフォワード IT管理クラウド | SaaS可視化・コスト管理。中小企業向け |
| Oomnitza | IT資産全体(SaaS+デバイス+ネットワーク)の統合管理 |
| Productiv | SaaS利用分析に強み。利用頻度のヒートマップ |
BTNコンサルティングの支援
SaaSの棚卸し、台帳作成、コスト最適化、SSO統合、ライフサイクル管理プロセスの構築を支援します。
💡 関連記事
まとめ
SaaS管理は「可視化→コスト最適化→セキュリティ統制→ライフサイクル管理」の4ステップで進めます。まずSaaS台帳を作成して全社の利用状況を可視化し、未使用ライセンスの回収とSSO統合から着手しましょう。
SaaSガバナンスの構築ポイント
SaaSの無秩序な増加を防ぐため新規SaaS導入時は情シスの承認を必須とし、セキュリティ評価をチェックリストで確認します。SSO/MFA対応、データ保管場所、SOC2/ISO27001認証が主な確認項目です。月額1万円以下のSaaSも対象に含めることが重要です。小額のSaaSが積み重なると大きなコストとセキュリティリスクの温床になります。